Redenen waarom mensen in de val van phishing trappen? Die zijn er genoeg: van onwetendheid, onoplettendheid en goedgelovigheid, tot hebzucht of de vrees voor klachten van de grote baas.
Phishing is geen nieuw fenomeen. Sinds een kleine twintig jaar vraagt een zogenaamde Nigeriaanse prins u via e-mail om hulp. Of u de kosten wil voorschieten die hij moet maken om zijn fortuin te deblokkeren. En waarvoor hij u uiteraard rijkelijk zal belonen. “Dat soort e-mails bestaat inderdaad nog altijd”, zegt Stefaan Wuytack, Portfolio Strategy Manager Cybersecurity bij Telenet Business. “Vroeger kon je aan het slechte Engels al snel merken dat er iets niet pluis was. Vandaag is het taalgebruik veel beter en de aanpak professioneler. Maar het doel blijft hetzelfde: geld aftroggelen van naïeve mensen, op een manier die weinig kosten of energie vraagt.”
Gerichte aanvallen
Wat tijdens de lockdown opviel, was de slechte kwaliteit van de phishingaanvallen. “We hadden de indruk dat de lockdown voor heel wat newbies de aanleiding vormde om op de zwarte markt een phishingaanval te kopen en een poging te wagen”, zegt Stefaan Wuytack. “Maar dat soort aanvallen is heel snel opgemerkt.” Feit is dat thuiswerkers plots massa’s uitnodigingen voor videovergaderingen kregen. Wanneer daar dan een goede nagemaakte uitnodiging tussen zit, met een stuk malware of een link naar een malafide site, dan is een ongeluk gauw gebeurd.
“Toch blijft dat nog altijd vissen met een groot net”, zegt Stefaan Wuytack. “De visser gooit het uit, haalt het in en kijkt wat hij heeft gevangen.” Op een hoger niveau komen we bij spear phishing terecht. Daar gaat het over heel gerichte, persoonlijke aanvallen. Stefaan Wuytack: “Die kosten veel meer moeite en energie, maar de slaagkans ligt ook hoger.” CEO-fraude is een bekend voorbeeld van spear phishing. De cybercrimineel stuurt een e-mail vanaf de gehackte account van de CEO naar een medewerker van de financiële afdeling, met de vraag een dringende betaling uit te voeren. Evengoed belt de crimineel een manager op, geeft zich uit voor iemand van het IT-team, en vraagt om een paswoord te verifiëren.
Wedloop
Bij cybercriminaliteit is geldgewin vrijwel altijd het einddoel. Phishing kan een eerste poging zijn om op het netwerk binnen te dringen en daar ransomware te installeren of identiteitsfraude te plegen. Net daarom is het belangrijk dat bedrijven zich wapenen tegen phishing. “Een onderneming mag niet alles op één technologie zetten”, vindt Stefaan Wuytack. “Phishing komt bij het bedrijf binnen via het endpoint. De klassieke combinatie van firewall en antivirus volstaat daarbij niet meer. Phishing richt zich op de mens. Maak de medewerkers daarom bewust van de gevaren en de risico’s. Maar beschouw dat vooral niet als een eenmalige oefening. Awareness creëren en onderhouden vraagt een inspanning.”
Bovendien bevinden cybercriminelen en cybersecurityspecialisten zich in een eindeloze wedloop, waarbij ze elkaar te slim af proberen te zijn. Beide partijen gooien daarbij dezelfde wapens in de strijd. Artificiële intelligentie, bijvoorbeeld, duikt almaar vaker op, zowel in de context van cybercriminaliteit als die van cybersecurity. Stefaan Wuytack: “Klopt. Met AI is het mogelijk om alle mogelijk informatie over iemand bij elkaar te scrapen, bijvoorbeeld van LinkedIn en andere sociale media.” Dat laat toe een phishing e-mail op te stellen die heel geloofwaardig overkomt en dus meer kans op succes heeft. Evengoed zetten leveranciers van security-oplossingen artificiële intelligentie in om aanvallen af te weren. Voor bedrijven – de potentiële doelwitten – blijven investeringen in cybersecurity onmisbaar. “Niets doen is geen optie”, zegt Stefaan Wuytack. “In ons domein geldt meer dan ooit the risk of no investment. Voor de doorsnee IT-manager is het onmogelijk om met alle evoluties rond security mee te zijn. IT-beveiliging is werk voor gespecialiseerde partners.”