Als ik vroeger vol bewondering voor het aquarium van mijn oom stond, bekommerde ik mij er niet om hoe al die tropische vissen heetten. Nou ja, van die visjes met een ingebouwde tl-buis wilde iedereen wel weten wat hun naam was (neontetra). Maar voor de rest genieten de meeste mensen van de schoonheid die de natuur te bieden heeft zonder het naadje van de kous te willen weten.
Ook phishing heeft diverse verschijningsvormen, en als je dat weet, dan helpt
dat je om het te herkennen. En net als bij het bewonderen van een aquarium hoef
je wat mij betreft de namen van die verschillende vormen niet te onthouden,
zolang je maar weet wat er allemaal te koop is op de phishmarkt.
Phishing (algemeen) – De
verzamelnaam voor alle berichten die proberen de ontvanger op een malafide link
te laten klikken of een malafide bestand te laten openen. Malafide als in: als
je de gevraagde actie uitvoert, dan heeft dat nadelige gevolgen voor jou en
verdient een crimineel daar geld aan.
E-mail phishing – De bekendste vorm van
phishing werkt via e-mail. Criminelen maken er veel werk van om zo’n mailtje er
zo echt mogelijk uit te laten zien, compleet met het logo van het bedrijf
waarvoor ze zich uitgeven en de correcte naam van de directeur. E-mail biedt ons
relatief veel onderzoeksmogelijkheden: de afzender (maar die kan gemakkelijk
vervalst worden), de aanhef (“Hallo” in plaats van “Hallo Patrick”), taalfouten
(maar echte bedrijven maken die ook en criminelen worden steeds beter),
plausibiliteit (een factuur van Ziggo is niet logisch als je bij KPN zit), en
natuurlijk de link (ook al lees je securityblogpatrick.blogspot.nl, dan kan de
link toch naar boef.com gaan). De ware link check je door je muis boven de link
te laten ‘zweven’ (niet erop klikken) en onderin het mailprogramma naar de link
te kijken. Op een mobiel apparaat druk je lang op de link, waardoor een pop-up
je de ware link toont. Je klikt alleen op de link als wat je dáár ziet staan
vertrouwd klinkt. En helaas, *zucht*, er zijn nog steeds bonafide bedrijven die
afzenderadressen en links gebruiken die je de stuipen op het lijf jagen omdat
ze er nogal phishy uitzien.
Clone phishing – De
crimineel reageert op een door hem onderschept legitiem mailtje om zijn eigen
link of bijlage naar binnen te smokkelen. Omdat de mail bij de ontvanger al
bekend was, is de kans van slagen vrij groot.
Smishing – De phish komt binnen als
sms-bericht (phishing met sm van sms). Doordat sms’jes nauwelijks
controlemogelijkheden bieden en we gewend zijn aan korte berichten, die vaak
verkorte links bevatten (bijvoorbeeld via bit.ly), vormen ze een ideale verspreidingswijze.
Heel actueel is het sms’je van de zogenaamde pakketdienst. Als je op de link in
het bericht klikt, dan ga je een nep-app van DHL of UPS installeren en wordt je
Android-toestel besmet met malware, die de controle over je toestel overneemt.
Vervolgens laten de criminelen jouw toestel dure sms’jes versturen, waar zij de
winst van opstrijken, of ze zitten in je e-mail en bank-app, waarin ze
overboekingen ombuigen naar hun eigen bankrekening. Voor de liefhebbers: deze malware heet
FluBot, ook bekend als Cabassous. Deze phish zwemt momenteel vooral in
Nederlandse wateren. Ik heb hem al een paar keer gespot; mijn exemplaren
bevatten opvallende spelfouten (“Uw paoket komt er san”) en een link die linea
recta naar China wees, maar daar mag je niet blind op varen. De berichtenapp
van Android stopt dergelijke sms’jes trouwens al zelf in de map Spam en geblokkeerd.
Vishing – Phishing met de v van
voice. Mondelinge phishing dus. De oer-phish ging ongeveer als volgt: “Hallo,
met uw bank. Uw verloren bankpas is bij ons ingeleverd. Om te controleren of
alles in orde is, hebben we uw pincode nodig.” Die bankpas was dus niet
verloren maar gerold. En ja, destijds trapten mensen hier inderdaad in. Als jij
een bedrijf belt en ze vragen ter controle om je geboortedatum, postcode of
schoenmaat – helemaal prima (doch slechts beperkt zinvol). Maar als ‘een
bedrijf’ jou belt en ter controle om gegevens vraagt, dan slaat dat nergens
op.
Spear phishing –
Gewone phishing is als schieten met hagel: hopen dat een paar van de vele
geadresseerden erin trappen. Spear phishing daarentegen is gericht op een
specifieke persoon of functionaris, bijvoorbeeld de directeur of iemand die bij
het geld van het bedrijf kan. Een verbijzonderde vorm van spear phishing is whaling, waarbij de phish aan iemand
met een hoge functie in de organisatie is gericht. En dat is dan weer nauw
verwant aan CEO-fraude, waarbij de
crimineel zich voordoet als een hoge pief en iemand van de financiële afdeling
opdracht geeft om geld over te boeken naar een bepaalde rekening. Meestal is
zo’n opdracht omgeven door geheimzinnigheid: het gaat over een bedrijfsovername
waar niemand iets van mag weten, de directeur vertrouwt alleen jou en het moet
snel.
Mishing – Ik
dacht dat deze term nog niet bestond en vond het wel een aardige aanduiding
voor phishing via de mail. Blijkt het al voor text messaging te staan. Engelstaligen hebben het vooral
over texting en niet over sms’en.
Wat water is voor een vis, is communicatie voor een phish. Als je de
stop uit het aquarium trekt, dan sterven de vissen, maar we kunnen niet de
stekker uit onze communicatie trekken om phishing te stoppen. Voorlopig blijft
het dus belangrijk om waakzaam te blijven en je steeds af te vragen: hé, ruik
ik hier een rotte phish?
En in de grote boze buitenwereld …
- loopt de schade door FluBot behoorlijk in de papieren.
- hoef je je Android-toestel niet per se volledig te resetten om Flubot te verwijderen.
- heb je hier een ‘mooi’ voorbeeld van spear phishing.
- maakt een nieuwe phishing-campagne gebruik van een mass-mail service.
- moet je updates altijd goed testen voordat je ze uitrolt.
- krijg je maar beter geen ruzie met je ICT-leverancier.
- is het Belgische ministerie van Binnenlandse Zaken al twee jaar geleden gehackt.
- werkt de FBI voortaan samen met Have I Been Pwned.
- kun je momenteel geen datalekken melden bij de Autoriteit Persoonsgegevens omdat ze een formulier aan het vervangen zijn.
- hebben de AP en haar Europese collega-toezichthouders inmiddels ruim zeshonderd AVG-boetes opgelegd.
- verhelpen iOS 14.6 en iPadOS 14.6 heel wat kwetsbaarheden op de iPhone en de iPad. Updaten dus!
- verried een foto van een stukje kaas de crimineel in wiens hand de kaas lag.