Overslaan naar hoofdinhoud

Een grondige gids voor phishing

Phishing

Phishing e-mailoplichting neemt toe en aanvallers worden steeds creatiever in de manieren waarop ze gegevens proberen te stelen. We kijken naar de verschillende soorten phishing-aanvallen en de beste manieren om jezelf en je bedrijf te beschermen.

Wat zijn phishing- en spoofe-mails?

Phishing-e-mails zijn zorgvuldig ontworpen e-mails die door een aanvaller worden verzonden op een manier die ze legitiem doet lijken, om het doelwit te misleiden tot het nemen van een of andere actie in goed vertrouwen.

E-mail phishing kan grofweg worden onderverdeeld in de volgende soorten:

Phishing
Bij dit type aanval doet een aanvaller zich voor als een echt bedrijf om je inloggegevens te verkrijgen. U kunt een e-mail ontvangen waarin u wordt gevraagd om uw accountgegevens te verifiëren met een link die u naar een onecht inlogscherm brengt dat uw gegevens rechtstreeks naar de aanvallers stuurt.

Spear Phishing
Spear phishing is een meer geraffineerde aanval die aangepaste informatie bevat waardoor de aanvaller een legitieme bron lijkt. Ze kunnen uw naam en telefoonnummer gebruiken en in de e-mail naar uw bedrijf verwijzen om u te laten denken dat ze een band met u hebben, waardoor u eerder geneigd bent op een koppeling of bijlage te klikken.

Whaling
Deze aanval is de laatste tijd populairder geworden, waarbij aanvallers zich heel specifiek richten op belangrijke zakelijke medewerkers om hen geld te laten overmaken of gevoelige informatie te laten versturen door zich voor te doen als een echte bedrijfsleider. Met behulp van een nepdomein dat lijkt op het bedrijf van het slachtoffer, of in combinatie met Spoofing (zie hieronder), stuurt de aanvaller een e-mail die lijkt op een bericht van een hooggeplaatste collega van het bedrijf, meestal de CEO of CFO, en vraagt om gevoelige informatie (inclusief gebruikersnamen en wachtwoorden). Een veelvoorkomend voorbeeld van whaling is om het slachtoffer te vragen onder druk financiële acties te ondernemen ("maak snel geld over naar een bankrekening zodat het bedrijf geen groot contact verliest").

Gedeelde documenten phishing
Mogelijk ontvangt u een e-mail die afkomstig lijkt te zijn van een platform voor gedeelde documenten (zoals SharePoint of Google Drive) met de melding dat er een document met u is gedeeld. De link in deze e-mails brengt u naar een valse inlogpagina die de echte inlogpagina nabootst en uw accountgegevens steelt als u deze invoert.

Spoof e-mails
Bij een spoof e-mail doet een aanvaller zich voor als een andere afzender. Dit wordt vaak gebruikt in combinatie met de bovenstaande aanvallen om je vertrouwen in de ontvangen e-mail te vergroten, waardoor je minder op je hoede bent.

Waar moet je op letten?

De meeste e-mailplatforms zullen veel schadelijke e-mails uitfilteren, maar er zullen er onvermijdelijk een paar doorkomen, vooral bij mensen die een hoge functie bekleden of waarvan de contactgegevens meer in het openbaar worden gepubliceerd. Daarom moet je altijd op je hoede zijn als je een e-mail opent. We hebben een paar duidelijke waarschuwingssignalen op een rijtje gezet waar je op moet letten als je een e-mail opent...

Duidelijke waarschuwingen

Waarschuwingen voor ongecontroleerde afzender
Misschien vind je e-mails in je inbox met de tekst 'Ongecontroleerd' of iets dergelijks naast de afzender. Dit is je e-mailprovider die je probeert te waarschuwen dat de afzender verdacht kan zijn.

Waarschuwingen in onderwerpregel en tekst
In e-mailplatforms zoals Office 365 kunnen beheerders aangepaste beleidsregels instellen die het onderwerp van een e-mail vooraf laten gaan door [WAARSCHUWING] of [LET OP] wanneer e-mails worden ontvangen van een onherkende afzender. Wanneer dit het geval is, wordt de hoofdtekst van de e-mail ook voorafgegaan door een waarschuwing of waarschuwing, zoals hieronder.

Abnormale verzoeken
In phishingmails wordt u gevraagd om een bepaalde actie uit te voeren, dus als u een verzoek ontvangt voor een van de volgende dingen, moet u dit als verdacht beschouwen;

1. Klik op een ingesloten link die je naar een website brengt

2. De e-mail beantwoorden met gevoelige informatie zoals gebruikersnaam, wachtwoord of persoonlijk identificeerbare informatie

3. Financiële handelingen verrichten zoals bankoverschrijvingen of bank- of creditcardgegevens verstrekken

Tijd Urgentie
Phishing-e-mails creëren vaak een gevoel van urgentie zoals "je moet dit in het komende 1 uur doen zodat je geen toegang verliest" of "kun je vandaag nog de bankoverschrijving doen zodat we geen belangrijke zaken mislopen". Als het verzoek echt is en echt dringend, is e-mail vaak niet de beste vorm van communicatie en zou dit argwaan moeten wekken.

Slechte spelling/grammatica
In phishingmails wordt ook vaak gebruik gemaakt van slechte of onjuiste spelling en slechte grammatica. Als de toon van de e-mail niet lijkt overeen te komen met de persoon die de e-mail lijkt te versturen, moet u altijd proberen het verzoek te verifiëren, hetzij persoonlijk, of via een video-/audiogesprek, zodat u zeker weet dat u met de juiste persoon spreekt.

Subtiele waarschuwingen

Soms zijn de tekenen iets minder voor de hand liggend, maar met wat basiscontroles is het mogelijk om phishing e-mails te ontdekken. Hieronder zie je een voorbeeld van een e-mail van iemand die zich voordoet als PayPal. Op het eerste gezicht ziet de e-mail er legitiem uit, maar met wat snelle controles kunnen we vaststellen dat het om een phishing e-mail gaat.

1. Als we kijken naar het e-mailadres van de afzender in het voorbeeld, lijkt het afkomstig te zijn van 'service@intl.paypal.com', maar bij nadere inspectie zul je zien dat het eigenlijk afkomstig is van 'service.epaiypal@outlook.com'.

2. De e-mail bevat een inloglink die naar een site zonder scrupules leidt. Je kunt controleren waar de link in een e-mail je naartoe leidt door met de muis over de URL te gaan die dan het adres toont waar de link naartoe leidt, zodat je het kunt inspecteren voordat je er daadwerkelijk op klikt. Dit wordt meestal weergegeven in een van de onderste hoeken of soms op je cursor.

Afbeelding1

Wat wel en niet te doen

Dit klinkt misschien allemaal een beetje ingewikkeld, maar als je de onderstaande do's en don'ts volgt, heb je een goede kans om phishingmails te onderscheppen.

 

  • DO Kijk uit naar de borden hierboven.
  • Probeer de afzender te verifiëren via een andere communicatiemethode als je het niet zeker weet.
  • Verzend waar mogelijk GEEN gevoelige of persoonlijk identificeerbare informatie via e-mail, zeker niet als het gaat om een blind of extern verzoek.
  • Neem GEEN financiële of IT-administratieve acties zonder dit te verifiëren via een andere communicatiemethode.
  • Klik NIET op koppelingen in e-mails zonder eerst te controleren waar de URL naartoe leidt.
  • Open GEEN bijlagen van verdachte of onbekende afzenders.
  • Deel uw inloggegevens in geen geval met anderen.

Laatste artikelen

Ontwerp zonder titel (26)
ASK4 onderweg: Gramercy Toren

15 april 2025

shutterstock 2226115235
De invloed van sociale media op de reis van studentenhuisvesting

3 april 2025

shutterstock 2040549131
Het verborgen verkoopargument: Waarom 60% van de BTR-operators er niet in slaagt inclusieve WiFi te promoten

10 maart 2025

Blijf op de hoogte van ASK4.

Meld je aan voor de ASK4 nieuwsbrief voor het laatste nieuws en meningen van het team.

Leven. Werken. Verbonden.

Verras je bewoners en versterk je team. Laten we je in contact brengen met de juiste persoon.

Neem contact op
Essentiële cookies

Essentiële cookies maken kernfunctionaliteit mogelijk, zoals paginanavigatie. De website kan niet naar behoren functioneren zonder deze cookies; ze kunnen alleen worden uitgeschakeld door uw browservoorkeuren te wijzigen.

Prestatiecookies

Prestatiecookies helpen ons om onze website te verbeteren door informatie over het gebruik ervan te verzamelen en te rapporteren (bijvoorbeeld welke van onze pagina's het meest worden bezocht).

Deze website maakt gebruik van cookies om uw ervaring te verbeteren.