Phishingaanvallen zijn een hardnekkige bedreiging in een sterk gedigitaliseerde wereld en zijn een voortdurende zorg voor zowel individuen als organisaties. Spearphishingaanvallen zijn een subonderdeel van phishingaanvallen die bijzondere aandacht vereisen. Maar wat is spearphishing nou precies en kun je deze aanvallen voorkomen?
Phishing is de algemene benaming voor cyberaanvallen die per e-mail, sms, of telefoongesprekken worden uitgevoerd, maar sommigen vragen zich af hoe gerichte phishingaanvallen heten. Het antwoord daarop is spearphishing. In de eenvoudigste bewoordingen zijn dit sterk gepersonaliseerde cyberaanvallen die specifieke individuen of bedrijven aanvallen. Meestal worden deze aanvallen uitgevoerd via spearphishingmails die er echt uitzien en de ontvanger ertoe proberen aan te zetten gevoelige gegevens met de aanvaller te delen. Hoewel het doel van spearphishingaanvallen over het algemeen het stelen van informatie, zoals gebruikersgegevens om in te loggen of creditcardgegevens, is, zijn sommige ontwikkeld om apparaten met malware te besmetten. Vaak zijn door overheden gesponsorde hackers en hacktivisten de daders achter spearphishingscams. Maar er zijn ook individuele cybercriminelen die deze aanvallen uitvoeren met de bedoeling om identiteitsfraude of financiële fraude te plegen, aandelenkoersen te manipuleren, te spioneren of vertrouwelijke gegevens te stelen om ze door te verkopen aan regeringen, particuliere bedrijven of andere personen die er interesse in hebben.
De reden dat spearphishingscams zo succesvol zijn, meer dan normale phishingaanvallen, is omdat de aanvallers uitgebreid onderzoek doen naar hun beoogde doelwitten. Met de informatie die ze hebben gevonden, kunnen ze social-engineeringtechnieken gebruiken om uiterst afgestemde aanvallen te maken die het slachtoffer in de waan laten dat ze legitieme e-mails en verzoeken ontvangen. Hierdoor kan het gebeuren dat zelfs hooggeplaatste doelen binnen een organisatie, zoals de topmanagers, e-mails openen waarvan zij dachten dat deze veilig waren. Dit soort onbedoelde fouten geeft cybercriminelen de mogelijkheid om de gegevens te stelen die ze nodig hebben om het beoogde netwerk aan te vallen.
Er zijn welbeschouwd vijf stappen die ervoor zorgen dat spearphishingscams werken. Namelijk:
Deze gerichte aanvallen hebben succes, omdat het doelwit zich vertrouwd voelt met de verzender van de spearphishingmail. Aanvallers steken extreem veel tijd en moeite in het verzamelen van zoveel mogelijk details over het werk, leven, de vrienden en familie van de ontvanger. Door het internet en sociale-mediaprofielen op platformen zoals Facebook en LinkedIn uit te pluizen, kunnen phishers informatie vinden als e-mailadressen en telefoonnummers, een vriendennetwerk, families en zakelijke contacten, veelbezochte locaties, maar ook informatie zoals het bedrijf waar iemand werkt en zijn/haar functie, waar iemand online shopt, van welke bankservices hij/zij gebruikmaakt en nog meer. Met al deze informatie kunnen aanvallers uitgebreide profielen van hun potentiële doelwitten samenstellen en spearphishingmails gebruiken met social-engineeringtechnieken die zijn gepersonaliseerd en er legitiem uitzien omdat ze afkomstig zijn van individuen of bedrijven waarmee het slachtoffer regelmatig contact heeft en informatie bevatten die authentiek zou kunnen zijn.
In een dergelijke e-mail wordt meestal verzocht om spoedig te reageren met bepaalde gegevens of de e-mail bevat een link naar een website die legitiem lijkt waar deze gegevens moeten worden ingevoerd. De link van de e-mail stuurt ze bijvoorbeeld door naar een nepwebsite voor hun bank of winkelsite waar ze moeten inloggen op hun account. Nu kan de aanvaller hun inloggegevens en wachtwoorden stelen voor zijn/haar eigen kwaadaardige bedoelingen. Soms bevat de e-mail een bijlage of link die, wanneer de ontvanger deze downloadt of erop klikt, malware installeert op zijn/haar apparaat. De aanvaller kan dan hiermee informatie stelen of computers overnemen en ze in enorme netwerken, genaamd botnets, verdelen, die kunnen worden gebruikt om denial of service (Dos)-aanvallen uit te voeren.
Het is echter belangrijk om te onthouden dat niet iedere internetgebruiker of sociale-mediaprofiel een geschikt doelwit is voor spearphishing. Omdat er veel meer bij komt kijken dan bij standaard phishing zoeken criminelen meestal doelwitten van hoge waarde uit. Vaak gebruiken aanvallers geautomatiseerde algoritmen om op internet en sociale media naar bepaalde informatie te zoeken, bijvoorbeeld wachtwoorden of pincodes, en zoeken ze waardevolle individuen waar ze de slagingskansen hoger van inschatten.
Deze scams zijn zo geavanceerd geworden dat het voor de gemiddelde persoon bijna niet mogelijk is ze aan te vallen. Er zijn geen waterdichte cybersecuritymethoden om spearphishing te voorkomen. Daarom is het belangrijk om te begrijpen hoe deze aanvallen werken en te leren welke signalen belangrijk zijn om deze aanvallen te proberen te voorkomen.
Een van de belangrijkste manieren om spearphishingaanvallen te voorkomen is door te weten welke technieken ervoor zorgen dat phishers succes hebben. Op deze manier blijven individuen en werknemers van bedrijven op hun hoede voor spearphishingscams. Wanneer je een e-mail ontvangt met een van de onderstaande waarschuwingssignalen, is het belangrijk dat je voorzichtig met de e-mail omgaat.
Hoewel beide cyberaanvaltypen zijn, kan het belangrijk zijn om het verschil tussen spearphishingaanvallen en phishingaanvallen te weten. Beide worden gebruikt door cybercriminelen om gebruikers ertoe aan te zetten om gevoelige persoonsgegevens te delen. Maar bij spearphishing is er sprake van gepersonaliseerde aanvallen op het beoogde individu, terwijl er bij gewone phishing sprake is van brede aanvallen die bedoeld zijn om te 'phishen' naar elke mogelijke gevoelige informatie die kan worden gebruikt om slachtoffers te ontlokken informatie te delen.
Bij phishingaanvallen wordt vaak gebruikgemaakt van algemene mails die de ontvanger ertoe proberen te verleiden om persoonlijke gegevens zoals wachtwoorden en creditcardgegevens te delen. De phisher gebruikt deze gegevens vervolgens voor kwaadaardige doeleinden, zoals identiteitsfraude of financiële fraude. Maar bovenal is het zo dat standaard phishingaanvallen niet zijn afgestemd op de ontvanger. De cybercriminelen wagen een kans en gaan voor kwantiteit (door een groot aantal phishingmails te versturen) in plaats van kwaliteit (door complexere technieken te gebruiken met een grotere slagingskans). Deze e-mails bootsen doorgaans grote bedrijven na, zoals banken of commerciële winkels, en bevatten kwaadaardige koppelingen die de ontvangers misleiden, zodat ze gegevens delen of malware op hun apparaat installeren.
Daartegenover staan de spearphishingscams die duidelijke doelwitten aanvallen en heel erg zijn gepersonaliseerd op het beoogde slachtoffer. Omdat ze gegevens bevatten die van toepassing zijn op een specifieke ontvanger komen spearphishingmails echter over, vooral omdat ze van individuen of organisaties komen waar de ontvanger mee bekend is. Daarom kost het cybercriminelen veel meer tijd en moeite om spearphishingaanvallen uit te voeren en daarom hebben ze een grotere kans op slagen.
Voor wie graag wil weten hoe gerichte phishingaanvallen heten, kunnen wij zeggen dat er twee specifieke subsets zijn van spearphishing: whaling en Business Email Compromise (BEC).
Whalingaanvallen zijn een derde type aanval dat veel gelijkenissen heeft met phishing- en spearphishingscams. Whaling is specifiek gericht op waardevolle individuen zoals topmanagers, directieleden, beroemdheden en politici. Deze aanvallen gebruiken sterk gepersonaliseerde e-mails in een poging om financiële, gevoelige, of anderzijds vertrouwelijke gegevens van bedrijven of organisaties te stelen en kunnen aanzienlijke financiële schade of reputatieschade veroorzaken.
Het laatste type phishingaanvallen zijn BEC's en zij imiteren medewerkers van een bedrijf om financiële fraude bij organisaties te plegen. In sommige gevallen wordt via e-mail een topmanager geïmiteerd en wordt aan een ondergeschikte gevraagd om een factuur te betalen, die frauduleus is, of om geld over te maken naar een 'leidinggevende'. BEC's kunnen ook voorkomen als e-mailfraude, waarin de aanvaller het e-mailadres van een werknemer kaapt om verkopers neppe facturen te laten betalen of om andere werknemers geld te laten overmaken of vertrouwelijke informatie te laten versturen.
Cyberbeveiliging voor spearphishing is vaak niet voldoende om deze aanvallen te voorkomen omdat ze uitzonderlijk goed worden uitgevoerd. Als gevolg daarvan zijn ze veel moeilijker waar te nemen. Een simpele fout kan zware consequenties hebben voor het doelwit, zij het een individu, overheid, bedrijf of non-profitorganisatie. Ondanks de gangbaarheid van deze aanvallen (en de geavanceerde personalisering ervan) zijn er veel maatregelen die individuen en organisaties kunnen nemen om spearphishing te voorkomen. Hoewel deze de bedreiging van deze aanvallen niet volledig zullen uitbannen, voegen ze wel extra beveiligingslagen toe waardoor ze minder snel zullen voorkomen. Hieronder volgen enkele tips van experts om spearphishing te voorkomen.
De meeste internetgebruikers hebben basiskennis van phishing, maar het is belangrijk om het verschil te kennen tussen spearphishing en standaard phishing. Omdat spearphishingmails gebruikmaken van social-engineeringtechnieken die uitgebreid onderzoek vereisen, zijn deze aanvallen sterk aangepast voor het beoogde doelwit en daarom is er meer kans dat mensen erin trappen dan bij een standaard phishingaanval. Deze aanvallen zullen altijd een risico vormen, maar kunnen wel worden beperkt. Stappen ondernemen om de waarschuwingssignalen in verdachte e-mails te herkennen, regelmatig VPN's gebruiken en antivirussoftware en bedacht zijn op verdachte koppelingen en bijlagen kan helpen om spearphishingaanvallen te voorkomen.
Koop Kaspersky Premium + 1 JAAR GRATIS Kaspersky Safe Kids. Kaspersky Premium ontving vijf AV-TEST-awards voor beste bescherming, beste prestaties, snelste VPN, goedgekeurd ouderlijk toezicht voor Windows en beste beoordeling voor ouderlijk toezicht voor Android.
Gerelateerde artikels en links:
Ik ben slachtoffer geworden van een phishingaanval? Wat nu?
Mijn e-mail is gehackt – wat moet ik nu doen?
Manieren om social-engineeringaanvallen te voorkomen
Gerelateerde producten en diensten: