Bij een phishing-aanval sturen cybercriminelen u een valse e-mail waarin ze u proberen een bepaalde actie uit te laten voeren. De e-mail bevat vaak een link die u doorstuurt naar een vervalste website, die vaak bijna een kopie is van een echte website. Ze proberen u te overtuigen om gevoelige gegevens achter te laten zoals uw Microsoft 365 inloggegevens, wachtwoorden, creditcard of een betaling over te maken. De e-mail kan ook een kwaadaardige bijlage bevatten zoals ransomware.
Naast phishing is er ook spear phishing, deze aanval is effectiever. Uit onderzoek van Trend Micro blijkt dat 91% van de cyberaanvallen zoals ransomware begint met een spear phishing aanval. Hoe werkt spear phishing en waar kunt u op letten?
Een phishing-aanval wordt vaak geautomatiseerd, waarbij veel mensen dezelfde mail ontvangen. Deze e-mail heeft een algemene benadering.
Bij spear phishing richt een cybercrimineel zich specifiek op één persoon of bedrijf, waarbij de inhoud en actie beter wordt afgestemd op de ontvanger. Er worden andere technieken ingezet, hierdoor lijkt het net of de e-mail afkomstig is van een zakelijke relatie, leverancier, betrouwbare bron of bekende. Cybercriminelen verzamelen zoveel mogelijk informatie over een bedrijf of persoon, vaak via social media en websites. Informatie zoals namen, functietitel, zakelijke relaties en e-mailadressen zijn interessant.
Door deze verzamelde informatie weet een cybercrimineel beter hoe ze de e-mail kunnen vormgeven en wordt de inhoud beter afgestemd op de ontvanger, waardoor de e-mail nog geloofwaardiger overkomt.
Foto: Een ontvangen e-mail in OneDrive vormgeving waarbij de naam van een zakelijke relatie is gebruikt. De mail verwijst naar een vervalste downloadpagina
Met social engineering richten criminelen zich op het menselijke handelen. Cybercriminelen maken misbruiken van onze eigenschappen, zoals nieuwsgierigheid, vertrouwen, angst of onze onwetendheid.
Cybercriminelen spelen met een valse e-mail of SMS in op deze emoties. Zo proberen ze u te verleiden, misleiden of manipuleren om een bepaalde actie uit te voeren, zoals het delen van gevoelige informatie, geld over te maken of een kwaadaardige bijlage te downloaden.
Een boodschap die angst op probeert te wekken bij de ontvanger kan zijn: Er staat nog een betaling open in uw Pay-Pal account, voorkom ophoging van een boete en log daarom direct in op uw account om te bevestigen.
Social engineering wordt toegepast in CEO-fraude. Daarbij wordt de naam of informatie van de hoogste baas, CEO, CFO, algemene directeur of manager misbruikt door het vertrouwen van zijn medewerkers te krijgen.
Een voorbeeld: U werkt op de administratie en u ontvangt een mail van de directeur. Er wordt dringend verzoekt om een betaling over te maken. Dit moet zo spoedig mogelijk. Komt dit echt van de baas? Gaat u dit uitzoeken? Of gaat u direct de betaling uitvoeren? De naam in de afzender lijkt van uw baas en ook zijn naam staat vermeld in de handtekening.
Phishing mails worden steeds moeilijker om van echt te onderscheiden.
Iedereen kan een doelwit worden voor een spear phishing-aanval. Hier zijn tips waar u op kunt letten:
In veel gevallen wordt een datalek of security-incident veroorzaakt door medewerkers, dit gebeurt vaak onbewust. Cybercriminelen worden steeds slimmer, maar gelukkig kunt u uw medewerkers hierop trainen.
Met phishing awareness kunt u medewerkers regelmatig toetsen en trainen. 24x7Secure voert (veilige) phishing-simulaties uit om te controleren in hoeverre uw collega's in staat zijn phishing-aanvallen te herkennen. U krijgt inzicht in welke afdelingen niet in staat zijn phishing-mails te herkennen en hoe groot het risico voor uw bedrijf is. Samen met u bespreken we de resultaten en stellen we een phishing kalender op. Het e-learning platform biedt trainingen en toetsen aan. Zo blijven medewerkers up-to-date en voorbereid.
Wilt u de cyberweerbaarheid van alle medewerkers vergroten? Neem dan contact op met onze IT security experts via onderstaand formulier.