Wie klikt er eerder op een link in een phishing mail: iemand van 18 jaar of iemand van 50 jaar? Wat denk je? Uit een groot onderzoek van Mimecast met 1000 Nederlandse afnemers blijkt dat de meest kwetsbare groep voor phishing niet de 50-plussers zijn, maar juiste de “jonge” 18 tot 34-jarige (Managersonline.nl, 2022).
De persoon van 18 tot 34 jaar is opgegroeid in een tijd waar internet niet meer weg te denken is, maar de persoon van 50 heeft de opkomst van het internet bewust meegemaakt en is vaak bewuster van de gevaren en dus ook voorzichtiger.
Phishing is misschien wel de bekendste vorm van cybercrime, maar er zijn nog veel meer online oplichting praktijken zoals vishing en smishing. In deze blog behandelen we er een paar met voorbeelden en uiteraard ook wat je er tegen kunt doen.
BSN-nummers, pincodes, wachtwoorden en bankgegevens. Cybercriminelen willen ze maar al te graag hebben en dat lukt ze vaak ook. Uit een onderzoek van Universiteit van Twente naar fraudevictimisatie blijkt dat in 2020 1 op de 6 Nederlanders slachtoffer werd van fraude, 87,8% van deze gevallen was online. Laat het even tot je doordringen: dat zijn meer dan 2 miljoen mensen (Prof. dr. Junger, prof. dr. Veldkamp, & Koning, 2022).
Maar het ook weer niet zo gek als je bekijkt wat cybercriminelen er allemaal voor doen. De schaal waarop de mails worden verstuurd is enorm, dagelijks worden er ruim 150 miljoen phishing mails gestuurd (Phised, 2022). De partijen die ze misbruiken voor hun e-mails worden ook steeds alledaagser. Waar ze voorheen vaak nog de naam gebruikten van bijvoorbeeld een bank, misbruiken ze nu die van bekende bedrijven als Spotify, Microsoft, Coolblue, Eneco of bijvoorbeeld KPN. De oproep tot actie in de mails wordt bovendien steeds dwingender met zinnen als: “Betaal nu om afsluiting te voorkomen” of “Wij vragen u om een eenmalige verificatie te doen om blokkade te voorkomen”.
Voorbeeld van een phishingmail waarbij de naam van Vodafone wordt misbruikt. Let ook op het e-mailadres van de afzender: niet van Vodafone, maar van vodafonemailing.nl.
Voorbeeld van een phishingmail uit naam van PostNL. Bijna niet van echt te onderscheiden.
Naast e-mail zijn er natuurlijk nog tal van andere manieren om opgelicht te worden, bijvoorbeeld smishing (SMS phishing) en vishing (Voice phishing).
Deze vormen van cybercriminaliteit hebben het element van urgentie en zijn daardoor vaak zeer effectief (uit ogen van de cybercriminelen bekeken). Wanneer iemand je een sms stuurt reageer je over het algemeen sneller dan bij een e-mail. Ook sporen ze dit aan door woorden als “Belangrijk” of “Reageer direct!” toe te voegen.
Smishing, oftewel SMS phishing, is een voor cybercriminelen effectieve manier om mensen en/of bedrijven op te lichten.
Bij vishing word je via de telefoon benaderd, een zogenaamde medewerker van bijvoorbeeld de belastingdienst of bank benadert je voor persoonlijke informatie of achterstallige betalingen. Tegenwoordig kunnen oplichters zelfs de nummerherkenning gemakkelijk omzeilen en zich voordoen als officieel of lokaal nummer. Hang bij deze gesprekken altijd op en geef nooit gevoelige informatie door. En goed om te weten: bankmedewerkers vragen nooit naar je pincode.
Komt er een pop-up in je scherm? Klik dan niet op het kruisje, want ook achter dat kruisje kan een link zitten waarmee je je computer infecteert. Sluit pop-ups daarom af met de toetscombinatie Alt+F4 binnen Windows of Cmd+Q op de Mac. Het is nog beter om een Pop up blocker te installeren.
Krijg je via bijvoorbeeld een e-mail een link naar de website van jouw bank, klik daar dan nooit op. Als je wilt internetbankieren is het verstandigste om zelf het webadres in de browser te typen. Let er hierbij ook op dat je altijd begint met https:// in plaats van http://. Dus ga bijvoorbeeld naar https://www.rabobank.nl en niet naar http://www.rabobank.nl.
Enne, word je gebeld of gemaild door een “medewerker” van jouw bank? Geef nooit jouw inloggegevens of pincode. Banken vragen hier nóóit o. Nooit, never, nunca, nimmer! Al klinkt hun verhaal nog zo geloofwaardig, trap er niet in!
Wat hebben Moby Dick en CEO’s gemeen? Ze zijn allebei het doelwit van whaling, alhoewel de zeelieden niet zo discreet te werk gingen als cybercriminelen hebben ze wel een specifiek doelwit. Whalers gebruiken een vorm van cybercrime wat spear phishing wordt genoemd. Zij doen eerst grondig onderzoek en doen zich dan voor als een collega of klant en proberen zo via allerlei trucs boven in de organisatie binnen te komen. Op deze manier willen ze gevoelige informatie stelen of malware installeren. Deze vorm van cybercriminaliteit komt minder voor, omdat het de cybercrimineel veel werk kost. Maar deze vorm is wel super specifiek, zeer effectief en daardoor moeilijk te voorkomen. Naar schatting is spear phishing 10 keer zo effectief als phishing (Zandstra, 2020). Spear phishing kan overigens gericht zijn op iedereen binnen een organisatie, whaling richt zich enkel C-level.
Oh ja, en fishing? Dat is gewoon het Engelse woord voor vissen. Je weet wel met een hengel 😉
Fishing, stukken minder schadelijk dan phishing.
Er zijn dus tal van manieren waarop cybercriminelen je IT-systemen kunnen binnenkomen. Maar hoe wapen je je hier nu tegen? Wij raden mkb-ondernemers het security framework van CIS aan om hun cyber security aantoonbaar op orde te krijgen. Door middel van het CIS security framework kun je je beveiligingsrisico’s op een objectieve en systematische manier in kaart brengen, maar ook wordt duidelijk welke maatregelen je moet nemen om die risico’s te verlagen.
Het CIS security framework geeft aan wát je moet doen, maar niet hóé je het moet doen. Daarom hebben wij een praktisch vijfstappenplan ontwikkeld. Ontdek het hier.
