Hoe herken je phishingmails?

Roberto Cecchini behandelt in dit artikel 3 soorten e-mailphishing. Ook geeft hij tips hoe je deze mails kunt herkennen. Roberto heeft onder andere GARR-CERT, het incident-responsteam voor het GARR-netwerk opgericht en geleid.

Een illustratie die phishing verbeeldt

Wat is phishing?

Phishing is een van de vele social-engineeringtechnieken om gebruikers te misleiden. Het is een vorm van oplichting om gevoelige informatie van een persoon of een bedrijf te verkrijgen, zoals wachtwoorden en creditcardgegevens. De daders gebruiken elektronische communicatie - meestal e-mail, instant messaging of sms. Ze vermommen zich als een betrouwbare entiteit, zoals een bank, een advocaat of een collega. In die hoedanigheid nodigen ze gebruikers uit om hun persoonlijke gegevens te geven om een probleem op te lossen, bijvoorbeeld een technisch probleem met hun bankrekening, of om een zeer mooie aanbieding te accepteren. Meestal wordt het slachtoffer naar een valse website geleid - die de look-and-feel van de rechtmatige website nabootst - om zijn of haar gegevens in te voeren.

Soorten phishing

Er zijn een aantal soorten phishing, ik noem er hier drie.

  • e-mailphishing: via mail wordt de gebruiker verleid om een geïnfecteerde bijlage te openen - een valse factuur, een brief van een advocaat - die malware op de computer installeert (denk eraan: zelfs als de antivirussoftware up-to-date is, betekent dat niet dat je 100% veilig bent)
  • spearphishing: phishing die gericht is op een specifieke persoon of organisatie
  • whalephishing: phishing gericht op een beslisser op hoog niveau in de organisatie

Wat cijfers

Een aantal cijfers om een idee te krijgen van de relevantie van phishing:

  • 88% van de organisaties heeft te maken gehad met spearphishing-aanvallen; 55% daarvan was succesvol.
  • 96% van de phishingaanvallen gebeurt via e-mail.
  • 94% van de malware werd geleverd via e-mail en 48% van de schadelijke bijlagen zijn Office-bestanden.
  • 65% van de aanvallers gebruikte spearphishing.
  • Een data-inbreuk kost gemiddeld 3 miljoen euro (IBM Cost of a Data Breach Report 2020)
  • Gegevens die vaker worden gecompromitteerd bij een phishingaanval zijn wachtwoorden, gebruikersnamen, persoonlijke, bedrijfsinterne, medische en bancaire gegevens.

Meer details weten? Lees dan Verizon Data Breach Investigations Report 2020, Symantec Internet Security Threat Report 2019 en Proofpoint State of the Phish Report 2020.

Checklist voor e-mailphishing

Als je onderstaande regels volgt, kun je de meeste e-mailphishing-pogingen tegenhouden. Houd er echter rekening mee dat detectie van spearphishing zeer moeilijk kan zijn.

Persoonlijke informatie

Legitieme bedrijven vragen niet om je persoonlijke gegevens per e-mail, of vragen je om een link te openen die naar een pagina wijst waar u ze kunt invullen.

Links

Ten eerste bevatten belangrijke legitieme mails geen aanklikbare links. Als de mail een link bevat, beweeg dan je muis erover zonder te klikken en controleer of de adressen die verschijnen gelijk zijn aan die in de mail. Als ze anders zijn, zullen veel e-mailclients je waarschuwen. Zelfs als ze gelijk zijn, controleer dan of ze niet "vreemd" zijn, zoals appple.com of zelfs zonder enige verwijzing naar de naam van de echte site.

Afzender

De afzender van een mail kan heel gemakkelijk worden vervalst, tenzij de e-mail digitaal wordt ondertekend. Dus ook al lijkt de mail te komen van iemand die je vertrouwt, dit hoef niet per se zo te zijn. Kijk goed naar het adres van de afzender: dat kan erg lijken op het juiste adres (bijvoorbeeld trustedperson@company.ir in plaats van trustedperson@company.it), of zelfs correct zijn als de oplichter geen antwoord nodig heeft. Bijvoorbeeld in het geval van een mail met een bijlage die malware bevat, zie hieronder. Lees ook het artikel 'Als de afzender niet is wie je denkt dat hij is...' van Bruno Vuillemin, security officer aan de Universiteit van Fribourg.

Bijlagen

Bijlagen kunnen zeer gevaarlijk zijn. Als het adres van de afzender correct is en je twijfelt, bel die persoon om het te verifiëren. Als je de bijlage opent en het verzoek verschijnt om macro's in te schakelen, moeten er onmiddellijk allerlei alarmbellen gaan rinkelen. En vertrouw niet te veel op je antivirussoftware: geen enkele antivirusprogramma perfect dus er is altijd een mogelijkheid dat je computer geïnfecteerd raakt.

Dringend verzoek of prachtige aanbiedingen

Pas op voor urgentie of ongelofelijke aanbiedingen! Oplichters willen dat je handelt zonder na te denken. Typische voorbeelden zijn smartphones met ongelofelijke kortingen, mail die waarschuwen dat je account op het punt staat te verlopen of dat er verdachte activiteiten zijn en dat je informatie moet verstrekken.

Ook betrouwbare sites, zoals Google, kunnen je vragen om je wachtwoord opnieuw in te stellen. Maar zij zullen je altijd laten inloggen buiten de e-mail om, dus nooit via een link in de e-mail.

Spelling en grammatica

Phishingmails bevatten vaak spelling- en grammaticafouten en/of zijn gebrekkig vertaald.

Handtekening

De meeste legitieme afzenders hebben een handtekeningblok aan het einde van hun e-mail.

Aanhef

Wees extra oplettend bij mails die een generieke aanhef hebben, zoals "Waardevolle klant", "Hallo iedereen" of "Aan alle medewerkers".

Last but not least...

Bij twijfel, ook de geringste twijfel, neem dan onmiddellijk contact op met je systeembeheerder! Ongeacht het tijdstip van de dag, iedere systeembeheerder heeft liever een vals alarm, dan de organisatie in gevaar te brengen.

Over de auteur

Roberto Cecchini heeft natuurkunde gestudeerd, en werkt inmiddels al meer dan 20 jaar op het gebied van security. Hij heeft het Italiaanse Nationale Instituut voor Kernfysica (INFN) Certificatie Autoriteit en GARR-CERT, de CSIRT-dienst voor het GARR-netwerk, opgericht en geleid.

Dit is een bewerking van een artikel van GÉANT, gepubliceerd in het kader van de CyberSecurityMonth 2020.