De nieuwste phishing-technieken: vishing, smishing en meer
Tijdens European Cyber Security Month én erbuiten is bewustzijn van cybersecurity ontzettend belangrijk.
Ben jij op de hoogte van de meest actuele technieken om jouw gegevens te stelen? Hier leggen we uit waarom cybersecurity jouw prioriteit zou moeten zijn. In deze blog lees je over nieuwe vormen van phishing: vishing en smishing.
Wat is phishing?
Volgens Visma is phishing een methode die cybercriminelen gebruiken om jouw data te stelen. Dit doen ze vaak met:
- Nep-berichten zoals emails
- Ransomware: kwaadaardige en schadelijke software
Waarom het phishing heet, is niet helemaal duidelijk. Volgens Wikipedia en Mentalfloss kan het een combinatie zijn tussen ‘fishing’ en ‘phone phreak’. De term phone phreak werd in 1970 gebruikt voor mensen die telefoonlijnen hackten om gratis te kunnen bellen. En cybercriminelen ‘vissen’ natuurlijk naar jouw persoonlijke gegevens.
Wat is social engineering?
Phishing is een vorm van social engineering. Dat is het psychologisch manipuleren van mensen, zodat ze doen wat je wilt of je geven wat je wilt. Op gebied van IT focust social engineering zich specifiek op het mensen zo ver krijgen dat ze vertrouwelijke informatie weggeven.
Bulk phishing
De klassieke email phishing methode wordt ook wel bulk phishing genoemd. Dit zijn mails die niet gepersonaliseerd worden en in bulk worden verstuurd. Zo gooien cybercriminelen een breed net uit in de hoop dat er tenminste iemand klikt. Voorbeelden van bulk phishingmails zijn:
- Mails waarin staat dat je iets gewonnen hebt
- Mails waarin staat dat je geld krijgt, via een erfenis bijvoorbeeld
- Mails van je bank waarin ze je om gegevens vragen
- Mails van een postbezorgingsservice
Wat deze emails vaak gemeen hebben, is dat ze urgent overkomen. Je moet snel handelen, omdat ‘de iPhone die je gewonnen hebt anders aan iemand anders wordt gegeven’. Of omdat ‘je nu meteen je wachtwoord voor je bankaccount moet wijzigen, anders wordt je account gesloten’. Of omdat ‘je pakketje anders retour wordt gestuurd.’ Cybercriminelen gebruiken allerlei manieren om jou zo snel mogelijk een onjuiste keuze te laten maken.
Daarnaast gebruiken ze ook:
- Mails van software die je mogelijk gebruikt, zoals Gmail, Microsoft, LinkedIn, PayPal of Dropbox
- QR-codes die naar phishing landingspagina’s leiden
Spear phishing
Spear phishing doe je met een mail die wél gepersonaliseerd is. Een mail die specifiek naar één iemand wordt gestuurd om die persoon te overtuigen. Cybercriminelen steken in dat geval veel tijd in informatie achterhalen over hun doelwit, zodat ze de phishingmail zo geloofwaardig mogelijk kunnen maken. Het gaat dan om informatie die echt alleen relevant voor het doelwit is, zoals waar ze werken en wie hun manager is.
Wat zijn vishing en smishing?
Vishing is een vorm van phishing die geen gebruik maakt van email, maar vaak van een ‘voice message’ of telefoontje is. Hierbij lijkt het alsof een werknemer om je gegevens vraagt van bijvoorbeeld je Microsoft account, terwijl het eigenlijk een opgenomen bericht is.
Smishing is een vorm van phishing die geen gebruik maakt van email, maar van een SMS. In deze berichten staan vaak urgente vragen om je gegevens, bijvoorbeeld zogenaamd van je baas, je bank of een postbezorgingsservice. Zodra je op de link klikt, vragen de cybercriminelen om je gegevens.
Phishing met emailthreads of Google Drive uitnodigingen
Twee van de meest lastige phishing methodes, zijn geavanceerde emails. Emails die bijvoorbeeld een thread of chain kapen van mails die je daadwerkelijk met iemand hebt uitgewisseld. Dat maakt het lastig om te zien dat het om phishing gaat. Deze methode wordt ook wel ‘Man-In-The-Middle’ genoemd.
Of mails die lijken op een uitnodiging om een Google Drive map of bestand te bekijken. Deze zien er realistisch uit, maar de link klopt niet. Ook de afzender klopt uiteraard niet. Dat is iets makkelijk te controleren dan de link.
Deze phishing mails worden helaas niet door het spamfilter tegengehouden, omdat ze via Google’s eigen netwerk verzonden worden. Cybercriminelen zouden ook gebruik kunnen maken van een phishingmail die eruitziet als een WeTransfer uitnodiging om bestanden te downloaden.
Wat is malvertising?
Volgens Terranova Security is malvertising een phishingtechniek die online advertenties of pop-ups gebruikt om je te laten klikken. Denk bijvoorbeeld aan de bovenste resultaten in een Google-search. De link achter de reclame leidt je dan naar een site waar je malware download, in plaats van de software die je eigenlijk wilde hebben. Een bekend voorbeeld is het downloaden van de Google Drive desktop versie. Controleer dus altijd de URL van een advertentie voordat je doorklikt, of klik op een van de zoekresultaten die geen advertentie is. Advertenties kun je herkennen aan dat er ‘Ad’ boven de titel staat, links van de URL.
Waar kan ik meer cybersecurity informatie over de Spend Cloud vinden?
Meer over hoe je phishing kunt voorkomen, kun je lezen in deze Visma cybersecurity-blog. Het belangrijkste is om altijd je gezonde verstand te gebruiken. Vraag jezelf af hoe logisch het is dat je gevraagd wordt op een link te klikken of om je gegevens weg te geven.
Ben je nog niet overtuigd dat cybersecurity jouw prioriteit moet zijn? Lees dan meer in deze blog over ‘de 3 redenen waarom cybersecurity ook voor jou belangrijk is’. Cybersecurity is een gedeelde verantwoordelijkheid en iedereen kan slachtoffer worden.
Hoe kan ik phishing voorkomen?
Door bewust om te gaan met jouw cybersecurity, is de kans groter dat je phishing ontdekt voor het te laat is. Wil je meer informatie over dit onderwerp? Bekijk dan onze cybersecurity-pagina en de Visma Trust Center. Op onze cybersecurity-pagina kun je ook de beveiligingsfactsheet downloaden met nóg meer diepgaande informatie. Succes!
Meer informatie over de Spend Cloud?
Neem contact met ons op of vraag meteen een gratis, vrijblijvende demo aan!
Ik wil een demo
5 reacties