Internetfraude is een grote dreiging voor bedrijven en hun medewerkers. Dit geldt voor iedere sector, maar voor de financiële sector in het bijzonder. Een vorm van internetfraude is phishing, waarbij criminelen vissen naar inloggegevens van gebruikers. 

Criminelen die zich richten op organisaties in de financiële wereld gebruiken vaak hoogdravende social engineering-tactieken – waarbij ze gedetailleerde persoonlijke kenmerken van slachtoffers gebruiken – om anderen geld afhandig te maken. In dit artikel gaat Jason Nolan, Country manager Benelux bij Digital Shadows, in op de phishing-technieken die worden gebruikt om financiële organisaties op te lichten en behandelt hij manieren waarop u deze aanvallen kunt pareren. 

Wat is phishing? 

Nolan: "Phishing is een tactiek waarbij de aanvaller zich voordoet als een ander persoon of dienst om malware op apparaten van de gebruiker te installeren of om gevoelige informatie te stelen. Denk hierbij aan inlog- of betaalgegevens. Dit wordt meestal bereikt via een URL die het slachtoffer doorverwijst naar een kwaadaardig domein of via een schadelijke bijlage in de mail. Hier wordt het slachtoffer vervolgens gevraagd om gevoelige informatie te verstrekken of plug-ins te installeren."
Bij de meeste phishing-campagnes worden e-mails breed verspreid, in de hoop dat een deel van de ontvangers de frauduleuze aard van de e-mail niet zal herkennen. Spear phishing is een techniek gericht op een specifiek individu of specifieke organisatie. Vaak zijn deze e-mails afgestemd op de ontvanger om het geloofwaardiger te maken. Twee veel voorkomende spear phishing-technieken zijn:

• Business Email Compromise (BEC). BEC kent veel verschillende versies. Bij één populaire methode doet de cybercrimineel zich voor als een leidinggevende door het e-mailadres van deze persoon na te bootsen. Door gebruik te maken van een bekende naam probeert de crimineel het vertrouwen van het slachtoffer te winnen, om vervolgens gevoelige informatie te achterhalen.
• Whale phishing/Whaling. Dit is in principe een vorm van BEC, alleen zijn hier specifieke leidinggevenden op hoog niveau het doelwit. Whale phishing draait net als BEC om het winnen van het vertrouwen van slachtoffers door het gebruiken van een autoritaire naam. Aanvallers gebruiken informatie over leidinggevenden die ze via openbare bronnen hebben gevonden, zoals naam, telefoonnummer of e-mailadres, voor het selecteren van hun doelwitten.

Maatregelen tegen phishing aanvallen

Nolan vervolgt: "Standaardmaatregelen zoals anti-spamfilters en anti-malwarebeveiligingen herkennen meestal een deel van de phishing e-mails. Deze maatregelen zijn echter niet waterdicht.