:format(webp)/s3/static.nrc.nl/advertenties/files/2015/05/shutterstock_245047450.jpg)
“Beste [jouw naam], gefeliciteerd met je verjaardag! Klik hier voor een kadobon van [naam van je favoriete webshop].” Blij met dit gulle gebaar en hongerig naar een nieuwe aankoop open je de link. De link blijkt een valstrik, de kadobon bestaat niet. Je bent slachtoffer geworden van spear phishing, een gepersonaliseerde en doelgerichte cyberaanval. De fraudeurs hebben je naam, je geboortedatum en je favoriete winkel makkelijk gevonden: je hebt ze zelf via sociale media met de wereld gedeeld.
Wat is phishing ook alweer? Phishing is internetfraude, waarbij je een e-mail krijgt toegestuurd waarmee je naar een vals webadres wordt gelokt. De phishers hopen zo je persoonlijke gegevens te ontfutselen of malware op je computer te installeren. Een spear phising-mail is aan jou persoonlijk gericht en afkomstig van een bekende. Bijvoorbeeld van een vriend of van een bedrijf waar je weleens iets hebt gekocht. De fraudeurs hopen zo dat je de e-mail als betrouwbaar bestempelt.
Alles staat online
De phishers vinden die persoonlijke informatie op sociale media en internetfora. Voor internetcriminelen is die, vaak openbare informatie, een goudmijn. “De informatie die je op sociale media zet, wordt tegen je gebruikt”, zegt Hugo van den Toorn, Security Consultant bij Deloitte Cyber Risk Services. “Je naam, het bedrijf waar je werkt, je vrienden. Het staat allemaal online. En mensen delen steeds meer via sociale media, dus er komt steeds meer informatie beschikbaar voor fraudeurs.”
“De informatie die je op sociale media zet, wordt tegen je gebruikt.”
Leuk filmpje blijkt malware
Wie denkt dat zijn profiel goed is afgeschermd, komt bedrogen uit. Je likes op Facebook zijn openbaar. Ook je lijst met Facebook-vrienden is vaak openbaar. “Die informatie is heel interessant voor fraudeurs”, vertelt Katrien Meijdam, stagiair bij Deloitte Cyber Risk Services. “Ze sturen je bijvoorbeeld een leuk filmpje toe, zogenaamd namens een vriend. Zodra je het filmpje opent, wordt er malware op je computer geïnstalleerd. Die malware kan bijvoorbeeld je toetsaanslagen registeren en zien welke wachtwoorden je intypt. Zo kunnen de internetcriminelen toegang krijgen tot bijvoorbeeld jouw bankaccount.”
Aanvallen steeds succesvoller
Spear phishing is niet nieuw, maar wordt wel steeds vaker gedaan. Ook hebben de gerichte aanvallen een hogere slagingskans dan niet-gerichte phishing-e-mails, legt Van den Toorn uit. “De aanvallen zijn steeds succesvoller, doordat er steeds vaker waarheidsgetrouwe info wordt gebruikt in de e-mails. De criminelen proberen een geloofwaardig scenario te creëren. Hoe meer persoonlijke info, hoe geloofwaardiger de e-mail. Mensen zijn dan eerder geneigd te klikken.” De cijfers liegen er niet om. Gerichte phishing-mails hebben een kans van zo’n 70 % dat ze worden geopend. Bij niet-gerichte mails is dat slechts 3%.
Ben jij vatbaar voor phishing? Doe hier de test!
/s3/static.nrc.nl/advertenties/files/2015/05/Phishing.jpg)
Google jezelf
Hoe kun je voorkomen dat je slachtoffer wordt van een spear phishing-aanval? Volgens Van den Toorn moeten mensen zich bewuster zijn van hun online gedrag. “Google jezelf eens om te kijken hoeveel informatie er over jou te vinden is. Wees voorzichtig met de informatie die je via sociale media deelt en scherm je profielen op sociale media beter af.” Toch slachtoffer geworden van phishing? Meld het bij de fraudehelpdesk of bij de politie.