Phishing

Wat is phishing?

Phishing is een vorm van cybercriminaliteit, waarbij criminelen als het ware vissen naar jouw persoonlijke gegevens. Het doel is hier om mensen op te lichten, zodat criminelen geld en gevoelige informatie kunnen stelen. Phishing gebeurt vaak via de telefoon (SMS of apps zoals WhatsApp) en via E-mail. Het doel van de criminelen is om de van niets-wetende gebruiker naar een valse website te lokken, door middel van een link waar de gebruiker op moet klikken. Als de gebruiker dan op die link klikt en op de valse website terecht komt, proberen de criminelen persoonlijke gegevens te stelen. Deze valse websites lijken vaak echt en zijn soms dus lastig te herkennen. Daarnaast kan er ook nog eens Malware (kwaadaardige software) op de computer van het slachtoffer worden geïnstalleerd, als hij/zij op een link klikt. Criminelen doen zich vaak voor als een betrouwbare bron. Phishing mails lijken vaak afkomstig van je bank of zelfs van een hooggeplaatst lid van de instantie waar je werkzaam bent. Deze mails of SMS’jes zijn dan echter niet afkomstig van de bron waarvan jij denkt dat ze afkomstig zijn, maar ze zijn verstuurd door criminelen.

https://www.youtube.com/watch?v=rrOZJQAZOj8

Wat voor soorten phishing zijn er?

De verschillende soorten phishing die hieronder benoemd worden zullen niet in de toetsvragen voorkomen, maar zijn puur bedoeld om een beter beeld over phishing te vormen.

Bulk phishing: Phishing mails worden in grote getalen naar meerdere mensen gestuurd, in de hoop dat er iemand in de mail trapt. Deze vorm komt het meeste voor.

Spear phishing: Deze aanvallen zijn gericht op een specifiek individu. De aanvaller doet eerst goed onderzoek naar zijn doelwit. Hij doet zich vaak voor als een oude vriend of collega

Whaling: De aanvaller doet zich voor als een hooggeplaatst lid van een bedrijf, zoals een directeur of grootaandeelhouder. De aanvaller probeert zo belangrijke mensen in de organisatie te bereiken en op te lichten. Dit wordt ook wel CEO-fraude genoemd.

Clone phishing: Hier houdt een hacker de mailbox van zijn slachtoffer in de gaten en kijkt hij wat voor soort mails er binnenkomen. Daar maakt hij dan een clone van en in plaats van het gebruiken van een legitieme link, probeert hij het slachtoffer naar een valse website te leiden. De oorspronkelijke mail kan erg sterk worden nagemaakt.

Smishing: Dit is phishing via de SMS. Er wordt gebruik gemaakt van een neplink waarmee het slachtoffer naar een valse website wordt gelokt.

Vishing: Bij vishing maakt de aanvaller je wijs dat er iets ergs gaat gebeuren en dat je dus snel moet handelen. De aanvaller hoopt zo dat het slachtoffer minder goed nadenkt en zo snel mogelijk gegevens doorgeeft en vaak nemen emoties dan de overhand. Dit gebeurt meestal via een telefoontje of via een automatisch spraakbericht.

Hoe herken je phishing?

https://www.youtube.com/watch?v=EiXpoeER3RU

 

  1. Er worden in een phishing-mail vaak vreemde tekens en/of kleuren gebruikt;
  2. Er staan vaak spelfouten in de mail of SMS;
  3. De mail of SMS kan in een vreemde taal verstuurd zijn;
  4. De mail kan van een onbekend of vaag Email-adres afkomstig zijn;
  5. Bij phishing mails staat er vaak geen specifiek geadresseerd persoon in de aanhef van de mail. Er staat dan bijvoorbeeld: “Beste klant”, in plaats van een naam;
  6. De SMS kan van een onbekend of buitenlands nummer afkomstig zijn;
  7. De mail of SMS bevat een link waar je op moet klikken;
  8. Er wordt in de mail of in de SMS specifiek naar bepaalde persoonlijke en/of gevoelige gegevens gevraagd;
  9. Er is vaak sprake van urgentie. Je moet volgens de cybercrimineel vaak snel actie ondernemen, want anders kan het nadelige gevolgen hebben;
  10. Als je op de link klikt (NIET DOEN!) kom je op een site zonder certificaat (het slotje links boven) en zonder https verbinding (dit kan je links boven in het scherm zien);
  11. Vishing kan worden herkend door ingesproken spraakberichten die vaak urgentie behoeven of door een telefoongesprek waarin iemand u naar persoonlijke gegevens vraagt.

Wat kan je tegen phishing doen?

  1. Klik nooit zomaar op een link. Banken en bedrijven zullen je nooit vragen om via een link in de mail gevoelige informatie te delen;
  2. Mocht je in de mail een link krijgen, dan kan je altijd even kijken waar die link naar toe verwijst, door met de cursor van de muis op de link te gaan staan (niet op de link klikken). Ook kan je de link kopiëren en invoeren op de site checkjelinkje.nl. Deze site zal dan aangeven of het een legitieme link is. Vertrouw echter nooit 100% op deze website, want ze geven alleen een oordeel maar geen definitief resultaat;
  3. Kijk in de mail altijd goed naar de afzender en kijk goed of de mail de “phishing kenmerken” bevat die hierboven zijn genoemd. Kijk met een SMS goed naar het telefoonnummer en check bij het bedrijf die de SMS zou hebben gestuurd of dit nummer overeenkomt.
  4. Check op een site altijd of er een slotje linksboven staat en kijk of er een HTTPS verbinding is (S staat voor beveiligde verbinding). Kijk ook goed naar de naam van de site en kijk of hier fouten in te zien zijn;
  5. Geef nooit zomaar gevoelige informatie via mail of telefoon door;
  6. Als je met phishing te maken krijgt moet je de gemeente Breda op de hoogte stellen en de phishing melden bij de Fraudehelpdesk, zodat andere mensen beschermd kunnen worden. Waarschuw ook eventueel de organisatie waarvan u de phishing mail of SMS ontvangt.