De trukendoos van de phisher: waar moet u op letten?

De trukendoos van de phisher: waar moet u op letten?

Hopelijk heeft u voor het lezen van dit blogbericht al eens over phishing gehoord. Phishing is niet uit het nieuws weg te slaan en de gebruikte technieken worden steeds ingenieuzer. En vaak ligt een ondoordachte handeling van een gebruiker aan de basis van een geslaagde phishing campagne. Wees op uw hoede en zorg voor een adequate opleiding voor uw medewerkers.

Wat is phishing?

First things first. Waarover hebben we het? Phishing is (heel kort door de bocht) een vorm van fraude waarbij criminelen gegevens ontfutselen van hun slachtoffer. Het is niet zo dat dit enkel online gebeurt. Phishing kan ook via bijvoorbeeld een telefoongesprek (voice phishing of vishing) of sms (smishing) plaatsvinden, maar in de praktijk gaat het veel vaker over frauduleuze e-mails en websites. Het type gegevens die men steelt varieert: bankkaartgegevens, logins, paswoorden, bedrijfsdata,…

Ben ik beschermd door mijn firewall en antivirus?

Bedrijven die cybersecurity au serieux nemen, installeren (en als dat niet zo is…dringend Accel bellen) antivirus en een firewall en nemen allerhande security maatregelen om malware en virussen buiten te houden. Maar traditionele beveiligingsmaatregelen houden phishing niet tegen. Vergelijk het met een deur van een huis. U kan altijd een dikkere deur installeren, maar als niemand deze op slot draait, kan iedereen nog altijd binnenwandelen.

Hetzelfde geldt voor internet security. Ja, u heeft antivirus en een firewall(s) nodig. En uiteraard ook een back-up. Maar dé bepalende factor in het slagen of niet slagen van een phishing campagne is het bewustzijn van uw medewerkers. Want als één van de medewerkers logins doorgeeft aan criminelen (bewust of onbewust), kan geen enkele security oplossing u beveiligen. Investeer daarom ook in de bewustwording van deze problematiek bij uw medewerkers. Via een training, via een gesimuleerde phishing test,… Of uw voordeur blijft wagenwijd openstaan.

Waarom trappen we (nog steeds) in de phishing val?

De technieken die hackers vandaag gebruiken, lijken in niets op de technieken van pakweg 5 jaar geleden. Een phishing e-mail is al lang geen e-mail meer vol typfouten of een vraag om geld te storten voor de Saoedische prins. De hackers worden steeds beter en de technieken die ze gebruiken zijn weldoordacht en sluw. Daarom geven we met dit artikel graag meer inzicht in de gebruikte methodes zodat u zich beter kan wapenen.

URL-spoofing en homogliefen

URL-spoofing is het het nabootsen van een echte website URL. De gebruiker denkt dat hij de echte website bezoekt, terwijl de URL eigenlijk die van een crimineel is.

Bijvoorbeeld:

  • www.ikea.com vs www.1kea.com
  • www.mcdonalds.be vs www.mcd0nalds.be.

In bovenstaande voorbeelden werd een letter van de echte URL vervangen door een cijfer. Dit noemen we homogliefen: karakters of tekens die erg op elkaar lijken. Wie een beetje uitkijkt met bovenstaande voorbeeld zal daarom nog niet per se in de val trappen. Maar het gaat verder dan deze simpele voorbeelden.

Een ander voorbeeld:

  • De Latijnse letter a ziet er identiek uit als de Cyrillische letter a. Voor u en mij is dit hetzelfde, maar een computer interpreteert het wel anders.
  • Dan wordt ons bovenstaande voorbeeld al een stuk moeilijker, want wat is nu de echte website in www.ikea.com vs www.ikea.com?

Het laatste is helaas zelfs geen fictief voorbeeld, want Ikea werd al meerdere malen slachtoffer van dergelijke praktijken.

Spear phishing

In tegenstelling tot een gewone phishing campagne, waarbij in bulk e-mails worden verzonden, is spear phishing een heel gerichte aanval op 1 individu of 1 bedrijf. Bij spear phishing, gebruikt men persoonlijke gegevens van het slachtoffer (naam, e-mailadres, telefoonnummer) om hem/haar een gevoel van vertrouwen te geven.

Om deze techniek toe te passen speuren hackers voorafgaand aan de aanval het internet af om informatie over het doelwit te verzamelen (functietitels, e-mailadressen, collega’s,…). Met deze informatie maakt de phisher een heel geloofwaardige e-mail om het slachtoffer in de val te lokken.

Een voorbeeld:

Een oplichter kan een spear phishing aanval uitvoeren op een medewerker die verantwoordelijk is voor de betalingen van het bedrijf. De e-mail lijkt afkomstig van de directe leidinggevende. Die draagt de medewerker op om een betaling te doen naar een leverancier, maar in werkelijkheid wordt de betaling via een kwaadaardige koppeling naar de aanvaller gestuurd.

Whaling

Een whaling-aanval is nóg doelgerichter en richt zich op personen met een hogere positie in het bedrijf. Maar het doel is altijd wel hetzelfde: gegevens bemachtigen om er geld mee te verdienen.

Voorbeeld:

Oplichting door middel van een valse belastingaangifte komt steeds vaker voor. Een belastingformulier bevat immers veel nuttige informatie voor hackers: namen, adressen, bankrekeninggegevens,…

Muilezels

Het gebruik van muilezels is een van de nieuwere trends in phishing-land. Het doel van een muilezel is dat de oplichter geld verdient, zonder zelf in de schijnwerper te staan. De recrutering van de muilezels gebeurt meestal via sociale media (Facebook, Messenger) en is voornamelijk gericht op jongeren.

Jongeren worden gelokt omdat ze zogezegd snel en gemakkelijk geld verdienen als ze hun bankkaart en pincode uitlenen. De oplichter gebruikt de bankrekening vervolgens om geld van andere slachtoffers door te sluizen. Bij strafrechtelijke vervolging zal de muilezel niet buiten schot blijven want zijn bankrekeningnummer en naam komen direct in beeld. De oplichter zelf zal in de meeste gevallen buiten schot blijven omdat die gebruik maakte van een vals profiel.

Social media phishing

Dit is het gemakkelijkste uit te leggen aan de hand van een voorbeeld. In 2016 kregen duizenden Facebook-gebruikers een melding dat ze in een bericht waren getagd. Het bericht zelf was afkomstig van criminelen en installeerde een schadelijke Chrome-browser extensie op de computer van de gebruiker. Deze extensie kon vervolgens, via de besmette browser, het account kapen van de gebruiker en op die manier privacy-instellingen wijzigen, gegevens stelen en het virus verder verspreiden via de Facebook-vrienden van het slachtoffer.

Daarnaast kunnen criminelen de gegevens die mensen vrijwillig op sociale media plaatsen ook gaan gebruiken voor zeer gerichte aanvallen. Let dus op met wat je allemaal deelt en met wie.

12 anti-phishing tips

  1. Tik altijd zelf het webadres handmatig in de zoekbalk van de browser.
  2. Let op het taalgebruik van de e-mail. Deze bevat (soms en veel minder dan vroeger) taal- en stijlfouten.
  3. Check de afzender en ga kijken van welke domeinnaam een e-mail afkomstig is.
  4. Houd de muis boven de link (zonder te klikken) en kijk goed naar het afzendadres van de afzender.
  5. Ontbreekt een persoonlijke aanhef of wordt u op een vreemde manier (bijvoorbeeld “Beste VoornaamNaam”) aangesproken? Opletten geblazen.
  6. Open nooit bijlagen bij een e-mail die u niet vertrouwt.
  7. Geef nooit gegevens door die gevraagd worden per e-mail.
  8. Betaal nooit via Bitcoins.
  9. Stuur een bankkaart nooit op met de post. Knip de kaart en de chip altijd door als de kaart niet langer gebruikt wordt/geldig is.
  10. Sla de website van je bank op als favoriet. Open deze altijd via deze weg.
  11. Deel geen codes die je met je digipass genereert en hoe een pincode altijd geheim.
  12. Betaal tijdens uw online shopping niet met een link in een e-mail om uw aankopen te betalen. Een betaling gebeurt niet via e-mail maar via een beveiligde ssl verbinding.

Verplichtingen voor bedrijven m.b.t. cyberbeveiliging?

Sinds 25 mei 2018 is de GDPR van kracht in alle Europese lidstaten. De bedoeling van deze verordening is dat bedrijven verantwoordelijkheid opnemen voor de persoonsgegevens die ze beheren. Maar wat als u dit niet doet? En wat als u vervolgens data lekt omdat de beveiliging niet afdoende was?

Informatieveiligheid staat om deze reden hoog op de agenda van bedrijven, zeker wanneer er persoonsgegevens worden beheerd. Data moeten met passende technische en organisatorische maatregelen beveiligd worden door bijvoorbeeld gebruik te maken van encryptie, het uitvoeren van audits, het maken van back-ups, firewalls, redundantie,…

Meldplicht

Heeft u een datalek gehad? Dan bent u verplicht om dat binnen de 72u te melden bij de Gegevensbeschermingsautoriteit (GBA). Gedetailleerde informatie over de meldplicht vindt u terug op de site van de Gegevensbeschermingsautoriteit alsook het meldingsformulier.

Boetes

Wie zondigt tegen de regels en niet zorgvuldig omspringt met data en cyberbeveiliging kan bovendien ook beboet worden. Zorg dus voor een afdoende beveiliging van de data die binnen uw bedrijf circuleert.

Verzekering

Als u ondanks alle voorzorgsmaatregelen en beveiliging toch gehackt wordt, is een cyberverzekering uw laatste reddingsboei. De financiële gevolgen van cyberaanvallen lopen al snel op tot enkele honderdduizenden euro’s. Alle grote verzekeringsmaatschappijen bieden een dergelijk polis aan. Informeer vrijblijvend naar een cyberverzekering bij uw account manager.

Slachtoffer geworden van phishing?

Bent u toch in de val getrapt doe dan zeker aangifte bij de politie en via https://meldpunt.belgie.be/meldpunt/.