Phishing is een vorm van online fraude waarin de oplichter een slachtoffer misleidt door middel van officieel uitziende e-mails en/of websites, die meestal “hengelen” naar logingegevens of betaalkaartgegevens. Interessant weetje is dat de term phishing een samenstelling is van fishing (hengelen) en phreak (phone+freak: hacker van telefooncentrales).

Figuur 1 - Vermelde cyberincidenten (Europol EC3)

De volgende soorten phishing treffen ook de KMO’s

Bij bank-phishing probeert een frauduleuze afzender u te misleiden om uw persoonlijke, financiële of beveiligingsinformatie te delen. Denk hierbij aan bankrekeningen, kaartnummers en pincodes. Door de logo's en lay-out van echte mails te kopiëren en het gebruik van dwingende taal en/of deadlines, trachten fraudeurs u te overtuigen een bijlage te downloaden of op een link te klikken. De bijlagen bevatten vaak malware terwijl de links vaak verwijzen naar een frauduleuze kopie van een officiële website (bv. e‑banking). Op beide manieren probeert de fraudeur uw logingegevens te stelen. Een voorbeeld vindt u hier

Bij Business Email Compromise (BEC), ook gekend als CEO-fraude wordt een medewerker die betalingen mag verrichten, misleid om een valse factuur te betalen. Of een valse mail van de CEO vraagt u van uw bedrijfsrekening over te schrijven naar de rekening van een fraudeur. Een voorbeeld vindt u hier.

Bij factuurfraude doet iemand zich voor als uw leverancier, dienstverlener of schuldeiser en stuurt ofwel een valse factuur op, of vraagt om de bankgegevens van een gekende begunstigde aan te passen waardoor betalingen voor toekomstige facturen arriveren op de rekening van de fraudeur. Een voorbeeld vindt u hier.

Bij smishing (SMS+phishing) sturen fraudeurs u een SMS met een link naar een valse website. Bij vishing (voice+phishing) bellen ze u zelfs op in een poging tot het achterhalen van persoonlijke, financiële of beveiligingsgegevens, of om hen geld over te schrijven. Een voorbeeld vindt u hier

Samenvatting

Het bovenstaande bewijst nog maar eens dat de menselijke schakel een interessant doelwit blijft voor cybercriminelen. Security awareness training (weerbaarheidstraining) voor alle personeelsleden (inclusief management) blijft belangrijk, maar heeft een remake nodig die het geheel aantrekkelijker en duidelijker maakt dan de grijsgedraaide PowerPointpresentaties.

Voor weerbaarheidstrainingen inclusief testen rond phishing, meer info en verdere vragen rond phishing of cybersecurity in het algemeen, kan u altijd contact opnemen met Vandelanotte Security & Privacy via cyber@vdl.be. Samen met u bespreken we uw vragen of zorgen en stellen we een gepersonaliseerd dienstenaanbod voor.