Actueel

8 december 2021

‘Phishing breekt opnieuw records’

Phishing heeft zich inmiddels geïnfiltreerd in elke vorm van communicatie, van werk en persoonlijke e-mail tot SMS, sociale media en via malware in reclame. De Anti-Phishing Working Group (APWG), opgericht in 2003 en gebrand op het elimineren van identiteitsdiefstal en fraude als gevolg van het groeiende probleem van phishing en e-mail spoofing, heeft in die bijna twintig jaar nog nooit zoveel phishing aanvallen in één maand gemonitord als in juli 2021.

Ten opzichte van begin 2020 is er sprake van een verdubbeling, terwijl er in 2020 al een recordaantal phishingpogingen werd genoteerd. 2021 lijkt daar stevig overheen te gaan. In deze blog kijken we daarom naar een aantal actuele ontwikkelingen rond phishing.

Phishing Activity Trends Report

De aanhoudende dreiging van phishing, die zich ooit beperkte tot zakelijke e-mail alleen, is uitgegroeid tot de schadelijkste vorm van cybercrime waar organisaties mee te maken hebben. Het is voor fraudeurs in de regel namelijk veel gemakkelijker om een persoon rechtstreeks te benaderen en gegevens te verkrijgen via een aanval met phishing dan om (eventuele) kwetsbaarheden van netwerken en besturingssystemen uit te buiten.

Phishing als go-to strategie voor hackers en netwerken van cybercriminelen is in de voorbije jaren dan ook geëvolueerd tot intelligente, goed voorbereide aanval met een persoonlijke benadering, waarmee bovendien meer gebruikers dan ooit bereikt worden.

Wat dat betekent in cijfers, kun je terugvinden in het trends report van de APWG.

Actuele meldingen Fraudehelpdesk

Cybercriminelen weten daarbij als geen ander in te spelen op actuele ontwikkelingen. Zowel het RIVM als GGD GHOR Nederland, de overkoepelende brancheorganisatie van de regionale gezondheidsdiensten en hulpverleningsorganisaties, waarschuwden in de voorbije week weer voor valse e-mails die het onderwerp COVID-19 misbruiken.

De nieuwe lichting foute e-mails worden ogenschijnlijk verzonden vanuit het RIVM en de GGD en zijn respectievelijk gericht op het verzoek op sneltesten en het maken van een afspraak voor boosterprikken voor senioren. In beide gevallen worden slachtoffers naar een landingspagina geleid waar vertrouwelijke en persoonsgevoelige informatie ondervangen wordt. In deze blog kijken we naar een aantal actuele ontwikkelingen rond phishing.

Naast deze voorbeelden waarschuwt de Fraudehelpdesk momenteel ook voor afpersmails over bezoeken aan pornosites, gevaarlijke sms-berichten vanuit koeriersdiensten en valse e-mails vanuit Mijn Overheid. Check hier de actuele dreigingen.

Toename mobiele phishing

Inmiddels is verreweg het meeste webverkeer mobiel. Cybercriminelen spelen daarop in met aanvallen die zich steeds vaker specifiek daarop richten. Mobiele devices hebben kleinere schermen en tonen links vaak in een grafische vorm, waardoor het moeilijker is om verdachte URLs of afzenders te spotten dan bijvoorbeeld op een laptop.

Wereldwijd heeft een op de tien mensen op hun smartphone of tablet wel eens op een foute link geklikt, stelt het Phishing Trends Report 2021 van softwarebedrijf Jamf. Over een periode van 12 maanden werden gegevens van 500.000 devices in 90 landen geanalyseerd. Het laat bovendien zien dat phishing plaatsvindt via alle vormen van communicatie, van zakelijke en privé e-mails tot SMS, social media, messaging en zelfs advertising.

Ook toename slagingspercentage

Opvallend is dat mensen steeds vaker op phishing links blijken te klikken. Het aantal mensen dat in phishing-aanvallen trapt, is met 160 procent gestegen ten opzichte van vorig jaar. Extra zorgelijk is het feit dat het overgrote deel van de aanvallen (maar liefst 93 procent) afkomstig is van e-maildomeinen die ogenschijnlijk veilig zijn.

Een andere trend in het rapport is dat aanvallers steeds vaker misbruik maken van bekende merknamen om gebruikers zo ver te krijgen om op een link te klikken. Je klikt immers eerder op een link als die afkomstig lijkt te zijn van een site waar je daadwerkelijk een account hebt. Apple (43 procent), PayPal (27 procent) en Amazon (9 procent) zijn volgens het rapport meest gebruikte merknamen die in 2021 zijn ingezet bij phishing-aanvallen.

Smishing: sms-phishing

Smishing of SMS-phishing is een vorm van oplichting waarbij internetcriminelen je met tekstberichtjes benaderen. Het doel van SMS-phishing is hetzelfde als bij phishing: het bemachtigen van informatie (zoals login- en bankgegevens). Die gegevens worden vervolgens misbruikt om verder in jouw organisatie binnen te dringen.

De risico’s van smishing zijn groot. Zeker nu veel mensen nog steeds thuiswerken en gewend zijn om ook daar zakelijk benaderd te worden, en werk en privé nog meer met elkaar verweven zijn geraakt. Daarnaast bestaat er geen techniek of IT-ondersteuning om je tegen SMS-phishing te wapenen. Het netwerk en de systemen kunnen namelijk nog zo goed beveiligd zijn, als een medewerker via een sms voldoende informatie prijsgeeft of een verkeerde link volgt, houdt geen enkele firewall een inbraak tegen. Daarom is het verhogen van de awareness – het bewustzijn over deze risico’s – cruciaal voor iedere organisatie.

Proactief aan de slag?

Bezorgd dat cybercriminelen bij jouw medewerkers een hoge kans van slagen hebben? Bang dat ze vanuit goed vertrouwen op een foute e-mail klikken, of een social engineer niet weten te ontmaskeren? Verdiep je dan eens in onze trainingen: we bieden gerichte oplossingen die jouw organisatie kunnen helpen in de strijd tegen phishing.

Dat betekent dat medewerkers zelf de verantwoordelijkheid nemen op het gebied van informatieveiligheid, het juiste gedrag vertonen met betrekking tot de risico’s, én proactief om advies vragen. Geen extra verplichting of een nieuw vinkje in de categorie compliance, maar een cruciaal onderdeel van professioneel werken!

Aan de slag op jouw medewerkers voor te bereiden op de meest voorkomende risico’s? We bieden op dit onderwerp een phishing simulatie, een sms-phishing training én een interactief programma rond vishing, ofwel voice phishing. Neem contact op!