Phishing

Inleiding tot phishing

Phishing is een vorm van social engineering. In tegenstelling tot andere cyberaanvallen die direct gericht zijn op netwerken en bronnen, maken social engineering-aanvallen gebruik van menselijke fouten, nepverhalen en pressietactieken om slachtoffers te manipuleren zodat ze zichzelf of hun organisatie onbedoeld schade toebrengen. Bij een typische phishingpoging doet een crimineel zich voor als iemand die het slachtoffer vertrouwt, zoals een collega, baas, autoriteitsfiguur of vertegenwoordiger van een bekend merk. De crimineel stuurt een bericht waarin hij het slachtoffer opdraagt een factuur te betalen, een bijlage te openen, op een link te klikken of een andere actie uit te voeren.

De evolutie en impact van phishing-aanvallen

Phishing, een term die nu synoniem is aan cybercriminaliteit, is ontstaan uit een programma dat werd ontwikkeld door een tiener in Pennsylvania genaamd AOHell. Deze vroege malware was gericht op AOL (America Online), een populaire online service in de begindagen van het internet, waarbij mechanismen werden gebruikt om creditcardgegevens te stelen en wachtwoorden te kraken, wat leidde tot onderbrekingen in de diensten van AOL. Het AOHell-programma legde de basis voor geautomatiseerde phishingsoftware en beïnvloedde latere phishingmethoden, waaronder die van de Warez-gemeenschap – een groep die zich bezighoudt met het hacken en delen van illegale software.

De begindagen van phishing

Aan de Warez-gemeenschap worden de eerste georganiseerde phishing-aanvallen toegeschreven, die begonnen in 1996. Ze richtten zich op AOL-gebruikers door een algoritme te gebruiken om willekeurige creditcardnummers te genereren. Als ze een geldig nummer vonden, maakten ze echte AOL-accounts aan om andere gebruikers op te lichten. Dit aanvankelijke phishingschema ontwikkelde zich tot geavanceerdere social engineering-tactieken, waarbij aanvallers zich voordeden als AOL-medewerkers om gevoelige informatie te verzamelen.

Na deze eerste zwendelpraktijken gingen de phishingtactieken snel over op e-mail. Vroege phishing e-mails varieerden van weinig overtuigende oplichtingspraktijken, zoals die met valse Nigeriaanse prinsen, tot meer geraffineerde pogingen zoals het Mimail virus uit 2003. Het Mimail virus werd verspreid via een e-mail die beweerde van PayPal te komen en gebruikers aanspoorde om hun creditcardgegevens bij te werken. Veel gebruikers, misleid door het overtuigende PayPal logo, vulden hun gegevens in op een kwaadaardige website.

De mensgerichte dreiging

Phishing is vooral gevaarlijk omdat het gebruik maakt van de menselijke psychologie in plaats van te vertrouwen op technologische kwetsbaarheden. Aanvallers hoeven vaak niet direct in te breken in systemen of cyberbeveiligingsprogramma’s te slim af te zijn. In plaats daarvan misleiden ze individuen met geautoriseerde toegang tot gevoelige informatie, waardoor ze onbewust meewerken aan de aanval.

Phishers kunnen variëren van individuele oplichters tot georganiseerde criminele bendes en kunnen phishing gebruiken voor verschillende kwaadaardige doeleinden, waaronder identiteitsdiefstal, creditcardfraude, gelddiefstal, afpersing, accountovername en spionage. Doelwitten van phishingaanvallen zijn particulieren, bedrijven en overheidsinstellingen. Een opmerkelijk voorbeeld is de phishingaanval op de Amerikaanse presidentscampagne van Hillary Clinton in 2016, waarbij Russische hackers een valse wachtwoord-reset e-mail gebruikten om duizenden e-mails te stelen. Zelfs de IT-helpdesk van de campagne werd misleid door de frauduleuze e-mails.

Moderne phishing-technieken

Phishing is sterk geëvolueerd en maakt gebruik van meerdere communicatiemethoden en geavanceerde technieken om doelwitten te misleiden. Moderne phishingpogingen kunnen legitieme bedrijven nabootsen, waardoor het moeilijk is om ze te detecteren zonder zorgvuldig onderzoek.

Enkele hedendaagse phishingtechnieken zijn:

• Angler Phishing: Dit gebeurt via sociale media, waarbij vervalste URL’s, chatberichten of nepprofielen worden gebruikt om gevoelige informatie te verzamelen. Aanvallers kunnen sociale mediaprofielen ook misbruiken voor persoonlijke informatie om hun manipulatie te vergroten.
• Klonen en domain spoofing: Aanvallers maken e-mails die sterk lijken op legitieme e-mails, waarbij ze exacte kopieën van berichten gebruiken of domeinnamen vervalsen om e-mails echt te laten lijken. Ze doen zich vaak voor als grote, bekende bedrijven om gebruikers persoonlijke informatie te ontfutselen.
• Smishing: Deze techniek combineert phishing met sms, waarbij valse sms-berichten worden verstuurd om informatie zoals creditcardnummers of wachtwoorden te verzamelen.
• Spear Phishing: Bij spear phishing verzamelen aanvallers zeer gericht gedetailleerde informatie om gepersonaliseerde e-mails op te stellen die van betrouwbare bronnen afkomstig lijken te zijn.
• Whaling: Dit type phishing is gericht op hooggeplaatste werknemers of personen met een hoog profiel, waarbij vaak sprake is van geavanceerde sociale manipulatie en het verzamelen van informatie.
• Vishing: Vishing is een combinatie van phishing en VoIP (voice over internet protocol) en bestaat uit frauduleuze telefoongesprekken om gevoelige informatie te verkrijgen.

Samengevat is phishing geëvolueerd van vroege programma’s zoals AOHell naar complexe schema’s met verschillende communicatiemethoden. De dreiging blijft aanzienlijk omdat het aast op de menselijke psychologie, waardoor het essentieel is voor individuen en organisaties om waakzaam te blijven en op de hoogte van deze steeds veranderende tactieken.