• Wat is een phishing-e-mail? Wees alert en herken phishing-e-mails

Wat is een phishing-e-mail? Wees alert en herken phishing-e-mails

door

Laatst bijgewerkt:
19 min lezen
Wat is een phishing-e-mail? Wees alert en herken phishing-e-mails

Een phishing-e-mail is als een vermomde bedrieger in je inbox. Hij doet zich voor als een betrouwbare afzender, met als doel je te misleiden en te manipuleren zodat je gevoelige informatie prijsgeeft of schadelijke handelingen verricht. E-mailphishing is in de loop der jaren geëvolueerd van simpele grappen, zoals die waarmee vroege AOL-gebruikers halverwege de jaren 90 te maken kregen met willekeurige creditcardgeneratoren, tot geavanceerde, zeer lucratieve activiteiten voor hackers over de hele wereld die gebruikmaken van geavanceerde imitatie-tactieken. Het is een digitale oplichter die misbruik maakt van menselijke kwetsbaarheden en goedgelovigheid.

Ze kunnen verwoestende gevolgen hebben, zoals identiteitsdiefstal, financieel verlies of ongeautoriseerde toegang tot je accounts. Volgens het Data Breach Investigation Report 2019 van Verizon had ongeveer 32% van de datalekken dat jaar te maken met e-mail phishing en social engineering. Blijf voorzichtig en sceptisch, want het enige doel van een phishing-e-mail is om je te misleiden en uit te buiten.

Belangrijkste Conclusies

  1. Phishing-e-mails manipuleren ontvangers door zich voor te doen als betrouwbare bronnen, waarbij vaak gebruik wordt gemaakt van social engineering en een gevoel van urgentie om gevoelige informatie te ontfutselen of mensen tot schadelijke handelingen te verleiden.
  2. BEC-aanvallen (Business Email Compromise) kosten organisaties jaarlijks miljarden aan schade. 
  3. Controleer het e-mailadres van de afzender, algemene begroetingen, grammaticale fouten of spelfouten en verdachte verzoeken om persoonlijke gegevens. 
  4. Onverwachte bijlagen van bekende contacten zijn vaak gevaarlijker dan die van onbekenden. Gecompromitteerde accounts worden gebruikt om schadelijke bestanden te versturen naar mensen die hen vertrouwen 
  5. Het implementeren van e-mailverificatie (SPF, DKIM, DMARC) is van cruciaal belang voor de bescherming van domeinen, omdat het inzicht en controle biedt tegen pogingen tot identiteitsfraude en spoofing

Wat is een phishing-e-mail?

Een phishing-e-mail is een frauduleuze e-mail die bedoeld is om ontvangers ertoe te verleiden gevoelige gegevens vrij te geven, op schadelijke links te klikken, malware te downloaden of ongeoorloofde handelingen goed te keuren.

In deze e-mails doen de afzenders zich vaak voor als betrouwbare bronnen, zoals banken, collega’s, IT-teams, bezorgdiensten of leidinggevenden. Aanvallers maken gebruik van herkenbare huisstijlen, dringende bewoordingen en een realistische opmaak om het bericht een legitieme indruk te laten maken.

Moderne phishing-e-mails zijn steeds moeilijker te herkennen omdat ze gepersonaliseerd en contextgebonden zijn en zo zijn opgesteld dat ze echte zakelijke communicatie nabootsen.

Phishing-beveiliging vereenvoudigen met PowerDMARC!

Hoe werken phishing-e-mails?

De tactieken achter phishing-e-mails zijn geen geheim. Ze zijn uitgebreid gedocumenteerd, onderzocht en er worden voortdurend trainingen tegen gegeven, maar toch blijven ze werken, omdat ze geen misbruik maken van software. Ze maken misbruik van de manier waarop mensen onder druk informatie verwerken.

1. De aanvaller doet zich voor als een betrouwbare afzender

Elke phishing-e-mail begint met het zich voordoen als iemand anders. De naam van de afzender ziet er correct uit, het domein lijkt op het eerste gezicht in orde (de meeste mensen controleren nooit het volledige adres, laat staan dat ze de headers bekijken; aanvallers baseren hun hele campagnes op die veronderstelling). De opmaak, de toon en het logo zijn zo ontworpen dat ze vertrouwd genoeg aanvoelen, zodat je er niet bij stilstaat om ze in twijfel te trekken.

2. De boodschap benadrukt de urgentie

Phishing-e-mails wekken een gevoel van urgentie op door angst als tactiek te gebruiken. Het kan gaan om een mislukte betaling of een geblokkeerde toegang tot een belangrijk account. De druk is zo opgezet dat je de verificatie overslaat en onmiddellijk actie onderneemt. 

Het werkt soms zelfs bij getrainde beveiligingsprofessionals, bij mensen die een training over phishing hebben gevolgd. De angstreactie is sneller dan de sceptische reactie, en aanvallers weten precies hoe ze die kunnen uitlokken.

3. Social engineering doet het zware werk

Phishing omzeilt de technische infrastructuur volledig door zich te richten op iets dat niet kan worden gepatcht: hoe mensen reageren op druk, gezag en het gevoel dat de tijd dringt.

Aanvallers gebruiken je naam, je bedrijf en soms de naam van je leidinggevende, die ze van LinkedIn hebben gehaald. Ze doen zich voor als je CEO of als een leverancier waarmee je daadwerkelijk samenwerkt. Ze stellen een deadline: je moet binnen een uur reageren, anders verlies je je toegang, of je moet nu bevestigen, anders mislukt de betaling. De FOMO is verzonnen, maar de angst die het oproept is echt.

De bijlagen/URL’s zijn zo ontworpen dat ze er identiek uitzien aan de echte. Als je erop klikt, kom je terecht op een vervalste inlogpagina die zo goed op de legitieme site lijkt dat iemand die niet goed oplet, er gemakkelijk in trapt. Zodra je je inloggegevens invoert, worden deze onmiddellijk en in realtime onderschept, nog voordat je doorhebt dat er iets mis is.

5. Gevoelige gegevens worden verzameld

Ze zijn vaak uit op je gebruikersnamen, wachtwoorden, creditcardgegevens, burgerservicenummers of alles wat een verkoopwaarde heeft of direct bruikbaar is. Een deel daarvan wordt onmiddellijk gebruikt voor het overnemen van accounts of financiële fraude, terwijl de rest wordt verkocht. Hoe dan ook, één succesvolle phishing-e-mail kan leiden tot aanvallen die nog maanden daarna doorgaan.

6. Die gestolen gegevens worden in de praktijk gebracht

Zodra aanvallers je inloggegevens in handen hebben, komen ze in actie. Binnen enkele uren, of soms zelfs minuten, hebben ze toegang tot je account. Financiële fraude, de grootschalige verkoop van inloggegevens op dark web-marktplaatsen en vervolgacties in de vorm van spear-phishing, waarbij ze gebruikmaken van de persoonlijke gegevens die ze zojuist uit je inbox hebben gehaald. 

Vervolg-spear-phishing is in feite een vervolgaanval, waarbij de aanvallers de gegevens uit een succesvolle phishing-e-mail hergebruiken voor een volgende, nog gerichtere aanval. 

Waarschuwingssignalen bij phishing-e-mails en hoe je ze kunt herkennen

Phishing-e-mails zijn inmiddels zo goed geworden dat ze zelfs mensen kunnen misleiden die precies weten waar ze op moeten letten. Wat je kunt doen, is even de tijd nemen en de afkomst van een e-mail controleren voordat je deze opent of op de links klikt.

  1. Het adres van de afzender is het eerste waar je naar moet kijken. 
  2. Controleer het daadwerkelijke domein. 
  3. Let in de onderwerpregel en de tekst op formuleringen die niet helemaal kloppen, zoals grammaticale fouten, onhandige zinsconstructies en bewoordingen die bijna goed klinken, maar net niet helemaal. 
  4. Let op e-mails die zo urgent overkomen dat ze je ertoe aanzetten om te handelen voordat je, zoals je normaal zou doen, eerst de informatie zou controleren.

Checklist voor kritieke waarschuwingssignalen

Sommige daarvan liggen voor de hand, terwijl andere de moeite waard zijn om te weten

  • Ontwerpfouten: een afwijkende versie van het logo, lettertypes die niet helemaal kloppen, kleuren die niet overeenkomen met die van het echte merk 
  • Onverwachte betalingsverzoeken: dringende facturen of betalingsherinneringen, vooral bij nieuwe bankgegevens
  • Zich voordoen als een leidinggevende: verzoeken om overschrijvingen of om gevoelige gegevens die afkomstig lijken te zijn van het hoger management 
  • QR-codes: Onverwachte QR-codes omzeilen de meeste e-mailbeveiligingsfilters omdat de bestemmings-URL niet zichtbaar is voor geautomatiseerde scans. Je telefoon volgt de link zonder dezelfde controle die een browser uitvoert 
  • Deepfake/videofraude: Er wordt op grote schaal gebruikgemaakt van verzoeken met synthetische stemmen of video’s; bij een aanval in 2020 werd gebruikgemaakt van een gekloneerd telefoongesprek om een overschrijving van 35 miljoen dollar te autoriseren 
  • MFA-push-bombing: herhaalde authenticatieverzoeken in de hoop dat je er één goedkeurt, zodat ze ophouden. 
  • Waarschuwingen over activiteiten: meldingen over verdachte aanmeldingen waarin je wordt gevraagd door te klikken om ‘je account te beveiligen’  
  • Algemene begroetingen

Voorbeelden: „Geachte klant.“ „Geachte gebruiker.“ Elk bedrijf waar u een account hebt, kent uw naam. Algemene aanhefjes geven aan dat deze e-mail niet speciaal voor u is geschreven, maar voor een algemene lijst. 

  • Verzoeken om persoonlijke informatie

Banken vragen nooit via e-mail om je wachtwoord. IT-afdelingen vragen je nooit om je inloggegevens via een link te ‘bevestigen’. Als een verzoek normaal gesproken via een beveiligd proces verloopt en iemand je via e-mail vraagt om dat proces over te slaan, dan is dat een duidelijk teken dat er iets niet klopt. 

  • Ongebruikelijk e-mailadres afzender

Iedereen kan een weergavenaam naar eigen inzicht instellen. Het gaat om het daadwerkelijke domein; vergelijk dit met wat je zou verwachten van de officiële communicatie van die organisatie. Een enkel verkeerd geplaatst teken, een koppelteken, een ander topleveldomein. Dit zie je gemakkelijk over het hoofd als je haast hebt, en dat is precies het moment waarop dit soort e-mails vaak binnenkomen. 

  • Onverwachte bijlagen of downloads

Vooral van mensen die je kent. Een kwaadaardige bijlage dat vanuit een gehackt account is verzonden, is gevaarlijker dan een bijlage van een onbekende, omdat je er minder snel argwaan bij hebt. Als je het bestand niet verwachtte, controleer het dan voordat je het opent. De realtime waarschuwingen van PowerDMARC signaleren wanneer onbevoegde afzenders je domein proberen te gebruiken, waardoor pogingen tot identiteitsfraude worden opgespoord voordat ze de inbox bereiken. 

Soorten phishingaanvallen (met voorbeelden van e-mails)

Spoofing, spear phishing, whaling, pharming en BEC zijn veelvoorkomende soorten phishingmails. Hoewel hun slachtofferprofiel of modus operandi licht kan verschillen, veroorzaken ze waarschijnlijk schade aan organisaties en individuen.

Vergelijkingstabel: soorten phishingaanvallen

Type aanvalAanvalsvectorTypische doelgroepenKenmerkende eigenschappen
E-mail spoofingE-mailHet grote publiekVervalste afzenderadres
Spear PhishingE-mailBepaalde personenZeer gepersonaliseerde inhoud
WalvisvaartE-mailtopmanagersZich voordoen als een leidinggevende
VishingTelefoonHet grote publiekMisleiding via spraak
SmishingsmsMobiele gebruikersBezorging van sms-berichten

1. E-mail spoofing

In september 2019 verloor Toyota 37 miljoen dollar omdat een aanvaller een e-mailadres had vervalst. Er was maar één medewerker voor nodig, en één overtuigende e-mail. De afzender zag er betrouwbaar uit, het verzoek leek aannemelijk en niemand belde om het te verifiëren voordat de overboeking werd uitgevoerd.

Bij e-mailspoofing wordt het afzenderadres vervalst zodat het lijkt alsof de e-mail afkomstig is van een bank, een overheidsinstantie of soms een interne leidinggevende – kortom, van iemand op wie de ontvanger het meest geneigd is te reageren zonder vragen te stellen. De e-mail hoeft niet perfect te zijn. Hij hoeft alleen maar overtuigend genoeg te zijn zodat een drukbezette persoon op een dinsdagmiddag niet de moeite neemt om het volledige afzenderdomein te controleren.

DMARC-handhaving voorkomt dit op protocolniveau. Wanneer een domein DMARC heeft ingesteld op p=reject, worden niet-geverifieerde e-mails die beweren afkomstig te zijn van dat domein geweigerd voordat ze de inbox bereiken. PowerDMARC zorgt voor die handhaving en geeft u inzicht in alles wat namens uw domein wordt verzonden.

2. Spear Phishing

Bij gewone phishing wordt breed uitgezaaid. Spear-phishing is het tegenovergestelde: er is één doelwit, dat van tevoren is onderzocht, en er wordt een e-mail op maat voor deze persoon opgesteld.

Aanvallers sporen je naam, je functie, je leidinggevende en een project waarmee je in het openbaar in verband wordt gebracht op via LinkedIn, de website van je bedrijf of persberichten – alles wat ze maar kunnen vinden. Vervolgens stellen ze een bericht op dat voldoende verwijzingen naar de werkelijkheid bevat om de indruk te wekken dat het uit jouw eigen omgeving afkomstig is. Niet ‘Geachte klant’, maar je echte naam, je echte bedrijf en soms zelfs de naam van een collega die je zonder aarzelen zou vertrouwen.

Juist die persoonlijke aanpak maakt het zo moeilijk om mensen te trainen in het herkennen van spear-phishing-e-mails. Bij algemene bewustwordingstrainingen leren mensen algemene aanvallen te herkennen. Spear-phishing ziet er niet algemeen uit, maar lijkt op een gewone e-mail van iemand die je kent. Daarom scoort het qua klikpercentages steevast beter dan brede phishingcampagnes.

3. Walvisaanvallen

Nikkei Inc. leed een verlies van 29 miljoen dollar toen een medewerker van hun Amerikaanse kantoor geld overmaakte op basis van instructies van iemand die zich voordeed als een leidinggevende. Er was geen sprake van malware of een inbreuk op het systeem. Alleen een e-mail die eruitzag alsof hij van de juiste persoon afkomstig was, met een verzoek dat binnen de normale werkprocedures leek te vallen.

Whaling is spear phishing gericht op leidinggevenden of op medewerkers die financiële bevoegdheden hebben of toegang tot gevoelige gegevens. De doelgerichtheid is opzettelijk. Aanvallers besteden hier meer tijd aan omdat de opbrengst dit rechtvaardigt. Een goed onderbouwde e-mail waarin de afzender zich voordoet als een CFO, een bestuurslid of een vertrouwde contactpersoon van een leverancier kan transacties autoriseren die anders meerdere goedkeuringslagen zouden vereisen.

Bij Vendor Email Compromise (VEC) wordt dezelfde tactiek vanuit een andere invalshoek toegepast: de aanvallers breken in bij of doen zich voor als medewerkers van een leverancier en maken gebruik van die bestaande zakelijke relatie om frauduleuze betalingsverzoeken als routine te laten overkomen. 

4. Pharming

Pharming is de aanval waarbij je alles goed doet en toch op een valse site terechtkomt.

Aanvallers maken misbruik van DNS-kwetsbaarheden of wijzigen DNS-instellingen via kwaadaardige software, zodat zelfs een correct ingevoerde URL naar een vervalst doel wordt omgeleid. De adresbalk van de browser kan er normaal uitzien. Er is geen verdachte link waar je met de muis overheen kunt gaan, geen duidelijke aanwijzing in de e-mail, want in sommige gevallen is er helemaal geen e-mail. Je gaat gewoon naar een website die je al tientallen keren hebt bezocht en komt terecht op een plek waar je niet heen wilde.

Pharming is moeilijker te herkennen dan een vervalste link, en nog moeilijker om ertegen te trainen

5. Compromittering van zakelijke e-mails (BEC)

Een stad in Colorado verloor meer dan 1 miljoen dollar nadat een aanvaller een frauduleus verzoek tot wijziging van de betalingsgegevens had ingediend voor een lokaal bouwbedrijf. Een medewerker paste de betalingsgegevens aan, waarna het geld werd omgeleid. Tegen de tijd dat iemand het doorhad, was het geld verdwenen.

BEC is ofwel een gehackt legitiem e-mailaccount, ofwel een overtuigende imitatie daarvan, die wordt gebruikt om transacties te autoriseren, betalingen om te leiden of gevoelige gegevens te ontfutselen. Het FBI-rapport over internetcriminaliteit uit 2019 schatte de schade door BEC dat jaar op meer dan 1,7 miljard dollar, goed voor meer dan de helft van alle gemelde verliezen door cybercriminaliteit, en de cijfers zijn sindsdien alleen maar gestegen.

Wat BEC zo effectief maakt, is dat het verzoek binnenkomt via een kanaal dat mensen al vertrouwen, zoals een bekend e-mailadres, een bestaande relatie met een leverancier of een naam die ze herkennen. De goedkeuring vindt plaats voordat iemand eraan denkt om dit via een ander kanaal te controleren.

Door DMARC af te dwingen wordt de directe aanvalsroute via identiteitsfraude afgesloten: een aanvaller kan geen e-mails versturen die de authenticatie als uw domein doorstaan zonder toegang tot uw ondertekeningssleutels. De real-time monitoring brengt authenticatiefouten en ongebruikelijke verzendpatronen aan het licht voordat ze tot incidenten leiden.

In tegenstelling tot verouderde oplossingen is PowerDMARC speciaal ontwikkeld voor zowel grote ondernemingen als MSP’s en biedt het: geavanceerde rapportage, geautomatiseerd SPF-beheer en dashboards voor meerdere klanten. Ontdek waarom onze klanten ons op G2 als nummer 1 beoordelen.

Ontdek hoe we Digital Infinity IT Group hebben geholpen bij het tegengaan van phishingaanvallen

Uitgebreid overzicht van soorten phishingaanvallen

Meestal gaat de meeste aandacht naar e-mail, maar e-mail is niet het enige kanaal via welke aanvallen plaatsvinden. 

Op communicatie gebaseerde phishing

  • Vishing (telefonische phishing): Bij vishing gebeurt alles via de telefoon: een aanvaller belt je op, doet zich voor als een bank, IT-helpdesk of overheidsinstantie, en haalt je over om je inloggegevens mondeling door te geven. Er is geen link waar je met de muis overheen kunt gaan, of een afzenderadres dat je kunt controleren. Alleen een stem en een aannemelijk verhaal.
  • Smishing (sms-phishing): Smishing is de sms-variant van vishing, met een kort bericht, een dringende toon en een kwaadaardige link. Deze methode is vooral effectief bij mobiele gebruikers, omdat mensen sneller en minder kritisch op links in sms-berichten klikken dan in e-mails, en de meeste telefoons de volledige URL niet weergeven voordat je erop tikt.
  • Kloon-phishing: Kloon-phishing is een vorm van phishing die mensen te pakken krijgt die denken dat ze voorzichtig zijn. Een aanvaller neemt een echte e-mail die je al hebt ontvangen, kopieert deze exact, vervangt de links of bijlagen door kwaadaardige versies en verstuurt deze opnieuw als vervolgbericht. 

Phishing via het internet

  • HTTPS-phishing: valse websites met geldige SSL-certificaten. Het hangslotje geeft aan dat de verbinding versleuteld is. Het zegt echter niets over de vraag of de website aan de andere kant legitiem is. 
  • Pop-up-phishing: pop-ups in de browser die zich voordoen als beveiligingswaarschuwingen of systeemmeldingen, waarin je wordt gevraagd om in te loggen of iets te downloaden
  • Evil twin: een vals wifi-netwerk met dezelfde naam als het legitieme netwerk, opgezet in een café, op een luchthaven of in de lobby van een hotel. Je maakt verbinding zonder dit te controleren. Je internetverkeer komt dan terecht op een plek waar het niet hoort te zijn.
  • Watering-hole-aanvallen: in plaats van slachtoffers rechtstreeks aan te vallen, breken aanvallers in op websites die medewerkers van de doelorganisatie regelmatig bezoeken. De infectie komt van een site die je al vertrouwt. Er is geen verdachte e-mail voor nodig, en dat maakt het juist zo moeilijk om op te merken.

Geavanceerde phishingtechnieken

  • Domeinspoofing: Aanvallers registreren domeinen die bijna identiek lijken aan legitieme domeinen, waarbij ze rn voor m, 1 voor l, een koppelteken toevoegen, de TLD wijzigen. Bijvoorbeeld: paypa1.com. arnazon.com. Visueel lijken ze op elkaar, zodat ze op het eerste gezicht door elkaar kunnen worden gehaald, vooral in een mobiele browser waar de volledige URL nauwelijks op het scherm past. 
  • Afbeeldingsphishing: kwaadaardige inhoud die in afbeeldingen is verwerkt in plaats van in tekst, waardoor geautomatiseerde filters die op verdachte trefwoorden of links scannen, niets vinden. 
  • Phishing via zoekmachines: valse websites die zijn opgezet om hoog te scoren op zoektermen die mensen gebruiken als ze snel hulp nodig hebben. Zoals ‘inlogpagina van de bank’, ‘betalingsportaal van de belastingdienst’ of ‘software downloaden’. Mensen vertrouwen zoekresultaten op een manier waarop ze hebben geleerd e-mails niet te vertrouwen. 
  • Man-in-the-middle: De aanvaller plaatst zich tussen jou en een legitieme website in en onderschept de sessie in realtime. Je denkt dat je op de echte pagina zit, en technisch gezien is dat ook zo, maar alles wat je invoert, gaat eerst naar iemand anders 

Veelgebruikte sjablonen voor phishing-e-mails

Deze sjablonen blijven de ronde doen omdat ze blijven werken. De meeste mensen hebben vast wel eens een of andere versie ervan gezien. 

Uitgebreide praktijkvoorbeelden: De volgende voorbeelden bevatten veelvoorkomende phishing-sjablonen en wijzen op specifieke alarmsignalen waar u in elk scenario op moet letten.

1. “Uw account is gemarkeerd”

In de onderwerpregel staat dat er iets mis is, bijvoorbeeld een poging tot ongeoorloofde toegang of een verdachte aanmelding vanaf een onbekend apparaat. „Uw account wordt binnen 24 uur geblokkeerd, tenzij u zich onmiddellijk verifieert.“

Je klikt voordat je klaar bent met lezen. Tegen de tijd dat je op de inlogpagina bent, zit je er al aan vast. De link leidt naar een pagina die er precies zo uitziet als de echte. Je voert je inloggegevens in, en de aanvaller krijgt toegang tot je account. 

Let op: geen specifieke accountgegevens in de tekst (echte waarschuwingen bevatten meestal je gebruikersnaam of de laatste vier cijfers van een nummer), een afzenderdomein dat er bijna hetzelfde uitziet maar niet precies hetzelfde is, en een inlogpagina waarop meer gegevens worden gevraagd dan je normaal gesproken zou invoeren.

Dringende accountverificatie

Andere veelgebruikte phishing-sjablonen

Een aantal sjablonen die in verschillende sectoren steeds weer terugkomen: 

  • Oplichting met valse facturen: een factuur van een leverancier die je vaag herkent, of die op het eerste gezicht legitiem lijkt, waarin om betaling op nieuwe bankgegevens wordt gevraagd. De crediteurenadministratie krijgt dit soort facturen regelmatig binnen. Het bedrag ligt meestal binnen een marge waarvoor geen extra goedkeuring nodig is. 
  • Oplichting met accountupgrades: een aanbod om een dienst die u gebruikt te upgraden, waarbij om betalingsgegevens wordt gevraagd om dit te voltooien. Soms doet men zich voor als een tool waarop uw bedrijf daadwerkelijk is geabonneerd. 
  • HR-oplichting: valse e-mails over salarisadministratie of secundaire arbeidsvoorwaarden waarin je wordt gevraagd je bankgegevens bij te werken of persoonlijke gegevens te bevestigen. Deze worden vaak verstuurd rond de periode waarin nieuwe medewerkers worden ingewerkt of tijdens de jaarlijkse inschrijfperiode, wanneer dergelijke verzoeken te verwachten zijn en mensen minder geneigd zijn ze in twijfel te trekken. 
  • Oplichting via cloudopslag: „Iemand heeft een document met je gedeeld.” De link leidt naar een vervalste inlogpagina van Google Drive, OneDrive of Dropbox. Je voert je inloggegevens in om het bestand te bekijken, terwijl het bestand er nooit heeft gestaan. 

2. “Je hebt de loterij gewonnen”

Deze e-mails verschijnen in de inbox met de mededeling dat je een prijs hebt gewonnen, soms een geldbedrag, een cadeaubon of vage ‘winsten’, en vragen om persoonlijke gegevens om de uitbetaling te regelen. Naam, adres, geboortedatum en soms bankgegevens om het geld over te maken. Het domein van de afzender komt niet overeen met een echte organisatie en de grammatica klopt meestal niet. Vaak wordt er een telefoonnummer in het buitenland of een algemeen e-mailadres vermeld voor verdere afhandeling.

Het is een van de oudste phishing-sjablonen die er nog steeds in omloop zijn, maar het werkt nog steeds – niet bij de meeste mensen, maar bij genoeg om ervoor te zorgen dat het niet is gestopt. De aanpak is gericht op kwantiteit: stuur het naar genoeg adressen en er zal wel iemand reageren.

Let op: een prijs waarvoor je je nooit hebt aangemeld, het vooraf opgeven van persoonlijke gegevens voordat er iets wordt ‘vrijgegeven’, een gevoel van urgentie om de prijs vóór een bepaalde deadline te claimen, en contactgegevens die niet overeenkomen met die van een verifieerbare organisatie.

Loterij Winnaar Melding

3. „Essentiële beveiligingsupdate vereist“

De e-mail lijkt afkomstig te zijn van een softwareleverancier die je daadwerkelijk gebruikt, met in de onderwerpregel een verwijzing naar een CVE-nummer of een vage „kritieke kwetsbaarheid“. Er staat een downloadlink in en een deadline, met de boodschap „installeer nu de patch voordat je systeem kwetsbaar wordt“. 

Mensen zijn eraan gewend om software snel te updaten. Daar maakt deze aanval misbruik van. De link leidt niet naar een patch, maar naar een bestand dat malware installeert. Afhankelijk van wat daarin zit, krijgt de aanvaller in verschillende mate toegang tot de computer waarop het bestand is uitgevoerd.

Let op: er wordt geen specifieke productversie genoemd, de download staat ergens anders gehost dan op het eigenlijke domein van de leverancier, en er wordt een gevoel van urgentie gecreëerd waardoor men niet de neiging heeft om de tekst zorgvuldig door te lezen alvorens te klikken.

4. "Dringend verzoek om overschrijving".

Korte e-mails lijken vaak afkomstig te zijn van een leidinggevende, zoals een CFO of CEO, of soms van een directe leidinggevende, met een bericht als: „Er moet dringend een overschrijving worden gedaan. Dat kan op dit moment niet via de normale kanalen. Regel het even, dan bespreken we het later.” 

Het gezag en de urgentie zijn verzonnen. Beide zijn bedoeld om je tot handelen aan te zetten voordat je de informatie via een ander kanaal controleert – en dat is juist de stap die het probleem altijd zou opsporen.

Let op: een afzenderdomein dat bijna hetzelfde is, maar niet precies hetzelfde; een verzoek om het standaardgoedkeuringsproces over te slaan; en financiële instructies waarbij wordt aangegeven dat u deze niet eerst moet bevestigen.

5. "Vertrouwelijke Overname-informatie".

E-mails met de tekst: „U bent geselecteerd om vertrouwelijke informatie te ontvangen over een aanstaande overname. Klik hier om het document te openen“

Deze e-mail speelt in op nieuwsgierigheid en het gevoel deel uit te maken van iets belangrijks, zoals details over een fusie, concurrentie-informatie of voorkennis. De doelgroep bestaat meestal uit financiële teams, directieassistenten en iedereen wiens werk het omgaan met gevoelige bedrijfsinformatie omvat en die een dergelijke e-mail geloofwaardig zou vinden.

Het document bestaat niet. Via de link wordt malware geïnstalleerd. Tegen de tijd dat je merkt dat er iets mis is, is het al actief.

Let op: er is geen eerdere relatie of context die verklaart waarom je dit bericht zou ontvangen, je moet iets downloaden om de inhoud te kunnen bekijken, en je kunt de afzender via geen enkel ander kanaal verifiëren.

Hoe phishingaanvallen zich op bedrijven richten

Voor particulieren betekent een geslaagde phishingaanval diefstal van inloggegevens of identiteitsfraude. Voor bedrijven strekt de schade zich in meerdere richtingen tegelijk uit, en de totale kosten van een phishingaanval op een organisatie zijn vrijwel altijd hoger dan het aanvankelijke financiële verlies.

De financiële gevolgen van phishing voor bedrijven

  • Direct financieel verlies: Business Email Compromise (BEC) leidt tot telegraaffraude, omgeleide betalingen en ongeoorloofde transacties: valse facturen, CEO-fraude en omgeleide betalingen aan leveranciers behoren tot de meest voorkomende vormen.
  • Sancties: Een datalek als gevolg van phishing kan leiden tot boetes op grond van de AVG van maximaal 4% van de jaaromzet. Daarnaast gelden er aparte sanctieregelingen voor niet-naleving van de HIPAA en PCI DSS.
  • Herstelkosten: Incidentrespons, forensisch onderzoek en het herstellen van systemen lopen al snel hoog op. Organisaties die te maken hebben gehad met een phishingincident noemen de herstelkosten het bedrag dat hen het meest heeft verrast.

Bedrijfsonderbrekingen als gevolg van phishing

  • Bedrijfsonderbreking: Systeemuitval terwijl de IT-afdeling het beveiligingslek onder controle krijgt. Productiviteitsverlies bij teams die geen toegang hebben tot de getroffen infrastructuur. Dienstonderbrekingen die klanten opmerken voordat het bedrijf zijn interne respons heeft afgerond.
  • Datalekken: openbaar gemaakte klantgegevens, intellectueel eigendom of beide, waarbij voor elk daarvan specifieke meldingsplichten en juridische risico’s gelden.
  • Reputatieschade: moeilijker te kwantificeren, maar moeilijker te herstellen. Het vertrouwen van klanten na een inbreuk door phishing herstelt zich niet in hetzelfde tempo als de systemen.

Hoe PowerDMARC bedrijven beschermt tegen e-mailphishing

Het vervalsen van e-maildomeinen vormt het startpunt voor het merendeel van de BEC-aanvallen. De meeste organisaties hebben DMARC nog niet geïmplementeerd of zitten vast op p=none (alleen-monitor-modus), wat wel inzicht biedt maar niets blokkeert. PowerDMARC helpt organisaties om over te stappen op volledige DMARC-handhaving op p=reject, waarbij vervalste e-mails worden geblokkeerd vóór aflevering, zonder de legitieme e-mailstromen te verstoren. Dit is hoe:

  • Begeleide invoering van DMARC-handhaving: een gestructureerd migratietraject van p=none naar p=quarantine naar p=reject, waarbij gebruik wordt gemaakt van een op percentages gebaseerde beleidsverscherping, zodat de handhaving geleidelijk wordt aangescherpt. Met één klik DNS-publicatie en gehoste DMARC-records zorgen ervoor dat teams het beleid rechtstreeks vanuit het dashboard kunnen bijwerken zonder handmatige DNS-bewerkingen.
  • Door AI aangestuurde dreigingsinformatie: De AI-engine verwerkt miljoenen DMARC-aggregate (RUA) en forensische (RUF) rapportgegevens datapunten om onbekende verzendende IP's automatisch te categoriseren, waarbij een verkeerd geconfigureerd CRM- of marketingplatform wordt onderscheiden van een kwaadwillige spoofingpoging. De detectietijd daalt van dagen van handmatige XML-parsing naar minuten.
  • Volledige ondersteuning van e-mailverificatieprotocollen: naast DMARC, SPF en DKIM beheert PowerDMARC MTA-STS (afdwinging van TLS-versleuteling op inkomende e-mail om onderschepping te voorkomen), TLS-RPT (rapportage over transportlaagbeveiliging) en BIMI (het weergeven van uw geverifieerde merklogo in de inbox van de ontvanger). Alle zes protocollen vanuit één enkel dashboard.
  • PowerSPF voor complexe verzendomgevingen: Organisaties die gebruikmaken van meerdere e-mailverzenddiensten bereiken regelmatig de limiet van 10 DNS-lookups van SPF, waardoor legitieme e-mails de authenticatie niet doorstaan. PowerDMARC's gehoste SPF-flattening lost dit op zonder voortdurend handmatig onderhoud.
  • Rapportage die teamoverschrijdend werkt: ruwe XML-gegevens worden omgezet in visuele dashboards met geografische kaarten, bronidentificatie (waarbij de dienst achter elk IP-adres wordt vermeld) en trendanalyses. Met één muisklik kunt u PDF-bestanden exporteren voor nalevingscontroles en rapportage aan het management.

Voor MSP’s/MSSP’s: Met het multi-tenant platform van PowerDMARC kunt u alle domeinen van uw klanten centraal beheren en beveiligen via één enkel dashboard, met volledige ondersteuning voor white label en certificeringen voor SOC 2 Type 2, ISO 27001 en AVG-naleving. Meer dan 2.000 organisaties en overheidsinstanties in meer dan 100 landen vertrouwen op ons.

Kortom, het automatiseert het moeilijkste deel: het veilig bereiken van de ‘p=reject’-status, zodat de bescherming al actief is voordat de volgende vervalste factuur of poging tot CEO-fraude de inbox bereikt.

Bekijk PowerDMARC in actie

Boek een gepersonaliseerde demo om te zien hoe PowerDMARC uw domeinen naar volledige DMARC-handhaving begeleidt, zonder dat legitieme e-mails worden geblokkeerd.

Boek een gratis demo

Opkomende phishingtechnieken waarbij gebruik wordt gemaakt van AI en technologie

Jarenlang waren slecht geschreven e-mails, onhandige formuleringen, voor de hand liggende fouten en zinnen die bijna logisch klonken een betrouwbaar signaal. Hieronder leest u hoe aanvallers nieuwe technologieën gebruiken om steeds geavanceerdere phishing-e-mails op te stellen: 

Door AI aangestuurde phishing

  • Door AI gegenereerde e-mails: Door AI gegenereerde phishing-e-mails vertonen die kenmerken niet meer, omdat ze grammaticaal correct zijn, inhoudelijk aannemelijk overkomen en op grote schaal kunnen worden gepersonaliseerd met behulp van openbaar beschikbare gegevens. 
  • Deepfake-audio/video: Deepfake-audio is al veel verder ontwikkeld dan de meeste mensen beseffen, en daar is geen e-mail voor nodig. Het volstaat met een stem die geloofwaardig klinkt en een verzoek dat binnen de normale parameters lijkt te vallen. Synthetische video volgt dezelfde ontwikkeling (momenteel nog minder vaak gebruikt bij aanvallen, maar de mogelijkheden zijn er en worden steeds beter). 
  • Geautomatiseerde spearphishing: Vroeger vergde spearphishing handmatig onderzoek, wat uren werk per doelwit kostte. Dankzij AI is dat nu binnen enkele seconden gepiept. Aanvallen die vroeger voorbehouden waren aan belangrijke doelwitten, zijn nu voor iedereen economisch haalbaar. 

Geavanceerde technische methoden

  • Omzeiling van machine learning: Beveiligingsfilters maken steeds vaker gebruik van machine learning om verdachte patronen op te sporen. Aanvallers zetten nu phishingcampagnes op die specifiek zijn ontworpen om die filters te testen en te omzeilen, waarbij ze verschillende varianten op de detectiesystemen uittesten voordat ze deze op grote schaal inzetten. 
  • Adversarial AI: AI gebruiken om de effectiviteit van aanvallen op beveiligingssystemen te testen en te verbeteren
  • Dynamische inhoudgeneratie: het in realtime genereren van phishing-inhoud op basis van het gedrag van slachtoffers

Nieuwe alarmsignalen om op te letten

  • Perfecte grammatica: e-mails die te goed geschreven en te gedetailleerd zijn. 
  • Hyperpersonalisatie: personalisatie die verder gaat dan wat een standaard mailinglijst zou weten. 
  • Verzoeken via spraak of video: onverwachte spraak- of videogesprekken waarin om een bepaalde handeling of toestemming wordt gevraagd. MFA-verzoeken die u niet zelf hebt geïnitieerd. Inhoud die zich op een ietwat griezelige manier lijkt aan te passen aan of te verwijzen naar recente gebeurtenissen.
  • Tijdgevoelige AI-content: snel veranderende of zich aanpassende phishing-content

De oude rode vlaggen zijn niet verdwenen: afwijkingen in het afzenderadres, een gevoel van urgentie, ongebruikelijke verzoeken. Er zijn alleen nieuwe bijgekomen die juist het tegenovergestelde suggereren: verzorgd, gepersonaliseerd en verontrustend treffend.

De door AI aangestuurde dreigingsinformatie van PowerDMARC analyseert continu aanvalspatronen op verschillende domeinen en signaleert in realtime afwijkingen in de authenticatie en pogingen tot identiteitsfraude, nog voordat door AI gegenereerde campagnes de inboxen bereiken.

Bescherm uzelf tegen phishingmails

Phishing vindt via te veel kanalen plaats, past zich te snel aan en maakt misbruik van het menselijk beoordelingsvermogen onder druk – iets wat je niet zomaar kunt oplossen. Zo bescherm je jezelf tegen phishing-e-mails: 

Beste praktijken op organisatorisch gebied

  • Opleiding van medewerkers: Begin met het opleiden van medewerkers en blijf dit doen. Geen eenmalige video, maar echte simulaties, waarbij nep-phishingmails naar het personeel worden gestuurd, de reacties worden bijgehouden en er gericht wordt opgevolgd wie erop klikt. Het gaat er niet om mensen te betrappen. Het gaat erom de reflex te ontwikkelen om even stil te staan voordat je klikt, en die reflex ontstaat alleen door herhaling. Jaarlijkse bewustwordingssessies over beveiliging zorgen daar niet voor.
  • Incidentrespons: Als er iets door de mazen glipt – en dat gebeurt nu eenmaal – melden de meeste mensen dit niet meteen, omdat ze zich schamen, twijfelen of niet weten bij wie ze dit moeten melden. Het meldingsproces moet zo soepel mogelijk verlopen: één knop, één adres, iets wat maar tien seconden kost. De tijd tussen het moment dat er wordt ‘geklikt’ en het moment dat het incident onder controle is, is belangrijker dan de meeste teams beseffen – totdat ze er zelf middenin zitten.
  • Technische maatregelen: E-mailfiltering en eindpuntbeveiliging vangen bekende bedreigingen op. Een goed opgezette spear-phishing e-mail vanuit een domein dat gisteren is geregistreerd, staat nog niet op een blokkeerlijst. Dit betekent echter niet dat filtering nutteloos is, maar het is op zichzelf niet voldoende.
  • Rapportageprocedures: Duidelijke escalatieprocedures en communicatieprotocollen.
  • E-mailverificatie (DMARC, SPF, DKIM): De specifieke controle die prioriteit verdient. Bij volledige handhaving voorkomt DMARC dat iemand e-mail verstuurt die de authenticatie als uw domein doorstaat. De meeste organisaties hebben wel eens van DMARC gehoord, maar slechts enkele zijn verder gegaan dan p=none en hebben volledige handhaving ingevoerd. PowerDMARC automatiseert die overgang; zie de gedetailleerde uitleg in het bovenstaande gedeelte.

Tips om phishing te voorkomen

  • Wees kritisch: Controleer het daadwerkelijke afzenderadres, niet de weergavenaam. Beweeg de muis over links voordat u ze volgt.
  • Klik niet op verdachte links: Als in een e-mail om inloggegevens, bankgegevens of andere gevoelige informatie wordt gevraagd, en dat verzoek normaal gesproken via een ander proces zou verlopen, is die afwijking een teken dat er iets niet klopt.
  • Deel geen gevoelige informatie: Geen enkele bank stuurt u een formulier om uw wachtwoord in te vullen, en geen enkele IT-afdeling vraagt u om uw login te verifiëren door op een link te klikken.
  • Controleer verdachte verzoeken via een ander kanaal: als er in een e-mail wordt gevraagd om een overschrijving, een betalingsupdate of gevoelige gegevens, bel de afzender dan rechtstreeks via een nummer dat u al in uw bestand hebt staan, en niet via het nummer dat in de e-mail zelf staat vermeld.
  • Houd uw software up-to-date: Werk uw besturingssysteem, antivirussoftware en webbrowser regelmatig bij om beveiligingslekken te dichten.
  • E-mailverificatie implementeren: SPF instellen SPF, DKIMen DMARC op uw domein. Samen verifiëren ze de afzenders en weigeren ze niet-geverifieerde e-mail voordat deze de inbox bereikt. PowerDMARC vereenvoudigt dit voor meerdere domeinen met geautomatiseerde SPF-flattening, gehoste DKIM en overzichtelijke rapportagedashboards.

Phishing e-mails melden

Als u vermoedt dat u een phishing-e-mail hebt ontvangen, moet u dit doen:

  1. Breng uw e-mailprovider op de hoogte: De meeste e-maildiensten bieden de mogelijkheid om phishing-e-mails te melden. Zoek naar opties om e-mails als spam te markeren of als phishing te melden.
  2. Melding bij anti-phishingorganisaties: Organisaties zoals de Anti-Phishing Working Group (APWG) of het Internet Crime Complaint Center (IC3) kunnen helpen bij het optreden tegen cybercriminelen.
  3. Breng de geimiteerde organisatie op de hoogte: als een phishing-e-mail zich voordoet als een gerenommeerde organisatie, breng deze dan op de hoogte, zodat zij passende maatregelen kan nemen om haar klanten te beschermen.

Kies ten slotte voor een platform dat de nodige inzichtelijkheid, automatisering en deskundige ondersteuning biedt om uw organisatie te beschermen tegen steeds veranderende phishing-bedreigingen.

Neem vandaag nog contact met ons op nog vandaag voor geavanceerde bescherming tegen phishing en andere soortgelijke e-mailbedreigingen, zodat wij een strategie voor u kunnen opstellen die daadwerkelijk resultaat oplevert!

Veelgestelde vragen over phishing

Wat zijn de meest voorkomende voorbeelden van phishing-e-mails?

De meest voorkomende phishing-e-mails zijn onder meer dringende verzoeken om accountverificatie, valse loterijberichten, oplichting met beveiligingsupdates, verzoeken om geld over te maken en aanbiedingen van vertrouwelijke informatie. In deze e-mails wordt vaak gebruikgemaakt van een gevoel van urgentie, angst of hebzucht om ontvangers ertoe te brengen gevoelige informatie prijs te geven of op schadelijke links te klikken.

Kan een oplichter via je telefoonnummer toegang krijgen tot je bankrekening?

Hoewel een telefoonnummer op zich geen directe toegang tot uw bankrekening biedt, kunnen oplichters het gebruiken voor sim-swap-aanvallen, social engineering of als onderdeel van pogingen om meervoudige authenticatie te omzeilen. Ze kunnen uw telefoonnummer ook gebruiken om via vishing-gesprekken (voice phishing) aanvullende persoonlijke gegevens te verzamelen, om zo uiteindelijk toegang tot uw rekeningen te krijgen.

Hoe kunnen organisaties zich beschermen tegen Business Email Compromise (BEC)?

Organisaties kunnen zich tegen BEC beschermen door middel van e-mailverificatieprotocollen (DMARC, SPF, DKIM), training van medewerkers, verificatieprocedures voor financiële transacties en geavanceerde systemen voor dreigingsdetectie. PowerDMARC biedt uitgebreide bescherming tegen BEC door middel van realtime monitoring en geautomatiseerde reactie op dreigingen.

Als u op een phishinglink hebt geklikt, verbreek dan onmiddellijk de verbinding met het internet, voer een volledige antivirusscan uit, wijzig de wachtwoorden voor alle belangrijke accounts, houd uw financiële rekeningen in de gaten op verdachte activiteiten en meld het incident aan uw IT-afdeling of de bevoegde autoriteiten. Overweeg om aanvullende beveiligingsmaatregelen in te schakelen, zoals tweefactorauthenticatie.

Waarin verschillen door AI aangestuurde phishingaanvallen van traditionele aanvallen?

Door AI aangestuurde phishingaanvallen zijn steeds geavanceerder: ze blinken uit door foutloze grammatica, hyperpersonalisatie op basis van gegevens uit sociale media en het vermogen om zich in realtime aan te passen. Ze kunnen deepfake-audio- of video-elementen bevatten en zijn ontworpen om traditionele beveiligingsfilters te omzeilen door middel van ontwijkingstechnieken op basis van machine learning.