Phishing we hebben er al vaker over geschreven. Een vorm van internetfraude die bestaat uit het oplichten van mensen. Je lokt mensen, vaak met behulp van een phishingmail, naar een fake website die een kopie is van de echte website. Vervolgens loggen ze nietsvermoedend in met hun inlognaam, wachtwoord en soms zelfs hun betaalgegevens.
Nu is er ook nog spearphishing, wat vele malen effectiever is dan phishing. Naar schatting openen slachtoffers 30% van de spearphishingmails, vergeleken met slechts 3% van de reguliere phishingmails. Zaak dat je attent bent op de gevaren hiervan. Wat is dat nu precies spearphishing?
Hoe werkt spearphishing
Bij spearphishing richt de crimineel zich specifiek op de individu, organisatie of bedrijf. Met slimme technieken, die individueel zijn afgestemd, trekt hij met een email de aandacht van de ontvanger. Het lijkt of deze email afkomstig is van een betrouwbare bron. De email bevat een link, waarmee het slachtoffer naar een valse website wordt gelokt of een malafide bijlage.
Bij spearphishing maakt men gebruik van social engineering technieken . Social engineering is van alle tijden, zelfs voor ons digitale tijdperk. In phishingmails wordt dit ook succesvol toegepast. Met vertrouwelijk informatie van het slachtoffer probeert de aanvaller:
- Het slachtoffer nieuwsgierig te maken
- Medelijden bij het slachtoffer op te wekken
- Het slachtoffer bang te maken.
Omdat berichten en websites persoonlijk lijken zijn ontvangers zich niet bewust van social engineering trucs. Ze openen de malafide bijlage of klikken op de link. Met alle gevolgen van dien.
Verschillen phishing en spearphishing
Als je bovenstaande leest, lijkt het net of spearphishing hetzelfde is als phishing, toch zijn er wel degelijk verschillen:
- Benadering: Bij phishing gaat het om één grote aanval en bij spearphishing gaat het om een doelgerichte aanval
- Slachtoffer(s): Bij spearphishing richt de crimineel zich specifiek op de individu, organisatie of bedrijf, bij phishing is er sprake van een brede aanval, die geautomatiseerd is.
- De aanval: Phishing is gemakkelijker herkenbaar dan spearphishing.
- Niveau van de aanval: Bij spearphishing gebruikt men geavanceerdere technieken om het doel te bereiken.
Voorbeelden van spearphishing
Wat is het doel van spearphishing
Net als bij “gewone” phishing wil de aanvaller jouw gegevens ontfutselen voor kwaadwillende doeleinden. Denk aan jouw betaalgegevens, persoonsgegevens of zelfs bedrijfsgegevens. Persoonlijk heeft dit grote gevolgen, maar ook bedrijfsmatig. Met de gestolen gegevens maken fraudeurs vertrouwelijke bedrijfsgegevens openbaar, plegen ze spionage of manipuleren bepaalde gegevens. Ook installeren ze malware op de computer van het slachtoffer. Ze gebruiken dit vaak om computers te kapen, in netwerken te infiltreren of om je computer onderdeel te maken voor DDos aanvallen.
Hoe kun je je beschermen tegen spearphishing?
Met traditionele beveiliging kun je deze aanvallen niet beschermen. Mede omdat de kwaadwillende ze slim afstemt op het slachtoffer, zijn ze moeilijk op te sporen. Een fout van jouw medewerkers heeft vaak ernstige gevolgen voor jouw bedrijf. Het bewustzijn van deze dreigingen van jouw medewerkers is van groot belang. Weten ze dat ze valse e-mails kunnen ontvangen en nog belangrijker… herkennen ze die?
Je kunt je medewerkers hiervoor trainen, maar er zijn ook games voor. Of test je medewerkers regelmatig. Je confronteert je medewerkers met een “fake” phishing bericht. Aan de hand van de clicks zie je welke medewerkers de mail niet als (spear)phishing herkennen. Mocht dat gebeuren dan geef je hen meteen gerichte feedback over phishing. Je bereidt je medewerkers hiermee beter voor op een volgende aanval. Doe je dit regelmatig, dan zie je ook een afname in het aantal kliks, wat betekent dat jouw medewerkers weerbaarder zijn.
In de toekomst nog veel meer
Spearphishing is veel effectiever dan phishingmails. Op dit moment komt het nog minder vaak voor dan “gewone” phishing. Gezien het succespercentage kun je er van uitgaan dat dit steeds meer wordt toegepast. Vis niet achter het net en maak jouw organisatie alert op deze vorm van criminaliteit.