'Of je even voor 1000 euro Google playcards wilt kopen, vroeg de 'directeur' in een e-mail. Echt, als we een alarm zouden laten afgaan zodra iemand een phishing mailtje ontvangt gaat hij de hele dag af'. Ethisch hacker Rik van Duijn vertelt.
Rik van Duijn, ethisch hacker en medeoprichter van cybersecurity-bedrijf Zolder BV, vertelde op radio tijdens de Cyber Security Week over zijn ervaringen over onder meer het bedrijfsleven en phishing mails.
De meeste van die phishing mails komen door allerlei checks en algoritmes van mailproviders nooit aan. Maar er komen nog steeds mails met nep betaalverzoeken en fake facturen wél doorheen. Want waar het nog niet zo heel lang geleden vaak door taalgebruik en (spel)fouten meteen opviel dat het een nepmail was, lijken ze tegenwoordig echt.
Phishers kopen informatie
Rik vertelde onder meer: ,,Phishers kopen informatie. Bijvoorbeeld via medewerkers van callcenters, die bijverdienen door het exporteren van adressenbestanden. Daar filteren hackers een doelgroep uit, bijvoorbeeld 65-plussers of zzp' ers, die ze gericht kunnen benaderen." Daardoor zijn phishing mails soms heel persoonlijk en geloofwaardig. ,,De aanhef is juist en het rekeningnummer is juist. Soms bellen ze de mail zelfs nog even na. Ze creëren een situatie die heel geloofwaardig is voor het slachtoffer. Iedereen gaat uiteindelijk een keer in een phishing mail trappen. Niet omdat je dom bent. Het is ook niet iets om je voor te schamen. Het is heel normaal, want bent de hele dag online. Als zo'n mail dan op het juiste moment binnenkomt met de juiste gegevens, dan ga je voor gaas."
Phishers creëren een situatie die heel geloofwaardig is voor het slachtoffer
Rik van Duijn
Volgens Rik is het nog steeds zo dat de meeste mensen last hebben van generieke aanvallen die worden gestuurd namens bijvoorbeeld de Belastingdienst of de bank. ,,Als we een alarm zouden laten afgaan zodra iemand een phishing mailtje ontvangt gaat hij de hele dag af. Dan krijg je een 'alert attack'. Sommige phishers zijn de hele dag bezig om op zo'n grote mogelijke schaal aanvallen uit te voeren in de hoop dat het er ergens doorheen komt."
Lees ook: Herken jij de hack? Doe deze gratis game!
'Hoe kun je daar nou intrappen?'
Onlangs deed Rick een awareness sessie bij een bedrijf. Daar had een medewerker via mail van de directeur opdracht gekregen om voor 1.000 euro aan Google playcards te kopen. ,,Die medewerker ging vervolgens met die stapel kaarten naar de directeur en die dacht: wat moet ik daarmee? Hij wist nergens van." Het bleek een phishing-actie te zijn geweest. Alleen was de halve phish gelukt, want de phisher had blijkbaar niet gevraag om een foto van de cadeaukaarten en de codes. ,,De andere medewerkers hadden zoiets van: wat dom, hoe kun je daar nou intrappen? Maar het komt soms heel echt over. En misschien deed die directeur wel vaker bijzondere verzoeken."
Het meeste geld wordt heel simpel afhandig gemaakt, gewoon door nota bene er gewoon om te vragen, blijkt. Weet: bel voordat je iets betaalt altijd even na of degene dat echt heeft gestuurd en of het rekeningnummer echt is veranderd. Via het telefoonnummer dat je zelf hebt en niet het telefoonnummer in de mail.
Meer over cybersecurity lees onder meer via deze link. Durf jij er op te klikken...?
