abonneren

Hoe phishing-mail steeds beter en stiekemer wordt

laptop phising email
Het komt dagelijks voor dat medewerkers van bedrijven nietsvermoedend een e-mail openen die ze beter dicht hadden kunnen laten. Als je CEO jou als financieel directeur vraagt om extra fonds over te maken, dan is dat op zich een legitieme vraag. Vergeet het maar, want anno 2018 weten spammers het de gebruiker heel moeilijk te maken een echte mail van een phising-mail te onderscheiden.

Als je tien jaar geleden een spam-mail in je inbox vond, herkende je die doorgaans meteen. Vaak met niet al te subtiele titels als ‘PENIS ENLARGEMENT’ of één of andere dokter met een onuitspreekbare naam als afzender. Bovendien werd je er bij het openklikken vrij snel op gewezen dat dit een onzinmail was: het was een rare vertaling die van geen kant klopt, of het e-mailadres van de afzender bevatte allerlei getallen. Als ze al een opmaak hadden, dan was deze meestal te vergelijken met de gemiddelde basis-HTML-kunsten van Hyves.

De Afrikaanse dokter

Het was vervelend om al die spam die niet werd gefilterd op te ruimen, maar het was destijds tenminste wel duidelijk dat er niet echt een Afrikaanse dokter was die geld nodig had om levens te redden, toch? Nou, niet voor iedereen. Er klikten zelfs mensen op die enorm vreemd uitziende e-mails, mede omdat internet destijds simpelweg iets nieuws en veelal onontgonnen terrein was en de internetgebruiker amper werd gewaarschuwd voor deze praktijken.

Dat is tegenwoordig allang niet meer zo. Er zijn hele websites die dagelijks nieuws over het gegeven internet bijhouden en je hoeft maar één keer te internetbankieren om waarschuwingen voor phishing tegen te komen. Toch klikkenerr nog steeds mensen op deze scam-mails. Waarom? Hoewel phishing intern nog steeds hetzelfde is en doet, is het simpelweg een knappere verschijning geworden.

phising mail typen bureau

Phising-mail komt tegenwooridg van iemand die je denkt te kennen: de afzender is de naam van een vriend of collega. Je denkt dat hij of zij iets met je wil delen, dus achteloos klik je op de link en vul je wat in om je aan te melden. Alleen gebeurt er daarna niets en kun je maar beter je wachtwoord veranderen. Dat is namelijk wat phishing mail doet: op zeer slinkse wijze je wachtwoord ontfutselen, dat vervolgens wordt geprobeerd bij andere websites om zo bij betalingsgegevens proberen te komen.

Waar de term vandaan komt mag duidelijk zijn: iemand vist naar je gegevens. Dit gebeurt echter niet direct - er wordt een lijntje uitgelegd en als jij in het aas bijt, hebben ze je. Dat gebeurt als sinds de jaren ‘90, maar waarom is dit nu plotseling zo anders geworden? Verspreiders van phishing mail weten tegenwoordig beter dan ooit welke programma’s veel worden gebruikt. Als je van een vriend of vriendin een Google Docs-link toegestuurd krijgt, denk je immers dat je dit kunt vertrouwen: alles ziet er veel echter uit en omdat zoveel mensen Google Docs gebruiken, lijkt het niet kwalijk te kunnen de e-maillink te volgen.

Grote bedrijven in gevecht

Het bedrijfsleven heeft ook enorm veel last van spam. Niet alleen omdat anderen zich voordoen als bijvoorbeeld ING of Albert Heijn en zo klanten voor de gek houden: klanten weten ook niet meer wat wél officiële berichtgeving van de bedrijven is. Hierdoor melden klanten zich massaal af voor nieuwsbrieven. Dubbel vervelend, want je afmelden voor phishing e-mail betekent voor de ‘visser’ juist dat hij beet heeft: je hebt de mail geopend en erop gereageerd door op de “afmeld”-link te klikken.

Een beetje detectivewerk

Je moet dus een aantal dingen goed controleren: wat is precies het e-mailadres waar deze e-mail vandaan komt, wat is de link waar de e-mail aan refereert en gebruik je gezonde verstand. Is er een reden dat diegene je ineens deze mail stuurt? Je kunt altijd maar beter contact opnemen met je vriend of vriendin om te controleren of deze mail klopt. Beter voorkomen dan genezen. Bovendien kan diegene andere mensen in zijn of haar omgeving erop wijzen dat er phising-mail uit zijn naam is gestuurd die direct de virtuele prullenmand in mag.

Iedereen kan het

De reden dat phishing toeneemt, is niet alleen omdat het succesvol is. Je hoeft namelijk niet per se technisch onderlegd te zijn om een phishing aanval te doen. Je kunt op het dark web gemakkelijk aan een phishing kit komen. Het is een soort pakketje dat je op een server installeert en waarmee je meteen alle gereedschappen paraat hebt om een phishing mail te versturen. Een kit bevat een kloon van een echte website met een voorgeprepareerde aangepaste loginpagina, zodat je alleen nog de mail hoeft te versturen en mensen voor de gek worden gehouden.

Wat tot slot ook belangrijk is, is het toegeven als je wel hebt geklikt. Vooral in grote bedrijven heerst er soms schaamte voor het klikken op een phishing e-mail, juist omdat er zo vaak op gehamerd wordt het niet te doen. Wees je ervan bewust dat deze e-mails steeds stiekemer worden en dat je zeker niet de enige bent die erin tuint. De campagneleider van Hillary Clinton overkwam het in 2016 en recentelijk klikten een paar beroemdheden op een link waarna hun naaktfoto’s niet lang daarna online verschenen. Kortom, juist door tijdig aan te geven dat je een foutje hebt gemaakt, kan er mogelijk iets worden gedaan om de bedrijfsinformatie veilig te stellen. En dat is waar het uiteindelijk om draait: zorgen dat de visser niet beet heeft.

Geschreven door: Laura Kempenaar op

Category: Blog

Tags: veiligheid, Cyber, Gevaar, Bedrijven, Werknemers, Email, phising-mail