Als oplichters hengelen naar je gegevens
Wat is phishing, hoe kun je het herkennen en wat kun je ertegen doen?
Pling! Een nieuwe mail. “Verifieer binnen 24 uur je bankrekening” van een bank of “Uw teruggave staat klaar” van de Belastingdienst. Herkenbaar? Phishing is een methode om informatie van een slachtoffer te ontfutselen, bijvoorbeeld voor geld, persoonsgegevens, of inloggegevens. En terwijl veel mensen denken dat hen dit niet overkomt, werden volgens het CBS zo’n 1 op de 200 Nederlanders vorig jaar slachtoffer van phishing. Vrijwel iedereen met een e-mailadres ontvangt regelmatig een phishingbericht. Een goede reden om eens goed naar phishing te kijken. In een 2-delige blogpost vertellen we je er meer over. In dit eerste deel geven we je antwoord op de vraag wat phishing is. Volgende week gaan we in op het herkennen en voorkomen ervan.
Herken en voorkom phishing
Phishing blijft populair
Al sinds jaar en dag bedenken criminelen de meest creatieve manieren om mensen in een nepbericht te laten trappen. Phishing gebeurt niet alleen via e-mail, maar ook via bijvoorbeeld sms-berichten proberen criminelen mensen te verleiden om op een malafide link te klikken. Een voorbeeld hiervan is een phishingaanval die onlangs in AVROTROS Opgelicht?! behandeld werd. Hierbij ontvingen mensen een sms-bericht van het Spaanse postbedrijf Correos, waarin stond dat de ontvanger verzendkosten moest betalen. Na op de link geklikt te hebben, verscheen een phishingwebsite. In de site, zogenaamd van Correos, werd om creditcardgegevens gevraagd om de verschuldigde verzendkosten van 1 euro te betalen. Na het invullen van de creditcardgegevens werd het slachtoffer aangemeld voor een datingwebsite, waarna er € 48,- werd afgeschreven. Het slachtoffer kreeg vervolgens dagelijks tientallen ongewenste e-mails op het gebied van dating. Deze specifieke aanval komt al zeker sinds 2019 voor, getuige de diverse meldingen [1, 2] hiervan. Een goede reden voor ons om blijvend aandacht te vragen voor phishing.
Niets nieuws onder de zon
Phishing valt onder de categorie ‘spam’ of nepberichten. Soms wordt gedacht dat dit alleen op het internet voorkomt, maar dat is niet waar. Zelfs vóór het internet uitgevonden was bestond de zogenaamde 419-fraude, oftewel voorschotsfraude, al. Sterker nog, dit soort fraude werd rond de Franse revolutie al gedocumenteerd. Voorschotfraude werkte met brieven die per post verstuurd werden. Zelfs vandaag de dag gebeurt dit nog. De introductie van het internet en in het bijzonder e-mail had natuurlijk een belangrijk voordeel: ineens konden kwaadwillenden met weinig kosten een wereldwijd publiek bereiken. Dat zorgde niet alleen voor een vloedgolf aan spam, ook de fraudevorm met nepberichten nam een enorme vlucht.
Phishing is schaalbaar
Bij phishing zien we 2 populaire methoden om berichten te versturen: e-mail en sms. Dat is geen toeval. Een van de kenmerken van phishing is dat het schaalbaar is. Dat wil zeggen dat het mogelijk is in korte tijd veel berichten te kunnen versturen. Het versturen van e-mails is gratis en zelfs met beperkte servercapaciteit kun je in korte tijd miljoenen mails versturen. Het versturen van sms’jes in grote aantallen is ook gemakkelijk te doen. In tegenstelling tot e-mail kost het versturen van sms’jes wel geld, bij kleine aantallen zo’n 6 tot 12 eurocent per bericht. Maar door gebruik te maken van bijvoorbeeld gestolen creditcardgegevens kunnen phishers die kosten afwentelen op iemand anders. Bovendien gaan de kosten omlaag bij het versturen van grote aantallen berichten. Daarnaast zijn spamfilters voor sms-berichten zeldzaam, dus berichten hebben een fors grotere kans om geopend en gelezen te worden. Ook sms kan dus een aantrekkelijk medium zijn om een phishingbericht te versturen.
Spoofing maakt phishing nog eenvoudiger
Toch is er nog een andere reden dat zowel e-mail als sms populair zijn als medium voor phishingberichten: ze lenen zich namelijk prima voor spoofing. E-mail, of eigenlijk SMTP, beschikt standaard niet over goede beveiliging, waardoor het kinderlijk eenvoudig is om een afzendadres te vervalsen. Als een domeinnaam geen veilige internetstandaarden zoals SPF, DKIM en DMARC gebruikt, dan kunnen kwaadwillenden e-mails versturen namens die domeinnaam. Een bekend en vertrouwd afzendadres zorgt er natuurlijk voor dat een phishingmail een stuk betrouwbaarder lijkt. De veilige e-mailstandaarden werken alleen als zowel de verzender als de ontvanger een e-mailserver hebben die deze standaarden ondersteunt: als de verzender bijvoorbeeld een digitale handtekening gebruikt dan moet de ontvanger deze natuurlijk wel controleren. Sms heeft een vergelijkbaar probleem, waardoor je kunt doen alsof een bericht vanaf een bepaald telefoonnummer afkomstig is, bijvoorbeeld het nummer van een bank. Overigens passen phishers spoofing lang niet altijd toe. Phishingmails komen ook vaak vanaf een ongerelateerd e-mailadres en phishing-sms’jes van onbekende 06-nummers, wat het gelukkig wat gemakkelijker maakt om ze te herkennen.
Het opzetten van een phishingaanval
Phishers hebben vaak een website nodig. Ze kunnen natuurlijk een e-mail uitsturen en vragen om per mail te reageren, maar dat is vrij ongebruikelijk en de kans is groot dat potentiële slachtoffers dit verdacht vinden. Daarom zetten ze een website op om de kans te vergroten dat een slachtoffer zijn of haar gegevens invult. De daders geven zich vaak uit voor een bekende organisatie, bijvoorbeeld een bank. Vervolgens maken de daders een bericht dat slachtoffers moet overtuigen om direct actie te ondernemen en op de link in het bericht te klikken. De website moet natuurlijk lijken op de officiële website van (in dit voorbeeld) de bank. En dan moet de dader nog iets doen met de gegevens die je invult op de website. Dit was deel 1 van een tweedelige blogpost over phishing. In het 2e deel kijken we naar het herkennen van phishingberichten en hoe je het kunt voorkomen.
