Spear phishing, smishing, vishing en clone phishing. Zeggen deze termen jou iets? Nee? Lees dan gauw verder, want cybercriminelen kunnen deze vormen van phishing gebruiken om achter je digitale voordeur te komen.
Hackers worden steeds slimmer
Cybercriminelen gaan steeds slimmer te werk, signaleerde technologieplatform iD.nl begin 2024. Cyberaanvallen worden professioneler en er is bijna geen online medium waar je als bedrijf geen risico loopt. Tel daarbij op dat het aantal phishingaanvallen al 3 jaar op rij stijgt en je hebt voldoende reden om maatregelen te nemen tegen deze vorm van hacking.
Eerder schreven we al in dit blog hoe je dubieuze e-mails onderschept en hoe je je bedrijf in 6 stappen beter beschermt tegen phishing. Maar e-mail is niet meer het favoriete hackersmedium: ook de telefoon wint aan populariteit. Daarom zetten we in dit blog de meest geziene vormen van phishing voor je op een rij. Want: als hackers steeds slimmer worden, moet jij dat ook!
#1: Spear phishing
Waar een ‘gewone’ phishingaanval bedoeld is om zoveel mogelijk slachtoffers te maken, is spear phishing juist een heel gerichte aanval op een specifiek bedrijf of persoon. Hackers verzamelen informatie over je bedrijf, zoals bijvoorbeeld wie je werknemers zijn en wat recente ontwikkelingen binnen je onderneming zijn. Daardoor kunnen ze je heel authentiek uitziende phishingberichten sturen, waar veel mensen in trappen.
Het resultaat van spear phishing: je data wordt direct gestolen of je wordt slachtoffer van een malware-aanval, waarna je data alsnog op straat belandt.
Een voorbeeld van spear phishing:
Je ontvangt een mail van één van je medewerkers waarin staat dat diegene ontslag neemt, inclusief een link naar een ontslagbrief. Je klikt erop en voor je het weet wordt je netwerk aangevallen door malware.
Hoe bescherm je je tegen een spear phishingaanval?
De tips tegen phishing zijn in dit geval ook van toepassing: zorg voor een goede mailfilter, gebruik multifactorauthenticatie en vooral: train je personeel, zodat ze een raar e-mailadres of vreemde bijlage kunnen herkennen. Ga je je specifiek wapenen tegen spear phishing, dan is het goed om te weten dat dit gebaseerd is op social engineering: de hacker stuurt je een bericht dat bedoeld is om emoties bij je op te wekken en te versterken. Hierdoor ben je gemakkelijker te manipuleren.
#2: Smishing
Smishing is, kort gezegd, phishing via sms. Denk bijvoorbeeld aan een sms’je van je bank, waarin je wordt gevraagd om je rekening- of inloggegevens in te vullen via een dubieuze link. Of het bekende scenario waarin een familielid in de problemen zit en je vraagt ‘even snel’ een groot bedrag over te maken.
Smishing wordt vaak breed ingezet en is niet specifiek gericht op jouw bedrijf of op jou persoonlijk; als een paar mensen ‘bijten’, is de aanval succesvol geweest. Hoe je smishing herkent? Let op vreemde telefoonnummers en zet vraagtekens bij sms’jes waarin je wordt aangespoord om direct actie te ondernemen.
Hoe verdedig je je tegen smishing?
Omdat frauduleuze sms’jes niet opgepikt worden door antivirusscanners, is voorzichtigheid en op de hoogte zijn extra belangrijk. Zorg ervoor dat jij en je medewerkers weten hoe jullie een smishingbericht herkennen en laat iedereen het protocol bij smishing (en andere phishingvormen) uit zijn hoofd leren.
Leren hoe een smishing- of phishingaanval er in de praktijk uitziet en wat je ertegen kan doen? Na onze Cyber Security Awareness Training weet iedereen binnen jouw bedrijf hoe en wat. Of test je medewerkers (en jezelf!) met een Phishing Simulatie.
#3: Vishing
Phishing via de goede oude telefoon: bij vishing (voice phishing) word je telefonisch benaderd om bijvoorbeeld je gegevens te delen of om geld over te maken. Dit is lange tijd een phishingvorm geweest die minder vaak voorkwam, omdat er een menselijke cybercrimineel nodig was om de aanval uit te voeren. Maar: ICT-blog Dutch Cowboys signaleert dat dat wel eens snel kan veranderen. Door de snelle ontwikkeling van kunstmatige intelligentie en deepfake audio wordt het steeds makkelijker om een vishingaanval uit te voeren.
Wat kun je doen bij een vishingaanval?
Ook deze phishingvorm wordt niet opgepikt door je firewall, aangezien je direct gebeld wordt. Het is dus zaak om zelf heel voorzichtig te werk te gaan bij het delen van data via de telefoon. Sowieso zal je bank je niet gauw bellen met het verzoek je inloggegevens uit te spellen; de meeste Nederlandse banken zijn daar heel duidelijk in. Maar word je gebeld door een andere instantie met de vraag je gegevens door te geven? Check dan het telefoonnummer en bel de instantie zelf na. Zo voorkom je een hoop ellende.
#4: Clone phishing
Clone phishing is een vorm van phishing waarbij een hacker een kopie maakt van een bestaande e-mail en daar zaken aan toevoegt, zoals bijvoorbeeld een frauduleuze link of bestand. Clone phishing kan erg moeilijk te herkennen zijn, omdat mails vaak worden verstuurd door een legitiem uitziende afzender en de inhoud van de mail ook logisch klinkt. Denk bijvoorbeeld aan een situatie waarin een zakenpartner je een mail stuurt en er vervolgens een mail achteraan komt met “sorry, bijlage vergeten!”, waarbij de bijlage malware bevat.
Hoe voorkom je clone phishing?
Het voorkomen van een clone phishingaanval is onmogelijk, maar hoe je ermee omgaat kan de schade flink beperken. Zorg ervoor dat jij en je mensen alle mogelijke phishingberichten herkennen en dat iedereen weet wat hij moet doen bij een aanval.
Ga jij in de aanval tegen phishing?
Investeren in anti-phishingmaatregelen is een slimme manier om je bedrijf te beschermen. Helaas ziet phishing er niet altijd hetzelfde uit. Zoals we hebben laten zien, zijn er phishingvormen waarmee hackers slim je firewalls omzeilen en op de persoon spelen om je data te stelen. Zorg er daarom voor dat je leert voorzichtig met je data om te gaan. We helpen je daar graag bij, bijvoorbeeld met een Cyber Security Awareness Training of Phishing Simulatie.