Waarom u phishing - zeker bij smartphones - serieus moet nemen

Bij phishing verleiden cybercriminelen gebruikers er onbewust toe persoonlijke info of bedrijfsgegevens prijs te geven of malware te downloaden waarmee hackers toegang krijgen tot gevoelige gegevens. Van de meest voorkomende cyberbedreigingen waar bedrijven zich bewust van moeten zijn, levert phishing wereldwijd het grootste cyberbeveiligingsrisico op.

Phishing wordt vaak in gang gezet via een link in een e-mail die van een legitieme bron afkomstig lijkt te zijn. Hackers gebruiken drie belangrijke tactieken: 

1. Ze benaderen gebruikers met een 'gevoel van urgentie'.
2. Ze doen zich voor als een authentieke bron die betaling wil voor een achterstallige dienst die 'bijna is afgelopen'.
3. Ze delen 'te mooi om waar te zijn'-aanbiedingen.

Phishing wordt daarnaast steeds vaker aangetroffen in verschillende media, waaronder berichtenplatforms, sociale media en zelfs datingsites. Als de crimineel erin slaagt een gebruiker te verleiden om op een link of bijlage te klikken, bevat deze vaak downloadbare malware of probeert hij wachtwoorden of financiële informatie te verkrijgen.

Fraudeurs sturen een phishingbericht vaak in één keer naar honderden of zelfs duizenden ontvangers, maar de laatste tijd is er een toename van 'spear phishing', het benaderen van één enkele persoon. Spear phishing' doet zich voor wanneer de cybercrimineel zich voordoet als iemand die u kent om toegang te krijgen tot gevoelige informatie.

Phishing-aanvallen op mobiele apparaten hebben een hoog succespercentage, omdat het moeilijk is om mogelijke rode vlaggen te zien op een kleiner scherm, in combinatie met de snelheid waarmee we onze mobiele apparaten gebruiken. Internationaal onderzoeksinstituut Gartner voorspelt: "Tegen 2022 zal 75% van de smartphones die in de onderneming worden gebruikt bring-your-own device (BYOD) zijn, tegenover 35% in 2018." 

De toename van mobile phishing die in de afgelopen twee jaar ook in Nederland is vastgesteld, wordt grotendeels toegeschreven aan phishingcampagnes gecentreerd rond COVID-19. Dit laat zien hoe cybercriminelen gebruikmaken van actuele gebeurtenissen om slachtoffers te phishen. 

Met name de Belastingdienst ontvangt veel meer meldingen van poging tot phishing waarbij de oplichter zich voordoet als de Belastingdienst. Het aantal meldingen ligt twee tot drie keer zo hoog als normaal. Bij phishing proberen oplichters mensen geld afhandig te maken, bijvoorbeeld door hen voor te houden dat ze een belastingschuld moeten betalen. Dat geld gaat vervolgens naar geldezels, dat zijn katvangers die hun bankrekening laten misbruiken voor criminele activiteiten. Ook worden DigiD-logins afhandig gemaakt. Normaal krijgt de Belastingdienst zo'n 2000 meldingen per week. Tijdens de coronacrisis was een piek zichtbaar van tussen de 10.000 en 12.000 meldingen per week.

Een geslaagde phishing aanval kan leiden tot een lange lijst van ongewenste zaken. Denk aan identiteitsdiefstal, diefstal van gevoelige gegevens of klanteninformatie, verlies van gebruikersnamen of van intellectueel eigendom, diefstal van fondsen van bedrijfs- en klantenrekeningen, reputatieschade, ongeoorloofde transacties, creditcardfraude, installatie van malware en ransomware, toegang tot systemen om toekomstige aanvallen te lanceren, doorverkoop van gegevens aan criminele derden.

Het is van groot belang dat u en uw medewerkers goed op de hoogte zijn van de risico’s en de gevolgen. Als u verdachte e-mails en berichten herkent, voorkomt u aanvallen. 

Er is veel antivirussoftware verkrijgbaar, waarmee u uw bedrijf niet alleen tegen phishingaanvallen maar ook tegen andere cyberdreigingen kunt beschermen. Sommige software bevat anti-phishingmogelijkheden, zoals het scannen van inkomende e-mails om te controleren of ze gevaarlijk zijn.