Spear phishing komt steeds vaker voor. Het is dan ook erg moeilijk om die nepberichten altijd te doorzien. Dat is al duidelijk wanneer je weet wat het verschil is tussen phishing en spear phishing. Kent in uw organisatie iedereen het fenomeen en zijn uw medewerkers in staat verdachte berichten te herkennen?
Phishing bestaat al veel langer dan spear phishing. Bij elke vorm van phishing is het doel om bepaalde gegevens te pakken te krijgen via een misleidend bericht dat op het eerste gezicht betrouwbaar lijkt. Wanneer de ontvanger echter op de bijgevoegde bijlage of link klikt, wordt malware op de pc geïnstalleerd waardoor het bedrijfsnetwerk geïnfecteerd raakt. Andere mogelijkheid is dat de link het slachtoffer naar een website leidt die ook weer betrouwbaar lijkt. Wanneer het slachtoffer daar inlogt, bemachtigen de hackers wachtwoorden, kredietkaartgegevens, identiteitsgegevens of andere gevoelige informatie die ze soms verkopen aan criminele organisaties.
Geplunderde bankrekeningen?
Op die manier slagen hackers er via phishing ook in om bankrekeningen te plunderen. Volgens cijfers van Febelfin, de belangenvereniging van de financiële sector, gebeurden in 2020 ongeveer 67.000 frauduleuze transacties via phishing, voor een totaal bedrag van ongeveer 34 miljoen euro. En dat is nog maar 25% van de potentiële schade, want ruim 75% van de overschrijvingen is daar niet bij gerekend omdat die tijdig ongedaan werd gemaakt.
Het verschil tussen phishing en spear phishing
Naarmate mensen zich minder snel laten bedotten, bedenken hackers steeds nieuwe tactieken die nog moeilijker te doorzien zijn. Zo is spear phishing eigenlijk een nog meer geslepen vorm van phishing. Het verschil tussen is dat phishingberichten massaal worden verstuurd naar een grote groep ontvangers tegelijk, terwijl spear phishing mails heel specifiek gericht zijn op één persoon.
Een phishing mail kan bijvoorbeeld afkomstig lijken van een telecomleverancier en vragen om een betaling in orde te brengen. Normaal gezien zal slechts een klein aantal van de ontvangers op de link in het bericht klikken. Degenen die geen klant zijn bij het telecombedrijf in kwestie, zullen de fraudepoging wellicht gemakkelijker doorzien.
Cybersecurity Essentials eBook
Ontdek alle gevaren, oplossingen en interessante statistieken.
DownloadOnline research
Bij spear phishing richten de cybercriminelen al hun pijlen op één doelwit. Ze kiezen heel zorgvuldig iemand uit die bijvoorbeeld verantwoordelijk is voor de boekhouding bij een bedrijf. Via social media en andere online informatie komen ze voldoende te weten om een persoonlijker, en dus overtuigender nepbericht op te stellen. Ze komen bijvoorbeeld te weten dat het bedrijf bezig is met een overname en vragen in het kader daarvan geld over te schrijven.
Whale phishing
Afhankelijk van het doelwit van de berichten spreken we soms ook over ‘whale phishing’. In dat geval wordt iemand geviseerd die een directiefunctie heeft, zoals de financieel directeur of de CEO. Ook daar zorgt ‘social engineering’ ervoor dat het misleidende bericht geen argwaan wekt. In sommige gevallen zijn de cybercriminelen met whale phishing vooral op zoek naar bedrijfsgeheimen. De gevolgen voor de onderneming kunnen dan ook desastreus zijn.
Hoe beschermt u uw organisatie tegen spear phishing?
Spear phishing treft veel vaker doel dan ‘gewone’ phishingberichten – onderzoekscijfers spreken over 30% geslaagde pogingen tegenover 3%. De ervaring leert ons ook dat in principe iedereen in zo’n fake bericht zou kunnen trappen, doordat ze nu eenmaal zo slim zijn afgestemd op het slachtoffer. Als bedrijf kunt u zich daarom met louter technische IT-beveiliging niet voldoende wapenen tegen spear phishing. Het probleem vraagt vooral inspanningen op het vlak van IT-gedrag.
IT-gebruikers bewust maken van de gevaren
Geen persoonlijke informatie online te grabbel gooien is sowieso een goede raad. Daarnaast kunnen organisaties hun medewerkers trainen in het herkennen van verdachte berichten. Schakel een service provider in die voor u op gezette tijden nepberichten verstuurt om te testen hoe alert de IT-gebruikers zijn. Door telkens een niveau hoger te schakelen met berichten die steeds moeilijker te herkennen zijn als fake, verstevigt u de frontlinie in uw IT-verdediging.
Bent u er zeker van dat niemand in uw bedrijf een verdachte e-mail zal openen?
Start een online training van uw medewerkers om ze beter te wapenen tegen phishing.