Google schat dat jaarlijks meer dan 12,3 miljoen mensen slachtoffer worden van phishing. Ondanks dat aan het eind van de vorige eeuw de eerste phishing-aanvallen werden geregistreerd en de traditionele methoden stilaan naar de achtergrond verdwijnen, blijft deze vorm van cyberfraude een vrij groot gevaar voor zowel particulieren als bedrijven.
Om het risico om slachtoffer te worden van phishing tot een minimum te beperken, dient u zich goed vertrouwd te maken met deze vorm van cyberfraude.
Wat is phishing?
Phishing is in de overgrote meerderheid van de gevallen het verspreiden van brieven namens redelijk bekende bedrijven met een massaal karakter. Dergelijke berichten bevatten meestal een link die leidt naar een site die, bij een eerste vluchtige inspectie, niet verschilt van de echte. Door vertrouwelijke informatie in de daarvoor bestemde velden in te voeren, wat oplichters met verschillende trucs kunnen bereiken, geeft de gebruiker cybercriminelen toegang tot hun accounts.
Hoe het allemaal begon
De eerste vermelding van phishing in verband met AOL verscheen in 1996.
Fraudeurs, die zich voordeden als werknemers van een mediabedrijf, vroegen gebruikers om hen wachtwoorden voor hun accounts te geven, en nadat ze toegang hadden gekregen, gebruikten ze deze om spam te verzenden. De distributie naar betalingssystemen begon in het begin van de jaren 2000 en in 2006 kwamen cyberoplichters naar MySpace en stalen gebruikersregistratiegegevens.
Phishingdoel
Aangezien phishing-aanvallen zowel op individuen als op bedrijven kunnen worden uitgevoerd, verschillen ook de doelen die oplichters nastreven.
In het eerste geval is het dus de bedoeling om toegang te krijgen tot logins en wachtwoorden, maar ook tot rekeningnummers van gebruikers van bankdiensten, maar ook tot betalingssystemen en sociale netwerken. Bovendien worden phishing-aanvallen vaak uitgevoerd om schadelijke software op de computer van een potentieel slachtoffer te installeren.
Het uitbetalen van accounts waartoe oplichters toegang hebben gekregen, is technisch gezien een nogal ingewikkeld proces, en het is veel gemakkelijker om een persoon die bij dergelijke operaties betrokken is, te pakken te krijgen.
Dus, na vertrouwelijke informatie te hebben ontvangen, verkoopt de fraudeur deze in de overgrote meerderheid van de gevallen gewoon aan andere personen met behulp van beproefde methoden om geld van rekeningen op te nemen. In het geval dat er een phishing-aanval wordt gedaan op een bedrijf, is het prioritaire doel om toegang te krijgen tot het account van een van de werknemers om vervolgens het bedrijf als geheel aan te vallen.
Phishing-methoden en -schema’s
Social engineering-methode
In dit geval informeren oplichters, die zich voordoen als werknemers van bekende bedrijven, het potentiële slachtoffer dat het nodig is om persoonlijke gegevens bij te werken of te verstrekken, wat meestal wordt verklaard door een systeemstoring of verlies.
Dit schema maakt gebruik van het feit dat mensen meestal reageren op belangrijke gebeurtenissen, in verband waarmee de organisatoren van de phishing-aanval de gebruiker zoveel mogelijk proberen te prikkelen, waardoor hij wordt gedwongen de actie te ondernemen die de oplichters onmiddellijk nodig hebben. Het is algemeen aanvaard dat een brief met de zin “om de toegang tot het account te herstellen, volgt u de link …” in de kop de aandacht van de gebruiker trekt en hem dwingt te klikken.
Eenvoudig bedrog
Dit schema, waarbij oplichters namens een bekend bedrijf een e-mail sturen, inclusief een verzoek om een link te volgen, komt het meest voor, waardoor binnen een uur miljoenen spam-e-mails worden verzonden. Om persoonlijke gegevens te stelen, worden phishing-sites gemaakt die op het eerste gezicht niet verschillen van de echte. In de overgrote meerderheid van de gevallen worden domeinen gebruikt die letterlijk door één teken verschillen van de echte.
Harpoon-phishing
In dit geval is de aanval niet massaal, maar wordt deze uitgevoerd op een specifieke persoon. Meestal wordt een dergelijk schema gebruikt om de bescherming van het bedrijf te omzeilen en een gerichte aanval uit te voeren. Cyberoplichters bestuderen voorlopig potentiële slachtoffers via sociale netwerken, evenals andere diensten, en passen daardoor berichten aan, waardoor ze overtuigender worden.
“Walvisvangst”
Een vergelijkbare methode wordt gebruikt bij een phishing-aanval op topmanagers en bedrijfsleiders, en om een maximaal beeld te krijgen van de persoonlijke kwaliteiten van een potentieel slachtoffer, besteden oplichters veel tijd aan het zoeken naar de meest geschikte manier om te stelen vertrouwelijke informatie.
Virusdistributie
Phishing-aanvallen worden vaak niet gebruikt om persoonlijke gegevens te stelen, maar om een bepaalde groep mensen schade toe te brengen. Om dit te doen, wordt een link ingevoegd in een phishingbericht, waarop wordt geklikt en een kwaadaardig programma wordt gedownload naar de computer van het slachtoffer, waarmee u de volledige controle over de computer van de gebruiker kunt krijgen.
Landbouw
Met deze methode, die vrij nieuw is, verkrijgen oplichters persoonlijke gegevens via officiële websites. Dergelijke phishing, waarbij het digitale adres van de officiële website van het bedrijf op de DNS-server wordt vervalst en de gebruiker automatisch wordt doorgestuurd naar een nepsite, is veel gevaarlijker dan traditionele methoden, omdat in dit geval de spoofing simpelweg niet te zien is. Ebay en PayPal hebben al last gehad van een dergelijk phishing-schema.
Vishing
In dit geval wordt telefonische communicatie gebruikt en wordt het telefoonnummer zelf, dat moet worden gebeld om het “probleem” op te lossen, aangegeven in een kennisgevingsbrief. Verder vragen de oplichters, al direct tijdens een telefoongesprek, de gebruiker om identificatiegegevens om het probleem zo snel mogelijk op te lossen.
Hoe u uzelf kunt beschermen tegen phishing
Allereerst moet u leren hoe u phishing zelf kunt berekenen, en wanneer u brieven ontvangt waarin u wordt gevraagd uw account te “verifiëren”, neem dan onmiddellijk contact op met het bedrijf om het bericht te verifiëren.
In plaats van hyperlinks te gebruiken, moet u de URL van het bedrijf handmatig in uw browser invoeren. De overgrote meerderheid van de berichten die van echte services komen, bevatten bepaalde informatie die niet beschikbaar is voor beginnende phishers, zoals een naam of de laatste cijfers van een account, hoewel dit de risico’s slechts een klein beetje verkleint. Het is vermeldenswaard dat een link naar een phishing-site ook kan worden opgenomen in berichten van vrienden van wie de accounts zijn gehackt.
Technische methoden om risico’s te minimaliseren
Veel browsers waarschuwen internetgebruikers al voor phishing-bedreigingen, waarvoor ze hun eigen lijsten van dergelijke sites bijhouden. Maildiensten vechten ook, verbeteren spamfilters en analyseren phishing-e-mails. Om risico’s te minimaliseren, maken grote bedrijven de autorisatieprocedures ingewikkelder en verbeteren ze de bescherming van persoonsgegevens.
Informatiebeveiligingsexpert Mikhail Tereshkov, vertegenwoordiger van JSC ER-Telecom Holding, geeft verschillende vrij eenvoudige maar effectieve methoden voor bescherming tegen phishing. Je moet er speciaal op letten of de site een beveiligingscertificaat heeft dat op https lijkt, en ook de standaardwachtwoorden van de router wijzigen. Bij het doen van aankopen is het beter om geen gebruik te maken van openbare wifi, en als u in een onbekende online winkel betaalt, moet u er meer informatie over verzamelen.
Uitvoer
Rekening houdend met het feit dat cyberaanvallen al lang ons leven zijn binnengedrongen, is gekwalificeerde bescherming tegen cybercriminelen een van de belangrijkste taken geworden van bedrijven die e-commercediensten ontwikkelen, maar gewone gebruikers mogen maatregelen niet vergeten die het risico op vallen in de de val van criminelen.
