Aquarium

Als ik vroeger vol bewondering voor het aquarium van mijn oom stond, bekommerde ik mij er niet om hoe al die tropische vissen heetten. Nou ja, van die visjes met een ingebouwde tl-buis wilde iedereen wel weten wat hun naam was (neontetra). Maar voor de rest genieten de meeste mensen van de schoonheid die de natuur te bieden heeft zonder het naadje van de kous te willen weten.

Ook phishing heeft diverse verschijningsvormen, en als je dat weet, dan helpt dat je om het te herkennen. En net als bij het bewonderen van een aquarium hoef je wat mij betreft de namen van die verschillende vormen niet te onthouden, zolang je maar weet wat er allemaal te koop is op de phishmarkt.

Phishing (algemeen) – De verzamelnaam voor alle berichten die proberen de ontvanger op een malafide link te laten klikken of een malafide bestand te laten openen. Malafide als in: als je de gevraagde actie uitvoert, dan heeft dat nadelige gevolgen voor jou en verdient een crimineel daar geld aan.

E-mail phishing – De bekendste vorm van phishing werkt via e-mail. Criminelen maken er veel werk van om zo’n mailtje er zo echt mogelijk uit te laten zien, compleet met het logo van het bedrijf waarvoor ze zich uitgeven en de correcte naam van de directeur. E-mail biedt ons relatief veel onderzoeksmogelijkheden: de afzender (maar die kan gemakkelijk vervalst worden), de aanhef (“Hallo” in plaats van “Hallo Patrick”), taalfouten (maar echte bedrijven maken die ook en criminelen worden steeds beter), plausibiliteit (een factuur van Ziggo is niet logisch als je bij KPN zit), en natuurlijk de link (ook al lees je securityblogpatrick.blogspot.nl, dan kan de link toch naar boef.com gaan). De ware link check je door je muis boven de link te laten ‘zweven’ (niet erop klikken) en onderin het mailprogramma naar de link te kijken. Op een mobiel apparaat druk je lang op de link, waardoor een pop-up je de ware link toont. Je klikt alleen op de link als wat je dáár ziet staan vertrouwd klinkt. En helaas, *zucht*, er zijn nog steeds bonafide bedrijven die afzenderadressen en links gebruiken die je de stuipen op het lijf jagen omdat ze er nogal phishy uitzien.

Clone phishing – De crimineel reageert op een door hem onderschept legitiem mailtje om zijn eigen link of bijlage naar binnen te smokkelen. Omdat de mail bij de ontvanger al bekend was, is de kans van slagen vrij groot.

Smishing – De phish komt binnen als sms-bericht (phishing met sm van sms). Doordat sms’jes nauwelijks controlemogelijkheden bieden en we gewend zijn aan korte berichten, die vaak verkorte links bevatten (bijvoorbeeld via bit.ly), vormen ze een ideale verspreidingswijze. Heel actueel is het sms’je van de zogenaamde pakketdienst. Als je op de link in het bericht klikt, dan ga je een nep-app van DHL of UPS installeren en wordt je Android-toestel besmet met malware, die de controle over je toestel overneemt. Vervolgens laten de criminelen jouw toestel dure sms’jes versturen, waar zij de winst van opstrijken, of ze zitten in je e-mail en bank-app, waarin ze overboekingen ombuigen naar hun eigen bankrekening.  Voor de liefhebbers: deze malware heet FluBot, ook bekend als Cabassous. Deze phish zwemt momenteel vooral in Nederlandse wateren. Ik heb hem al een paar keer gespot; mijn exemplaren bevatten opvallende spelfouten (“Uw paoket komt er san”) en een link die linea recta naar China wees, maar daar mag je niet blind op varen. De berichtenapp van Android stopt dergelijke sms’jes trouwens al zelf in de map Spam en geblokkeerd.

Vishing – Phishing met de v van voice. Mondelinge phishing dus. De oer-phish ging ongeveer als volgt: “Hallo, met uw bank. Uw verloren bankpas is bij ons ingeleverd. Om te controleren of alles in orde is, hebben we uw pincode nodig.” Die bankpas was dus niet verloren maar gerold. En ja, destijds trapten mensen hier inderdaad in. Als jij een bedrijf belt en ze vragen ter controle om je geboortedatum, postcode of schoenmaat – helemaal prima (doch slechts beperkt zinvol). Maar als ‘een bedrijf’ jou belt en ter controle om gegevens vraagt, dan slaat dat nergens op.

Spear phishing – Gewone phishing is als schieten met hagel: hopen dat een paar van de vele geadresseerden erin trappen. Spear phishing daarentegen is gericht op een specifieke persoon of functionaris, bijvoorbeeld de directeur of iemand die bij het geld van het bedrijf kan. Een verbijzonderde vorm van spear phishing is whaling, waarbij de phish aan iemand met een hoge functie in de organisatie is gericht. En dat is dan weer nauw verwant aan CEO-fraude, waarbij de crimineel zich voordoet als een hoge pief en iemand van de financiële afdeling opdracht geeft om geld over te boeken naar een bepaalde rekening. Meestal is zo’n opdracht omgeven door geheimzinnigheid: het gaat over een bedrijfsovername waar niemand iets van mag weten, de directeur vertrouwt alleen jou en het moet snel.

Mishing – Ik dacht dat deze term nog niet bestond en vond het wel een aardige aanduiding voor phishing via de mail. Blijkt het al voor text messaging te staan. Engelstaligen hebben het vooral over texting en niet over sms’en.

Wat water is voor een vis, is communicatie voor een phish. Als je de stop uit het aquarium trekt, dan sterven de vissen, maar we kunnen niet de stekker uit onze communicatie trekken om phishing te stoppen. Voorlopig blijft het dus belangrijk om waakzaam te blijven en je steeds af te vragen: hé, ruik ik hier een rotte phish?

 

En in de grote boze buitenwereld …

• loopt de schade door FluBot behoorlijk in de papieren.
• hoef je je Android-toestel niet per se volledig te resetten om Flubot te verwijderen.
• heb je hier een ‘mooi’ voorbeeld van spear phishing.
• maakt een nieuwe phishing-campagne gebruik van een mass-mail service.
• moet je updates altijd goed testen voordat je ze uitrolt.
• krijg je maar beter geen ruzie met je ICT-leverancier.
• is het Belgische ministerie van Binnenlandse Zaken al twee jaar geleden gehackt.
• werkt de FBI voortaan samen met Have I Been Pwned.
• kun je momenteel geen datalekken melden bij de Autoriteit Persoonsgegevens omdat ze een formulier aan het vervangen zijn.
• hebben de AP en haar Europese collega-toezichthouders inmiddels ruim zeshonderd AVG-boetes opgelegd.
• verhelpen iOS 14.6 en iPadOS 14.6 heel wat kwetsbaarheden op de iPhone en de iPad. Updaten dus!
• verried een foto van een stukje kaas de crimineel in wiens hand de kaas lag.