Phishing, het sturen van misleidende mails om gevoelige informatie of geld te krijgen, is de meest voorkomende soort cybercrime waar het mkb mee te maken krijgt. In dit artikel gaan wij in op de meest voorkomende vormen van phishing, spam en andere soorten ongewenste mails, en hoe je daar het beste tegen kan verdedigen.

Er zijn vele soorten van phishing. In dit artikel gaan wij specifiek in op de soorten die een bedreiging vormen voor het mkb en minder op de soort mails die zich op particulieren richt. Uiteraard is er een overlap in het soort mails, maar wij zien een duidelijk verschil in de soort mails die over het algemeen naar een mailbox van een bedrijf wordt gestuurd vergeleken met die van een gratis mailprovider zoals Gmail of Outlook.com.

Bij phishing gericht op bedrijven is er ook vaker sprake van z.gn. spear phishing. Waar normale phishing min of meer dezelfde mail naar een groot aantal ontvangers stuurt in de hoop iets of iemand aan de haak te slaan, wordt er bij spear phishing actief op een persoon of bedrijf gericht. Dit soort aanvallen kosten uiteraard meer moeite dan normale phishing campagnes en worden daarom vaker ingezet tegen personen en organisaties die waarschijnlijk meer middelen hebben om bij voorbeeld losgeld te betalen voor een ransomware aanval.

Bijlagen die schadelijke scripts of software bevatten bestaan nu zo lang dat bijna iedereen hier waakzaam voor is. Voor bedrijven geldt dat er met name voorzichtig omgegaan moet worden met bijlagen die in eerste instantie er legitiem uitzien. Zo kan een bedrijf een “factuurbestand” ontvangen van een adres wat overeenkomt met dat van een leverancier, maar toch verstuurd is door een hacker.

Ondanks dat mensen weten dat bijlagen gevaarlijk zijn, is dit toch de meest voorkomende manier waarop infecties van bedrijfsnetwerken met virussen en ransomware plaats vinden.

Ondertussen weet ook iedereen dat je niet zomaar op een link in een mail moet klikken. Toch blijft dit een reële dreiging voor veel bedrijven. Zeker in deze tijden dat er meer mensen op afstand werken en meer bestanden uitwisselen via verschillende online platforms worden er ook steeds meer mails gestuurd mail verzoeken of bevestigingen vanaf platforms zoals SharePoint, Teams en andere Microsoft 365 diensten, Google Drive, Slack, WeTransfer en ga zo maar door. Wanneer medewerkers veel van dit soort mails ontvangen bestaat er een risico dat zij minder goed naar de inhoud van deze mails kijken en meteen op een duidelijke link of button klikken.

Het klikken is meestal alleen de eerste stap, maar als iemand zonder teveel na te denken op een link klikt van iets wat er legitiem uitziet dan zal diegene waarschijnlijk ook snel geneigd zijn om inloggegevens in te vullen in een legitiem uitziend inlogscherm.

Door een dergelijke aanval kan een aanvaller toegang krijgen tot mail en andere gevoelige bedrijfsinformatie. Vanuit daar kan een hacker zich ook gaan voordoen als een medewerker van een bedrijf om daarmee nog meer (inlog)gegevens te verkrijgen.

Spookfacturen

Spookfacturen bestonden lang voordat email bedacht was. Het principe is simpel: de fraudeur stuurt een groot aantal facturen waar nooit een product of dienst tegenover heeft gestaan. Vaak worden deze in grote aantallen naar verschillende adressen zoals administratie@…, facturen@… of finance@… gestuurd. De facturen zijn vaak voor lage bedragen in de hoop makkelijker voorbij interne controles te komen.

Een aan spookfacturen verwante variant waar wij regelmatig vragen over krijgen is specifiek gericht op domeinnamen. De mail wordt gericht aan de houder van een .nl domeinnaam met de melding dat er een derde partij een poging wordt gedaan om de naam met een andere extensie vast te leggen. Bij voorbeeld de houder van voorbeeld.nl kan een mail krijgen dat iemand voorbeeld.cn en voorbeeldbv.cn probeert vast te leggen. De afzender beweert dat zij als service en bescherming de .nl houder de optie geeft om als eerste de domeinnaam vast te leggen.

Uiteraard is er geen derde partij die iets probeert vast te leggen. Als dat zo was, dan waren deze domeinnamen al geregistreerd geweest. Er vind namelijk geen controle op merkrecht plaats bij het registreren van domeinnamen (met enkele uitzonderingen). Mocht iemand hierop ingaan dan worden de genoemde domeinnamen ook vastgelegd, maar het bedrijf heeft dan praktisch gezien nutteloze domeinnamen aangeschaft.

Business email compromise

Business email compromise (BEC) wordt soms ook whaling genoemd, of in het Nederlands CEO-fraude. Bij dit soort phishing mails worden medewerkers aangespoord om iets te doen, waarbij het erop lijkt dat de mail van een directeur of hoog geplaatste manager komt. Vaak wordt er dringend gevraagd om een (groot) bedrag over te maken of bepaalde inloggegevens te verstrekken.

Het niveau van deze soort aanvallen verschilt sterk. Soms zijn de mails overduidelijk door een of ander systeem gegenereerd met slecht vertaalde tekst, maar soms gaat het om geavanceerde spear phishing aanvallen waarbij er van tevoren duidelijk onderzoek is geweest naar het bedrijf.

Omdat er in dit soort aanval geen links of bijlagen zijn met gevaarlijke inhoud is het ook moeilijk om technische maatregelen te treffen om dit te voorkomen. De aanval is volledig gericht op het manipuleren van medewerkers, en het is daarom nodig om medewerkers met toegang tot betalingen of gevoelige gegevens extra te trainen om dit soort aanvallen tegen te gaan.

Andere vormen

Naast bovengenoemde soorten phishing bestaan er uiteraard tal van variaties. Veel van deze zijn niet specifiek gericht op bedrijven.

De meest klassieke vorm is waarschijnlijk die van voorschotfraude. De meest bekende daarvan is waarschijnlijk de “Nigeriaanse oplichting”. In het kort wordt er beloofd een groot bedrag te storten wat anders “verloren” zou gaan of in ieder geval geen andere eigenaar zou hebben. In ruil zou er slechts een klein voorschot nodig zijn om enkele administratieve zaken af te handelen. Uiteraard zijn er geen miljoenen dollars en degene die hierop in zou gaan is snel zijn geld kwijt.

Een andere vorm die de laatste jaren sterk in opkomst is gekomen zijn de zo genaamde “sextortion” mails. In deze mails wordt beweerd dat de verzender niet alleen je computer heeft gehackt, maar ook nog eens video’s heeft gemaakt van je terwijl je pornosites bezoekt en je daarbij zelf bevredigd. Er wordt gedreigd met het openbaar maken van deze video’s tenzij er binnen een of enkele dagen een bepaald bedrag wordt overgemaakt. Uiteraard is hier niets van waar en dit soort mails kunnen rechtstreeks de prullenbak in.

Niet alleen email

Uiteraard wordt niet alleen email gebruikt voor spam en phishing. Het zal niemand zijn ontgaan dat WhatsApp fraude de afgelopen jaren sterk is toegenomen maar ook sms wordt nog veel gebruikt. Daarnaast wordt telefonisch contact ook nog steeds gebruikt, zoals wanneer iemand zich voordoet als een medewerker van Microsoft met de melding dat er iets mis zou zijn met een computer en diegene wel even kan helpen. Het is daarom belangrijk om niet alleen mail maar ook andere communicatievormen goed in de gaten te houden, en om medewerkers hierop te wijzen.

Ook zijn veel phishing mails vormen van oudere soorten fraude. Spookfacturen kwamen vroeger per post, en voorschotsfraude heeft zijn historische bron in het eind van de 18e eeuw met de Spanish Prisoner scam3.

Beschermen

Technische oplossingen

De bulk van phishing aanvallen kan voorkomen worden door goede technische voorzieningen. Met name een goed spam– en contentfilter zal het grootste deel van de mails tegenhouden en zelfs verwijderen zonder dat ze de “spam” of “ongewenste mail” map van de ontvanger bereiken. De grote spelers in de markt zoals Microsoft en Google besteden veel moeite aan het beveiligen van de mail en daarbij ook het stoppen van spam en phishing.

Er zullen toch altijd mails doorheen komen omdat de geautomatiseerde systemen niet met zekerheid kunnen meten of iets wel of niet legitiem is. Voor deze situaties is beveiligingssoftware op de werkplek nodig. Een goed product zoals ESET Endpoint Protection zorgt er voor dat schadelijke sites worden geblokkeerd en dat bijlagen met virussen of ransomware snel worden verwijderd.

Voorlichting en training

Naast technische maatregelen zal het altijd nodig zijn om medewerkers goede voorlichting en training te geven. De hoeveelheid en vorm hiervan zal afhankelijk zijn van de technische affiniteit van de medewerkers, hoe zij mail en andere communicatiemiddelen gebruiken, en waar zij toegang toe hebben.

Zoals hierboven genoemd hangt veel van phishing niet alleen op techniek maar juist op het manipuleren van mensen. Door dit aan medewerkers uit te leggen en voorbeelden te tonen neemt het risico hiervan enorm af; een gewaarschuwd mens telt voor twee. Zo nodig kan er voor medewerkers met veel bevoegdheden of toegang tot rekeningen extra training gedaan worden, of afspraken gemaakt worden over hoe en wanneer er over dit soort zaken wordt gecommuniceerd.

Er zijn een aantal punten waarop gelet kan worden door medewerkers:

  • Spelling en gramatica: Veel phising mails worden niet altijd even zorgvuldig geschreven en wanneer ze in het Nederlands zijn ook nog eens met een tool vertaald.
  • Aanhef: Veel phising mails (afgezien van spear phising) hebben vaak niet genoeg data om namen of andere persoonsgegevens aan email adressen te koppelen. De mails worden vaan onpersoonlijk gericht in situaties waar een legitieme mail dat wel zou zijn.
  • Onverwachte bijlagen en links: Zoals hierboven al beschreven moet er altijd voorzichtig omgegaan worden wanneer een bijlage wordt ontvangen, zeker wanneer dit niet verwacht was.
  • Urgentie: Vooral in combinatie met het bovenstaande. Criminelen willen de ontvanger zo weinig mogelijk tijd geven om na te denken over wat er eigenlijk gevraagd wordt en of dit redelijk is.

Wanneer medewerkers getest worden door gesimuleerde aanvallen is het belangrijk om daar de juiste training en feedback aan te verbinden. Een grootschalig onderzoek4 heeft uitgewezen dat in sommige gevallen medewerkers doordat ze vaak met dit soort testmails in aanraking kwamen een (onterecht) gevoel van veiligheid kregen en daardoor sneller geneigd waren om bij echte phishing mails op links te klikken of andere handelingen uit te voeren.

Relaties beschermen

Naast het eigen bedrijf beschermen hoort bij goed ondernemerschap ook het treffen van maatregelen om relaties te beschermen. Door een correct ingestelde e-mailomgeving kan er voor gezorgd worden dat het moeilijk of bijna onmogelijk wordt voor hackers om mails te sturen die erop lijken dat zij van het eigen bedrijf komt. Wij hebben hierover geschreven in het artikel Verdedig uw relaties tegen phishing.

Waar komen de namen en vreemde spelling vandaan?

Wat het woord “phishing” betekent is makkelijk te begrijpen, iemand is als het ware aan het vissen naar geld of inloggegevens. Maar waarom wordt het als “phishing” geschreven en niet als “fishing”? Dit komt doordat de term uit een oudere internetcultuur komt waarin z.gn. leetspeak werd gebruikt5. Dit is een schrijfstijl waarin o.a. de spelling van woorden wordt aangepast door losse letters te vervangen voor andere die hetzelfde klinken of lijken. Zo kan getal “0” gebruikt worden in plaats van de letter “o”, of “ph” in plaats van “f”.

De term phishing is analoog aan de oudere term phreaking, een vorm van hacken van telefoniesystemen. Phreaking komt weer van frequency, omdat deze vormen van hacken gebruik maakten van specifieke frequenties van signalen die door telefoonsystemen werden gebruikt door bij voorbeeld monteurs, maar wat hackers konden gebruiken om gratis te kunnen (in)bellen.

Wanneer de betekenis van de term phishing duidelijk is, dan is spear phishing makkelijk te begrijpen. Waar phishing vaak breed wordt ingezet in de hoop iets aan de haak te krijgen of in het net te vangen, is spear phishing gericht op een specifiek slachtoffer.

Een andere term die ook in dit artikel is genoemd is whaling, een vorm van phishing waar het doelwit een directeur of hoog geplaatste medewerker is. Ook hier is de gedachte goed te begrijpen: er wordt gevist maar dit keer op de grootst mogelijke “vis”.