8 september 2022 • Phishing
Wat betekent phishing precies?
Phishing is een vorm van digitale fraude waarbij cybercriminelen zich voordoen als een betrouwbare autoriteit — zoals een bank, overheidsinstantie of bekend bedrijf — en je een urgent bericht sturen. Via een e-mail, telefoongesprek, WhatsApp-bericht of sms word je gevraagd om op een link te klikken, een bijlage te openen of gevoelige informatie te verstrekken. Voordat je het weet, heeft de oplichter toegang gekregen tot je bankgegevens, inloggegevens of persoonlijke documenten.
De term ‘phishing’ is afgeleid van het woord ‘fishing’. Net zoals een visser een lijn uitwerpt in de hoop dat er iets bijt, werpen cybercriminelen misleidende berichten uit in de hoop dat hun slachtoffers toehappen. En helaas werkt het — phishing blijft wereldwijd een van de meest voorkomende en effectieve methoden voor cyberaanvallen.
Phishing in Nederland
Volgens cijfers van het Centraal Bureau voor de Statistiek (CBS) werden alleen al in 2021 maar liefst 2,5 miljoen Nederlanders slachtoffer van phishing. Deze vorm van cybercriminaliteit groeit snel omdat frauduleuze berichten steeds moeilijker te herkennen zijn. Nep-e-mails zien er tegenwoordig opmerkelijk professioneel uit en bootsen vaak de exacte lay-out, logo's en toon van legitieme organisaties na. Zelfs digitaal onderlegde personen hebben moeite om het verschil te zien tussen een echt bericht en een zorgvuldig geconstrueerde nep.
Voor bedrijven is het risico nog groter. Eén medewerker die op de verkeerde link klikt, kan een hele organisatie blootstellen aan datalekken, financieel verlies en reputatieschade.
Veelvoorkomende soorten phishing-aanvallen
Phishing is geen one-size-fits-all aanval. Cybercriminelen gebruiken verschillende technieken, elk afgestemd op het misbruiken van verschillende communicatiekanalen en doelwitten.
E-mailphishing is de meest wijdverspreide vorm. Aanvallers sturen massa-e-mails die afkomstig lijken te zijn van legitieme organisaties, waarin ontvangers worden aangespoord om op een kwaadaardige link te klikken of een geïnfecteerde bijlage te downloaden. Deze e-mails bootsen vaak banken, bezorgdiensten of softwareleveranciers na.
Smishing (sms-phishing) gebruikt tekstberichten om slachtoffers te misleiden. Je kunt een sms ontvangen waarin staat dat je pakket wordt vastgehouden of dat je bankrekening is gecompromitteerd, met een link die leidt naar een nepwebsite die is ontworpen om je inloggegevens te stelen.
Vishing (voice phishing) omvat telefoongesprekken van oplichters die zich voordoen als bankmedewerkers, IT-ondersteuning of overheidsfunctionarissen. Ze gebruiken druk en urgentie om je te overtuigen persoonlijke informatie te overhandigen of externe toegang tot je apparaat te verlenen.
Spear phishing is een gerichte vorm van phishing waarbij de aanvaller onderzoek doet naar een specifieke persoon of organisatie voordat hij een zeer gepersonaliseerd bericht opstelt. Omdat deze e-mails verwijzen naar echte namen, rollen of recente activiteiten, zijn ze veel overtuigender — en veel gevaarlijker — dan generieke phishing-pogingen.
Whaling gaat een stap verder dan spear phishing door zich te richten op senior executives en besluitvormers. Deze aanvallen omvatten vaak valse facturen, urgente overboekingsverzoeken of het nabootsen van bestuursleden en kunnen leiden tot aanzienlijke financiële verliezen.
Verschillende vormen van phishing
Er zijn veel verschillende vormen van phishing. Een voorbeeld is spear phishing. Er bestaat ook clone phishing, waarbij de cybercrimineel een e-mail van een legitiem bedrijf kopieert. Vervolgens worden de oorspronkelijke links vervangen door kwaadaardige links. Ook is er sprake van phone phishing, waarbij de crimineel zich voordoet als een medewerker van bijvoorbeeld een bank.
Hoe herken je nepberichten?
Het herkennen van phishing-berichten kan lastig zijn. Hieronder delen we enkele voorbeelden en tips over hoe je een nepbericht kunt herkennen.
Controleer eerst het e-mailadres van de afzender. Vaak zie je aan het e-mailadres al dat het geen echt e-mailadres van het bedrijf is. Het echte e-mailadres van een webshop is bijvoorbeeld [email protected], maar het e-mailadres in de phishing-e-mail is [email protected].
Hetzelfde geldt voor links in de e-mail. Een tip is om met je muis over de link te zweven, zodat je de echte URL van de link kunt zien. Je zult vaak zien dat de link niet naar de echte website verwijst. Controleer dit dus altijd voordat je op een link klikt.
Een andere manier om een nepbericht te herkennen, is aan de tekst zelf. Veel phishing-berichten bevatten spelfouten, wat een indicatie is dat het geen echte e-mail is.
Wees ten slotte voorzichtig wanneer een bericht een gevoel van urgentie creëert. Zinnen als “je account wordt binnen 24 uur gesloten” of “onmiddellijke actie vereist” zijn ontworpen om je te laten handelen voordat je nadenkt. Legitieme organisaties dwingen je zelden tot onmiddellijke actie.
Phishing via social media
Phishing gebeurt ook via social media. Cybercriminelen creëren een nep-inlogportaal. Je ziet bijvoorbeeld een inlogportaal van Facebook. Het portaal is echter gemaakt door cybercriminelen. Als iemand via dit portaal inlogt, worden de inloggegevens naar de maker van het portaal gestuurd.
LinkedIn is een ander veelvoorkomend doelwit. Aanvallers sturen valse connectieverzoeken of vacatures met kwaadaardige links, waarbij ze misbruik maken van het professionele vertrouwen dat gebruikers in het platform stellen. Op Instagram en WhatsApp doen oplichters zich vaak voor als vrienden of merken en sturen berichten met links naar nep-winacties of “accountverificatie”-pagina's. Omdat social media-berichten persoonlijker aanvoelen dan e-mail, zijn slachtoffers vaak minder voorzichtig — wat deze aanvallen bijzonder effectief maakt.
QR-code phishing (quishing)
QR-codes worden gebruikt om snel en eenvoudig websites te openen vanaf je telefoon. Hierbij moet je echter voorzichtig zijn. Bij het scannen van een QR-code zie je van tevoren niet naar welke website je wordt geleid. Zo kun je onbedoeld je inloggegevens voor je bankrekening invoeren op een website die door criminelen is gemaakt.
Dit type aanval, bekend als quishing, groeit snel. Valse QR-codes verschijnen op parkeermeters, restaurantmenu's en zelfs in fysieke post. Controleer altijd de URL die verschijnt na het scannen voordat je persoonlijke informatie invoert en vermijd het scannen van QR-codes van onbekende of verdachte bronnen.
Wat als je op een phishingmail hebt geklikt?
Als je vermoedt dat je slachtoffer bent geworden van een phishingaanval, handel dan snel om de schade te beperken:
Verander direct je wachtwoorden — beginnend met het gecompromitteerde account, en alle andere accounts waar je hetzelfde wachtwoord gebruikt. Gebruik sterke, unieke wachtwoorden voor elke dienst.
Neem contact op met je bank als je financiële informatie hebt gedeeld of verdachte transacties hebt opgemerkt. De meeste banken kunnen je account bevriezen of ongeautoriseerde betalingen terugdraaien als je snel genoeg handelt.
Meld het incident. In Nederland kun je phishing melden bij de Fraudehelpdesk (fraudehelpdesk.nl). Als je een werknemer bent, informeer dan direct je IT-afdeling zodat zij kunnen beoordelen of bedrijfssystemen zijn getroffen.
Voer een malware scan uit op je apparaat. Als je op een verdachte link hebt geklikt of een bijlage hebt gedownload, is er een kans dat malware is geïnstalleerd. Gebruik up-to-date antivirus software om eventuele bedreigingen te controleren en te verwijderen.
Hoe je je organisatie beschermt tegen phishing
Technische maatregelen zoals spamfilters en firewalls zijn belangrijk, maar ze kunnen niet elke phishingpoging onderscheppen. De meest effectieve verdediging is ervoor zorgen dat de mensen in je organisatie weten hoe ze bedreigingen kunnen herkennen en erop kunnen reageren.
Security Awareness Training leert medewerkers phishing-e-mails, verdachte links en social engineering-tactieken te identificeren. Regelmatige training zorgt ervoor dat de kennis actueel blijft en dat je team voorbereid is op de nieuwste aanvalsmethoden.
Phishing simulaties gaan een stap verder door realistische maar onschadelijke nep-phishing-e-mails naar je medewerkers te sturen. Hierdoor kun je meten hoe je organisatie in de praktijk reageert en identificeren wie extra ondersteuning nodig heeft.
Met Guardey combineer je gamified Security Awareness Training met geautomatiseerde phishing-simulaties — zodat je team echte vaardigheden opbouwt, in plaats van alleen een vinkje te zetten. Probeer 14 dagen gratis en zie zelf de resultaten.