De 10 meest voorkomende vormen van phishing

De 10 meest voorkomende vormen van phishing

Door •

Phishing is een vorm van cybercrime waarbij oplichters proberen om aan persoonlijke gegevens te komen door zich voor te doen als een betrouwbare organisatie, zoals je bank, een online winkel of zelfs iemand van je familie

Ze sturen vaak e-mails met een link die er echt uitziet, maar eigenlijk naar een nepwebsite leidt. Op deze nepwebsite word je gevraagd om in te loggen met je gebruikersnaam en wachtwoord, of om andere persoonlijke gegevens in te vullen. Als je dit doet, kunnen de oplichters met deze informatie bij jouw accounts inbreken en bijvoorbeeld geld van je rekening halen.

In dit artikel zetten we de 10 meest gebruikte vormen van phising op een rij. Let wel, bij het schrijven over cybersecurity in het algemeen en over phishing in dit specifieke artikel is het vrijwel onvermijdelijk om engelstalige termen te gebruiken. 

Veel technische concepten en aanvalsmethoden zijn oorspronkelijk in het Engels benoemd en vaak bestaat er geen directe of wijdverspreide Nederlandse vertaling.  We proberen om zo goed mogelijk een begrijpelijke uitleg te geven voor elke van de vormen van “digitaal crimineel vissen”…

1. E-mail phishing

Dit is de meest klassieke en wijdverspreide vorm van phishing. Cybercriminelen sturen massa-e-mails die lijken te komen van legitieme bedrijven of instellingen.

Kenmerken:

  • Generieke aanhef (bijv. “Beste klant”)
  • Dringende oproep tot actie
  • Verzoeken om persoonlijke gegevens of financiële informatie
  • Links naar valse websites
  • Vaak spelfouten of vreemde formuleringen

Voorbeeld: Een e-mail die zogenaamd van je bank komt, waarin staat dat je account is geblokkeerd en je moet inloggen om het te deblokkeren.

2. Spear phishing

Een gerichte aanval op specifieke individuen of organisaties. De aanvallers doen uitgebreid vooronderzoek om hun bericht geloofwaardiger te maken.

Kenmerken:

  • Persoonlijke aanhef en details
  • Kennis van de doelorganisatie
  • Vaak gericht op werknemers met toegang tot gevoelige informatie

Voorbeeld: Een e-mail die lijkt te komen van de HR-afdeling, gericht aan een specifieke werknemer, met een verzoek om personeelsgegevens te updaten.

3. Whaling

Een variant van spear phishing, specifiek gericht op hooggeplaatste functionarissen zoals CEO’s of CFO’s.

Kenmerken:

  • Zeer goed onderzocht en gepersonaliseerd
  • Vaak gerelateerd aan financiële transacties of bedrijfskritische informatie
  • Kan zich voordoen als een vertrouwde zakenpartner of collega

Voorbeeld: Een e-mail die lijkt te komen van de CEO aan de CFO, met het verzoek om een dringende, vertrouwelijke overboeking te doen.

4. Smishing (SMS phishing)

Phishing via SMS-berichten, waarbij slachtoffers worden verleid om op een link te klikken of persoonlijke informatie te delen.

Kenmerken:

  • Korte, urgente berichten
  • Vaak verwijzend naar pakketleveringen, bankzaken of prijzen
  • Bevat meestal een link of telefoonnummer

Voorbeeld: Een SMS die claimt dat er een pakket niet afgeleverd kon worden, met een link om de levering opnieuw in te plannen.

5. Vishing (Voice phishing)

Phishing via telefoongesprekken, waarbij oplichters zich voordoen als vertrouwde instanties.

Kenmerken:

  • Onverwachte telefoontjes
  • Druk om snel te handelen
  • Verzoeken om persoonlijke of financiële informatie

Voorbeeld: Een telefoontje van iemand die beweert van Microsoft te zijn en zegt dat er een probleem is met je computer dat direct opgelost moet worden.

6. Pharming

Een geavanceerde aanval waarbij slachtoffers naar een valse website worden geleid, zelfs als ze het juiste webadres invoeren.

Kenmerken:

  • De website ziet er identiek uit aan de echte site
  • Het webadres in de adresbalk lijkt correct
  • Vaak gericht op online bankieren of e-commerce sites

Voorbeeld: Je typt het adres van je bank in, maar wordt ongemerkt omgeleid naar een exacte kopie van de site waar je inloggegevens worden gestolen.

7. Clone phishing

Hierbij maken aanvallers een exacte kopie van een legitiem bericht, maar vervangen links of bijlagen door kwaadaardige versies.

Kenmerken:

  • Lijkt identiek aan een eerder ontvangen legitiem bericht
  • Claimt vaak een update of correctie te zijn
  • Bevat gewijzigde links of bijlagen

Voorbeeld: Een kopie van een eerdere e-mail over een factuur, maar nu met een “gecorrigeerde” bijlage die malware bevat.

8. Pop-up phishing

Gebruik van pop-up vensters op websites om gebruikers te misleiden en gevoelige informatie te ontfutselen.

Kenmerken:

  • Verschijnt onverwacht tijdens het browsen
  • Vaak alarmerend of verleidelijk van aard
  • Kan zich voordoen als systeemmelding of beveiligingswaarschuwing

Voorbeeld: Een pop-up die beweert dat je computer geïnfecteerd is en je moet bellen naar een bepaald nummer voor “technische ondersteuning”.

9. Evil twin phishing

Het opzetten van een valse WiFi-hotspot die zich voordoet als een legitiem netwerk om gebruikersgegevens te onderscheppen.

Kenmerken:

  • Netwerknaam lijkt op die van een legitiem openbaar netwerk
  • Vaak op drukke openbare plaatsen zoals vliegvelden of cafés
  • Kan een inlogpagina tonen die er officieel uitziet

Voorbeeld: Een WiFi-netwerk genaamd “Gratis_Vliegveld_WiFi” dat eigenlijk wordt beheerd door een hacker in de vertrekhal.

10. Angler phishing

Een relatief nieuwe vorm die sociale media platforms misbruikt om slachtoffers te bereiken.

Kenmerken:

  • Gebruikt nep klantenservice accounts op sociale media
  • Reageert op klachten of vragen van gebruikers aan echte bedrijven
  • Stuurt slachtoffers naar phishing sites voor “verificatie”

Voorbeeld: Een nep Twitter-account dat zich voordoet als klantenservice van een bank en reageeert op klachten van klanten met links naar een phishing site.

Algemene tips om phishing te herkennen en te voorkomen:

  • Wees altijd kritisch op onverwachte berichten of verzoeken.
  • Controleer de afzender en links zorgvuldig voordat je erop klikt.
  • Wees alert op taalgebruik dat aanspoort tot snelle actie of dreigementen bevat.
  • Verifieer verdachte verzoeken via een ander, betrouwbaar communicatiekanaal.
  • Wees voorzichtig met het delen van persoonlijke informatie online.
  • Leer jezelf en anderen over de nieuwste phishing-tactieken.
  • Meld verdachte activiteiten aan de betreffende autoriteiten of het IT-team van je organisatie.

Security Awareness

De cruciale rol van security awareness in het beschermen van bedrijfsinformatie kan niet genoeg benadrukt worden. Vaak is de menselijke factor de zwakste schakel in de beveiligingsketen. Het is dus van essentieel belang dat medewerkers niet alleen worden geïnformeerd, maar ook voortdurend worden opgeleid en getraind. Dit verhoogt niet alleen hun kennisniveau, maar verbetert ook hun houding en gedrag ten aanzien van informatiebeveiliging.

Bewustmakingstraining helpt om risico’s te minimaliseren en zo het verlies van data, geld of merkreputatie te voorkomen. Een effectieve bewustmakingstraining gaat in op de cyberbeveiligingsfouten die werknemers kunnen maken bij het gebruik van e-mail, het web en in de fysieke wereld.

Vragen?

U kunt altijd contact met SolidBE opnemen mocht u een vraag hebben over een van de besproken onderwerpen (Awareness, Phishing, Training ) of wanneer u assistentie nodig heeft om netwerk- of security vraagstukken op te lossen. Wij helpen u graag bij de beheren van een veilige en solide ICT omgeving!

Auteur

Maarten Schouten is Digital Specialist bij SolidBE. Hij doet onderzoek en schrijft artikelen over de meest uiteenlopende onderwerpen binnen het netwerk en security domein. Ook houdt hij het nieuws bij op ons blog.

Meer artikelen van Maarten Schouten | @LinkedIN

Tags: Awareness, Phishing, Training
Lees meer

Ook interessant

Scroll naar boven