De belangrijkste soorten phishingaanvallen waar u op moet letten

Phishingaanvallen zijn gevaarlijker dan ooit en kosten particulieren en bedrijven gemiddeld $ 4,88 miljoen per inbreuk, aldus IBM. Naast financieel verlies vormen phishingaanvallen een zeer reële bedreiging voor de reputatie, het vertrouwen, de emotionele stabiliteit en de privacy van de getroffenen.

Door inzicht te krijgen in de verschillende soorten phishingaanvallen en hoe ze werken, kunnen individuen en organisaties zich beter wapenen met de tools en informatie die ze nodig hebben om zich te beschermen. Volg deze bron voor een overzicht van alle phishingaanvallen waarmee u in uw privéleven en op het werk te maken kunt krijgen, met praktische tips voor het identificeren en blokkeren van de aanvallen.

Voor meer informatie over de ontwikkeling van phishingaanvallen kunt u deze bronnen over AI-verbeterde phishing raadplegen en lezen hoe u AI-aanvallen kunt detecteren en uzelf ertegen kunt beschermen.

Phishing is een type cyberaanval waarbij kwaadwillenden proberen toegang te krijgen tot gevoelige informatie, zoals creditcardnummers, identiteitsgegevens en inloggegevens, of slachtoffers ertoe proberen te verleiden malware te downloaden. Volgens het Phishing Trends Report van Hoxhunt is 80% van de phishingcampagnes gericht op het stelen van gevoelige inloggegevens.

Aanvallers maken gebruik van diverse kanalen om hun doelgroep te bereiken. Hoewel e-mail het populairst is, vindt ongeveer 40% van de phishingcampagnes tegenwoordig buiten dit kanaal plaats (Phishing Trends Report). De meest geavanceerde aanvallen maken gebruik van meerdere kanalen en technieken om gevoelige informatie te verkrijgen.

Deze relatief nieuwe phishingaanvalmethode laat de enorme kracht van AI zien bij het genereren van overtuigende content waarmee u ontvangers effectief kunt misleiden. Deepfake-video's zijn een type phishingaanval waarbij aanvallers gebruikmaken van door AI gegenereerde audio- of videoclips van vertrouwde personen. Hiermee proberen ze de ontvanger te misleiden, zodat deze gevoelige informatie prijsgeeft of geld overmaakt.

Echte impact: Volgens Forbes is het aantal gevallen van deepfake-phishing en -fraude met maar liefst 3.000% toegenomen. Deze toename in deepfake-phishingaanvallen heeft gevolgen voor echte mensen en bedrijven.

Een waarschuwend verhaal: in Hongkong werd een financiële medewerker misleid om 25 miljoen dollar te betalen aan aanvallers die zich voordeden als de financieel directeur van zijn bedrijf. De aanvaller nam deel aan een door AI gegenereerde videogesprek (CNN). De aanvaller maakte gebruik van deepfake-videotechnologie om zich voor te doen als meerdere andere vertrouwde medewerkers. Zo liet hij de betreffende medewerker geloven dat het om een legitiem gesprek ging. Dit is ook geen uniek geval waarbij financiële medewerkers het doelwit waren. Uit een recent rapport van Medus blijkt dat financiële teams onevenredig vaak het doelwit zijn van deepfake-phishingaanvallen: 53% van de financiële professionals is het doelwit geweest van deepfake-phishingaanvallen en 43% geeft toe slachtoffer te zijn geworden van de aanval.

Bescherm uzelf met deze tip: wees op uw hoede voor onnatuurlijke of ‘perfecte’ videocontent die u bekijkt. Een extra gladde huid, gebrek aan textuur, reflecties die misplaatst lijken en audio die te scherp klinkt, zijn allemaal indicatoren dat u mogelijk te maken hebt met een door AI gegenereerde deepfake-video.

Phishingpogingen via e-mail worden verzonden en sporen slachtoffers vaak aan om een bijlage te openen of op een schadelijke link te klikken.

Phishing via e-mail komt vaak voor, maar kan ontzettend gevaarlijk zijn. Het aantal phishingmails waarin de identiteit van overheidsinstanties en -vertegenwoordigers wordt nagebootst, is sinds 2024 met 35% toegenomen (Phishing Trends Report). De e-mails maken misbruik van het vertrouwen en de autoriteit die deze instanties hebben ten opzichte van het grote publiek, waardoor ze worden verleid tot onveilige acties.

Bescherm uzelf met deze tip: als u een e-mail ontvangt die er verdacht uitziet, controleer dan eerst het e-mailadres van de afzender. Als het e-mailadres een verkeerd gespelde domeinnaam heeft of duidelijk niet geassocieerd is met de persoon of instantie waarvan het beweert dat het het is, negeer het dan. Typfouten of grammaticale fouten in de inhoud van een e-mailbericht kunnen ook wijzen op een phishingaanval. Beweeg ten slotte uw muis over de links voordat u erop klikt om de bestemming te bevestigen.

Tijdens smishing- of sms-phishingaanvallen richten kwaadwillende actoren zich op personen via sms- of andere berichten-apps zoals Whatsapp of Slack. Dit soort phishingaanvallen komen ook heel vaak voor. Meestal wordt de ontvanger ertoe aangezet een bepaalde actie te ondernemen, zoals op een link klikken of geld overmaken.

Bescherm uzelf met deze tip: als een bericht urgentie uitstraalt, probeer dan eerst contact op te nemen met de afzender via geverifieerde kanalen voordat u de instructies opvolgt.

Quishing, of QR-code phishing, is een aanval waarbij kwaadwillenden schijnbaar legitieme QR-codes gebruiken om personen te misleiden tot het bezoeken van phishingwebsites of het downloaden van malware. Dit type phishingaanval kan zelfs de meest veilige experts voor de gek houden, vanwege de alomtegenwoordigheid van QR-codes in onze moderne wereld. QR-codes vind je op posters, billboards, e-mails en zelfs op restaurantmenu's!

Bescherm uzelf met deze tip: scan nooit een QR-code van een onbetrouwbare bron. Als u een QR-code van een menu of ander fysiek item scant, controleer dan of het de originele code is en of u geen sticker scant die over de QR-code zelf is geplakt.

Bij vishing- of voice phishing-aanvallen worden telefoongesprekken of gesproken memo's gebruikt om toegang te krijgen tot gevoelige informatie, zoals inloggegevens, creditcardnummers en burgerservicenummers. Wanneer deze informatie eenmaal verkregen is, wordt deze vaak gebruikt om zich voor te doen als een individu of om geld van zijn bankrekening te stelen. Deze aanvallen zijn bovendien moeilijk te identificeren als kwaadwillende actoren zich voordoen als overheidsinstanties of financiële instellingen.

Bescherm uzelf met deze tip: let op de emoties die opkomen wanneer u met iemand spreekt aan de telefoon. Heeft deze persoon een beroep gedaan op uw natuurlijke behoefte om te helpen? Hebben ze je iets in ruil aangeboden, bijvoorbeeld een deel van de financiële middelen? Meestal duiden deze social engineering-strategieën op phishing.

Content van sociale media, zoals gerichte advertenties, directe berichten (DM's), accounts en organische berichten, kan ook worden gebruikt voor phishingaanvallen. Aanvallers kunnen nepprofielen op sociale media aanmaken met afbeeldingen van echte personen of producten. Zo proberen ze slachtoffers ertoe te verleiden gevoelige informatie prijs te geven, te betalen voor nepaanbiedingen of malware te downloaden.

Bescherm uzelf met deze tip: controleer de gebruikersnaam van een gebruikersprofiel voordat u op een verstrekte link klikt of informatie verstuurt. Is het account geverifieerd en wordt de juiste spelling gebruikt? Als de gebruikersnaam verdacht is, mag u geen interactie hebben met het account.

Er zijn verschillende browsergebaseerde phishingaanvalstrategieën die door kwaadwillende partijen worden ingezet.

Bij een browser-in-de-browser (BitB)-aanval wordt gebruikgemaakt van een nepbrowservenster om gebruikers ervan te overtuigen dat ze met een legitieme site te maken hebben. Dit gestimuleerde browservenster wordt gehost in de eigenlijke browser en gebruikt HTML en CSS om de site te repliceren. Deze techniek maakt doorgaans gebruik van een enkel aanmeldvenster om gebruikers ertoe te verleiden hun inloggegevens in te voeren.

Bescherm uzelf met deze tip: Als het venster niet van formaat verandert, kan dit duiden op een nepvenster en reden tot bezorgdheid zijn.

Een archive-in-the-browser (AitB) maakt gebruik van een .zip-domein en overtuigt gebruikers ervan dat ze een vertrouwd bestand rechtstreeks in hun browser openen. Zodra gebruikers het neparchief openen, kunnen ze worden aangezet tot interactie met het neparchief, wat kan leiden tot het downloaden van malware of aanvallen op nep-inlogpagina's.

Bescherm uzelf met deze tip: wees op uw hoede voor websitedomeinen met de extensie .zip en klik niet op links van onbekende afzenders.

Bij een phishingaanval van het type ‘spray-and-pray’ worden grote groepen ontvangers aangevallen, in de veronderstelling dat slechts een klein percentage van de slachtoffers erin trapt. Dit soort aanvallen betreft vaak algemene inhoud en zijn niet toegesneden op of gepersonaliseerd voor specifieke groepen mensen. Hoewel 'spray-and-pray'-phishing vanwege het generieke karakter ervan niet zo effectief is als spearfishing-cyberaanvallen, kan het nog steeds een ernstig risico vormen voor de slachtoffers.

Bescherm uzelf met deze tip: vermijd berichten met grammaticafouten, typefouten of verdachte links.

Spear phishing-cyberaanvallen zijn zeer gericht en gepersonaliseerd, gericht op een specifiek individu of een kleine groep mensen. Vaak zijn deze aanvallen via meerdere kanalen op de ontvanger gericht, waarbij gebruik wordt gemaakt van informatie die online over de persoon is verzameld. Deze informatie kan uit verschillende bronnen worden verzameld, waaronder sociale media-accounts, bedrijfswebsites en gegevensmakelaarsites. Aanvallers kunnen zich ook voordoen als betrouwbare bronnen om het bericht geloofwaardiger te maken.

Omdat spearfishing zeer gepersonaliseerd is, is de kans veel groter dat de ontvangers erin trappen en vertrouwelijke informatie, zoals inloggegevens, delen of schadelijke software downloaden.

Bescherm uzelf met deze tip: beperk wat u online over uzelf en uw gezin deelt! Maak uw accounts op sociale media indien mogelijk privé en overweeg om gevoelige informatie en gegevens die u online hebt, te verwijderen.

Phishingaanvallen komen in verschillende vormen voor, zoals via e-mail, sms, telefoongesprekken, sociale media, videogesprekken en meer. Door deze aanvallen te herkennen en voorzorgsmaatregelen te nemen om uzelf te beschermen, kan iedereen veiliger online blijven.

Helaas kunnen zelfs de meest ervaren beveiligingsexperts voor de gek worden gehouden door phishingaanvallen. Met Bitwarden profiteert u van verbeterde phishingbeveiliging met de volgende mogelijkheden:

• Ondersteuning voor wachtwoorden voor phishingbestendige authenticatie

• Vul inloggegevens alleen automatisch in op vertrouwde sites die gekoppeld zijn aan aanmeldingen

• Direct de bijbehorende website starten vanuit opgeslagen inloggegevens

Verbeter daarnaast uw algehele beveiliging door unieke wachtwoorden voor elk account te genereren en deze op te slaan in de end-to-end gecodeerde Bitwarden Password Manager. Maak vandaag nog uw gratis account aan of start met een gratis proefperiode.