Phishing is geen onbekende term in onze organisatie. In een vorige blog post hadden we het over de vele manieren waarop hackers phishingmails gebruiken om gebruikers kwaadaardige bijlagen te laten downloaden of frauduleuze websites te laten bezoeken. In 2016 alleen steeg het aantal phishingaanvallen met maar liefst 400% en in 2017 zette deze trend zich verder. Vandaag zetten we onze campagne om een eind te maken aan phishing verder door een andere aanvalsmethode in de vorm van phishingwebsites te bespreken.
Malafide e-mails versturen is slechts één onderdeel van het phishingproces. De phisher bouwt vaak ook een valse website om slachtoffers te overtuigen hun aanmeldgegevens, bankgegevens of beide in te voeren, zodat de phisher deze kan stelen. Door de jaren heen zijn miljoenen gebruikers het slachtoffer geworden van phishing. Om te bewijzen hoe effectief het is, bekijken we dit opmerkelijke incident uit 2013. In het Verenigd Koninkrijk werden drie hackers gearresteerd omdat ze geprobeerd hadden om nietsvermoedende klanten op te lichten voor bijna 60 miljoen pond door 2.600 valse bankwebsites te maken.
Om ervoor te zorgen dat jouw bedrijf geen slachtoffer wordt van deze aanvallen, hebben we een aantal van de meest voorkomende scenario's voor jullie samengevat waarin je phishingsites kan tegenkomen en geven we een aantal tips hoe je deze kunt identificeren zodat je niet in de val loopt.
Hoe bereik je een phishingwebsite?
Scenario 1: Een phishingmail openen – De e-mailfraude van Nick
We starten met een scenario waarmee je waarschijnlijk al vertrouwd bent. Nick is een harde werker. Dankzij zijn harde werk verdiende hij 1 miljoen dollar voor zijn pensioen. Enkele maanden voor zijn pensioenfeest ontving Nick e-mails van zijn "bank" met de melding dat hij zijn bankgegevens moest bijwerken. Hij meldde zich aan bij de "bankwebsite" en wijzigde zijn aanmeldgegevens. De volgende dag merkte hij dat zijn spaargeld verdwenen was, wat ook gebeurde met een Britse vrouw in 2012.
Scenario 2: Op een verdachte advertentie klikken – Het advertentiedilemma van Marte
Advertenties worden ook gebruikt als een manier om phishingaanvallen uit te voeren. Zo was Marte online op zoek naar eenvoudige bakrecepten. Ze typte "eenvoudige bakrecepten" in Google en zonder de link te controleren klikte ze op een Google-advertentie met als titel "Eenvoudige cakerecepten". De advertentie leidde haar naar een webpagina die haar om haar creditcardgegevens vroeg in ruil voor recepten. Gelukkig wekte de vraag om geld argwaan bij Marte en sloot ze de webpagina meteen. Ze had geluk want dit soort valse Google-advertenties werden gebruikt voor phishingaanvallen in 2014.
Scenario 3: Een valse loginpagina openen – Het overheidsfiasco van Sofie
Phishers doen alles om gegevens te stelen. Laten we het geval van Sofie die haar paspoort wil bijwerken als voorbeeld nemen. Sofie typte de naam van het paspoortagentschap dat ze zocht in haar zoekmachine en klikte op de eerste link die ze zag. Alles zag er normaal uit en er viel haar niets vreemds op aan de loginpagina. Ze voerde haar aanmeldgegevens en paspoortgegevens in. Na bevestiging vroeg ze zich af waarom ze geen reactie kreeg van het paspoortagentschap. De volgende dag kwam ze erachter dat haar accounts gehackt waren, net zoals inwoners van Singapore die afgelopen jaar het slachtoffer werden van valse overheidswebsites.
Scenario 4: Social media – De twitterproblemen van Robin
Robin had een probleem met zijn bank en omdat hij dacht dat hij sneller een reactie zou krijgen via Twitter, stuurde hij een bericht naar de Twitter-account van zijn bank. Enkele uren later reageerde een "bankmedewerker" en gaf deze hem een link naar de "supportpagina van zijn bank". Robin was slim genoeg om de "bankmedewerker" niet te vertrouwen, want hij weet dat hij niet-geverifieerde Twitter-accounts niet mag vertrouwen. Robin werd geconfronteerd met, en trapte gelukkig niet in de val van een van de meest populaire soorten phishingaanvallen op social media.
Tips om een phishingwebsite te ontdekken
Je hebt waarschijnlijk het patroon al ontdekt: alle scenario's waren gebaseerd op echte phishingaanvallen en zwendels. Nick, Marte, Sofie en Robin zijn dan wel fictieve personen, maar de dreigingen zijn heel echt. Hieronder kan je nog een paar nuttige tips om te voorkomen dat je het slachtoffer wordt van deze schadelijke phishingsites. We verdelen onze oplossingen in twee categorieën.
Vóór het klikken
Controleer en bestudeer de URL altijd voor het klikken. Wanneer iemand een link stuurt via e-mail of social media, of via eender welk platform, moet je altijd de URL controleren voordat je erop klikt. Je hoeft geen expert te zijn om een verdachte URL te herkennen. Zoek gewoon naar de rode vlaggen in de link. Valse links imiteren doorgaans bestaande websites, vaak door onnodige woorden en domeinen toe te voegen.
Beweeg altijd met de muisaanwijzer over tekst met een hyperlink voordat je erop klikt. In het onderstaande voorbeeld, dat we in detail hebben besproken in ons vorig artikel, zie je dat de gelinkte URL achter de tekst "klik hier" "http://globalsign.uk.virus-control.com/b4df29/?login_id=1817..." is. Er zijn enkele elementen waarvoor je op je hoede zou moeten zijn – 1. globalsign.uk is geen legitiem domein van GlobalSign, 2. het domein bevat de extra string "virus-control", en 3. de lange tekenreeks aan het eind van de URL.
Identificeer de bron van de link. Ken je de persoon die jou de link heeft gestuurd? Zelfs bij de minste twijfel mag je niet op de link klikken. In het vorige voorbeeld kon Robin de valse medewerker ontmaskeren in plaats van op de valse link te klikken. Phishers maken vaak valse persoonlijkheden aan, van de minst voor de hand liggende (bv. een "Vertrouwde Bankautoriteit") tot de meest overtuigende (bv. Peter Janssen bij J.P. Morgan Chase & Co.). Controleer daarom altijd de personen waarmee je communiceert en ga na of ze echt zijn.
Na het klikken
Controleer en bestudeer de URL VOORDAT je gegevens invoert. Stel dat u per ongeluk op een phishinglink hebt geklikt. Dan hoef je nog niet meteen te panikeren. Zoals hierboven vermeld moet je de URL van de webpagina controleren en zoeken naar rode vlaggen. Valse webpagina's bevatten vaak veel betekenisloze tekens in de adresbalk of extra tekstelementen.
Bekijk het onderstaande voorbeeld van de Gmail-fraude die eerder dit jaar de ronde deed. Je zal zien dat deze de string "accounts.google.com" bevat en er legitiem uitziet, maar de extra tekst voor het adres zou een waarschuwing moeten zijn dat het eigenlijk om een phishingsite of valse site gaat.
(Bron: PCMag)
Zoek naar een Trust Seal op de pagina. De meeste legitieme sites gebruiken Trust Seals. Dit zijn kleine badges die worden verleend door externe bedrijven en die aantonen hoe veilig een site is (bv. met een betrouwbaarheidsscore of door aan te geven of de site versleuteld is met SSL/TLS). Pagina's die aanmeldgegevens of betalingsgegevens verzamelen moeten een trust badge of een Secure Site Seal bevatten om bezoekers te verzekeren dat de website legitiem is. Zoek op de pagina naar een Trust Seal en ga na of de provider van het zegel een bekende online beveiligingsprovider is. Deze zegels zijn vaak ook interactief, dus het kan nuttig zijn om op het zegel te klikken voor bijkomende informatie over de site.
Controleer of de adresbalk de gegevens van het bedrijf bevat. SSL/TLS-certificaten spelen een cruciale rol bij webbeveiliging doordat ze sessies versleutelen en de informatie beveiligen die wordt verzonden tussen browsers en webservers. Extended Validation (EV) SSL, het hoogste niveau van SSL, voegt een belangrijk element toe omdat de geverifieerde identiteit van de operator van de website op een opvallende plaats wordt weergegeven in de browserinterface, meestal in een groene adresbalk.
Op deze manier kan je onmiddelijk zien of de site een legitieme site van het bedrijf is, en geen phishingsite of valse website is. Het merendeel van de belangrijke merken, die vaak het doelwit zijn van phishing, hebben intussen EV SSL geïmplementeerd. Naar de bedrijfsnaam in de URL zoeken is daarom een eenvoudige manier om de bezochte site te verifiëren. Omdat het aantal en de complexiteit van phishingaanvallen blijft toenemen, hoop ik dat meer en meer bedrijven EV zullen implementeren om hun sites te onderscheiden van kwaadwillige bedriegers.
Controleer of het websiteadres geen homograaf is. Een aantal belangrijke browsers begrijpen geen vreemde talen zoals het Cyrillische alfabet. Een hacker kan een domein zoals xn--pple-43d.com registreren, dat het equivalent is van apple.com, en er een SSL voor kopen. Dit wordt ook script spoofing genoemd. Het Cyrillische alfabet bevat een elftal tekens die er net uitzien als hun Latijnse tegenhangers. Andere alfabetten die vergelijkbare tekens met Latijn hebben in moderne lettertypes zijn: Grieks, Armeens, Hebreeuws en Chinees. Met voldoende combinaties kunt u een vals domein aanmaken en dit beveiligen, zodat het bijna niet kan worden onderscheiden van het echte domein.
Inderdaad, bijna onmogelijk! Er is één manier waarop je dit soort aanval kunt onderscheppen. Als je vermoedens hebt dat de link verdacht is, kopieer deze dan eens naar een ander tabblad.
Zo eenvoudig is het. De ware aard van het domein wordt meteen duidelijk en je weet meteen of je de website kan vertrouwen.
Je kan deze homografen ook zien door de details van het certificaat te bekijken en na te gaan welk domein gedekt wordt door het certificaat. In het bovenstaande voorbeeld zou je zien dat het certificaat werd uitgegeven voor "https://www.xn--80ak6aa92e.com/" en niet voor "apple.com".
Phishingaanvallen zullen de komende jaren waarschijnlijk nog toenemen, maar zolang je weet waar je op moet letten om deze te voorkomen, zullen deze goedkope manieren om gegevens te stelen steeds minder slachtoffers maken in de toekomst. De beste verdediging tegen hackers is een uitgebreide kennis van hun vuile trucs en ik hoop dat dit artikel jullie toch een beetje geholpen heeft om jullie mentale munitie aan te vullen.
Als je meer wilt weten over SSL/TLS-certificaten en hun rol bij online beveiliging, neem dan een kijkje op onze site of neem direct contact met ons opnemen.
