Phishing is een serieuze bedreiging voor elke branche. We hebben dit onderwerp elke dag meer in het nieuws zien verschijnen. Mogelijk hebt u al een frauduleuze e-mail ontvangen van wat van uw bank leek te zijn of heeft u zelfs gezien hoe LinkedIn dit jaar werd gehackt. Maar wat weet u van phishing?

Bron

maand voor cyberbeveiligingsbewustzijn

We besteden de maand oktober aan cybersecuritybewustzijn en het vermijden van phishing is het thema van deze week. Veel plezier met het lezen van dit bericht over het bestrijden van phishing. Het werd oorspronkelijk gepubliceerd door Sucuri , een erkend leider op het gebied van cyberbeveiliging.

Phishing is een serieuze bedreiging voor elke branche. We hebben dit onderwerp elke dag meer in het nieuws zien verschijnen. Mogelijk hebt u al een frauduleuze e-mail ontvangen van wat van uw bank leek te zijn of heeft u zelfs gezien hoe LinkedIn dit jaar werd gehackt. Maar wat weet u van phishing?

Hub-aanmelding

Wat is phishing?

Phishing is de frauduleuze poging om gevoelige informatie te verkrijgen, zoals inloggegevens of andere persoonlijke identificatie-informatie (PII), dit zijn alle gegevens die mogelijk een specifieke persoon kunnen identificeren, zoals:

  • Gebruikersnamen,
  • wachtwoorden,
  • Creditcard details,
  • BSN (sofinummer),
  • Bankrekeninginformatie,
  • E-mail,
  • Telefoonnummer,
  • Geheime vraag antwoorden

Zelfs gedeeltelijke informatie kan de kans op succes bij volgende social engineering-aanvallen vergroten.

Bij een phishing-poging lokt iets het slachtoffer dat zich voordoet als een betrouwbare entiteit, zoals:

  • Banken
  • Elektronische communicatoren
  • internetproviders
  • Detailhandelbedrijven
  • Winkels en anderen

Soorten phishing

Phishingpogingen gebeuren op vele manieren.

Misleidende e-mailcampagnes

E-mailphishing is een term die in de technologie wordt gebruikt om te verwijzen naar de frauduleuze praktijk van het verzenden van verdachte e-mails van een bekende of vertrouwde afzender met als doel slachtoffers ertoe aan te zetten vertrouwelijke informatie te onthullen.

Phishing kan een gerichte handeling zijn of niet. We kunnen ervan uitgaan dat iedereen een phishing-scam via e-mail heeft ontvangen. Tegenwoordig is het voor ons gemakkelijker om deze e-mails niet op te merken sinds de anti-spamtechnologie is geëvolueerd. De meeste van deze berichten kunnen nooit onze inbox bereiken.

Hier is een voorbeeld van een phishing-campagne die probeerde eigenaren van WordPress-sites te misleiden met een valse melding dat hun database een update nodig had.

Nep WordPress-database-upgradebericht

De phishing-pagina is gemaakt op een gehackte legitieme WordPress-website. Wanneer u op de knop “Upgrade” klikt, wordt een valse WordPress-inlogpagina geopend om de gebruikersreferenties te verzamelen.

Als onderdeel van e-mailphishing zijn nep-websitepagina’s ontworpen om er authentiek uit te zien en te klinken. Phishing-e-mails zeggen meestal dat je iets dringend moet verstrekken/verifiëren/bekijken en ze geven je een link. Deze link leidt u vervolgens naar de nep-webpagina’s.

Zonder deze e-mails zouden er niet veel bezoekers zijn voor de phishing-pagina’s, met uitzondering van phishing-berichten in sociale netwerken en sms.

Zorgvuldig vervaardigde phishing-inlogpagina’s overtuigen gebruikers dat ze inloggen op een geldige service. Wanneer gebruikers niet merken dat de inlogpagina nep is, ontvangen aanvallers hun inloggegevens of creditcardgegevens. De gestolen inloggegevens en persoonlijke informatie worden vervolgens gebruikt om identiteitsdiefstal en frauduleuze activiteiten uit te voeren.

Hier is een voorbeeld van een neppagina die we op een gecompromitteerde website hebben gevonden tijdens een reactie op een incident. We hebben op een website een phishing-directory met de naam “login-apple-account” geïdentificeerd. Bij toegang tot het pad via HTTPS werden gebruikers naar een zeer overtuigende spoof van de Apple ID-website geleid:

Valse Apple ID-aanmelding

Phishing in Google-documenten

Phishing-campagnes in Google-documenten maken deel uit van phishing-e-mailcampagnes wanneer hackers schadelijke links naar online documenten toevoegen.

Het is vrij gebruikelijk om Google-documenten te delen, dus veel mensen gaan ervan uit dat het normaal is dat een organisatie ze deelt via Google Drive. Wanneer mensen op Google Drive phishing-links klikken, zien ze zoiets als dit:

Valse Google Drive Phishing-links

In dit voorbeeld bevat de adresbalk een frauduleuze URL. Niet iedereen besteedt er echter aandacht aan en wordt vervolgens het slachtoffer van dergelijke oplichting.

Speervissen

Bij de meeste soorten phishing-aanvallen is een brede groep mensen het doelwit, bijvoorbeeld gebruikers van Google Documenten. Bij spear phishing-aanvallen zijn de doelen echter specifieke individuen.

Zeer gerichte aanvallen komen veel minder vaak voor dan de andere soorten massale phishing-aanvallen die we al hebben besproken, maar ze komen wel voor.

Kwaadwillende actoren kunnen hun slachtoffers opzoeken op websites of zelfs sociale-mediaplatforms, zoals Facebook of Instagram, om een op maat gemaakte zwendel te creëren die er legitiem kan uitzien.

Spear phishing-pogingen kunnen worden gevonden via e-mail of e-banking, gericht op een specifiek slachtoffer om de communicatie te lezen (spionage) of om een aanzienlijk geldbedrag te stelen.

Deze aanvallen kunnen gericht zijn op tussenliggende slachtoffers. Iemand die op een of andere manier toegang heeft tot het beoogde slachtoffer (bijv. secretaresse, accountant, enz.) om zijn account te gebruiken tegen belangrijkere mensen binnen de organisatie of om zijn computer te infecteren met malware om toegang te krijgen tot het interne netwerk van de organisatie.

Preventieve maatregelen

Phishing-aanvallen zijn wijdverbreid en met de feestdagen zo dichtbij komen deze kwaadaardige praktijken nog vaker voor.

U moet altijd op details letten wanneer u inloggegevens ergens op internet invoert. Hier zijn enkele rode vlaggen:

  • Verdachte URL’s,
  • Gebrek aan HTTPS,
  • rare formulering,
  • typfouten,
  • Onbekende e-mailafzenders

Gebruik waar mogelijk 2FA (Two-Factor Authentication). Als criminelen uw inloggegevens stelen, kunnen ze deze nog steeds niet gebruiken zonder de tweede authenticatiemiddelen (sms, authenticatie-app, hardwaretoken, enz.).

Phishing is meestal moeilijk te detecteren omdat schadelijke pagina’s diep in de directorystructuur worden gemaakt. Mensen controleren die mappen normaal gesproken niet en tenzij u de exacte URL van de phishing-pagina weet, zou u nooit weten dat uw site is gehackt.
Als webmaster is het raadzaam om een account te hebben in Google Search Console om je te informeren over beveiligingsproblemen, waaronder phishing.

Website-eigenaren kunnen ook gespecialiseerde sites zoals PhishTank.com en VirusTotal.com gebruiken om erachter te komen of hun site phishing-pagina’s host. De meeste phishing-pagina’s worden op gehackte sites geplaatst.

De post Cybersecurity bewustzijn: wat is phishing? verscheen eerst op GoDaddy Blog .