Phishing is een aanvalstechniek die door kwaadwillenden wordt gebruikt om gevoelige gegevens te ontfutselen aan een individu of organisatie. Doelgroepen van het NCSC krijgen met regelmaat te maken met phishingaanvallen. Onze medewerkers helpen doelgroeporganisaties om de schade van phishingaanvallen te beperken. Ook delen we onze kennis om mensen ervan bewust te maken hoe zij phishingpogingen kunnen herkennen.

Hoe werkt phishing?

Kwaadwillenden zetten een phishingaanval in om persoonlijke inloggegevens te bemachtigen of creditcardgegevens of toegang tot internetbankieren. De methode kan effectief zijn, omdat de aanval gericht is op het uitlokken van gedrag bij een persoon. De persoon wordt verleid om op een link te klikken en gegevens achter te laten. Een computer kan met technische middelen worden beschermd, een individu niet.

Vaak is phishing de eerste stap in een keten van stappen om een gerichte aanval op een individu of organisatie uit te voeren. De volgende stap kan zijn, dat een specifieke persoon als medewerker van een bepaalde organisatie als doelwit wordt uitgekozen. Dit wordt 'spear phishing' genoemd.

Wat is de impact van phishing?

Phishing via e-mail komt het meeste voor. Het slachtoffer ontvangt een e-mail die legitiem overkomt, omdat de e-mail gestuurd lijkt te zijn door een vertrouwd contact of organisatie. In zulke e-mails wordt gevraagd om gegevens te sturen of achter te laten op een ogenschijnlijk legitieme website. Zo'n website is vaak niet van de echte website te onderscheiden.

In de e-mail wordt het slachtoffer aangesproken op een betrouwbare en verleidelijke manier. Iemand is geneigd het bericht te vertrouwen en voelt zich geroepen om erop in te gaan. Als iemand erop ingaat, kan dat grote gevolgen hebben. Niet alleen omdat de kwaadwillende onbedoeld toegang heeft gekregen tot een individuele bankrekening of creditcard. Er zou een sneeuwbaleffect kunnen optreden waardoor toegang tot systemen van de hele organisatie wordt verkregen. Bewustwording bij medewerkers teweeg brengen en hen tot terughoudendheid manen in klikgedrag is dus in het belang van de hele organisatie.

Wat betekent dit voor mijn organisatie?

Phishingcampagnes van kwaadwillenden maken vaak gebruik van bekende maildomeinen, waardoor het lastiger is een e-mail als phishing-e-mail te herkennen. Op openbare platformen en sociale media laten mensen vaak gegevens achter, die hen tot doelwit kunnen maken. Kwaadwillenden gaan op zoek naar iemands e-mailadres via diens naam en andere persoonlijke gegevens.

Wij raden organisaties en medewerkers van organisaties aan om terughoudend te zijn in delen van persoonlijke informatie op sociale media en publieke platformen. Iemand met een interessante positie bij bijvoorbeeld een financiële instelling kan onbedoeld doelwit worden, omdat persoonlijke informatie op hun zakelijke profiel (LinkedIn) is geplaatst.

Wat iedere organisatie kan doen, is ervoor zorgen dat medewerkers bij iemand of een interne afdeling in de organisatie terecht kunnen om verdachte e-mail te laten controleren. Interne communicatie daarover draagt bij aan bewustwording van mensen om zichzelf tegen phishing-e-mails te beschermen.