Creatief met fraude

Nu willen we het hier niet elke week over phishing hebben, maar toch gaat deze week daar de aandacht wederom naar uit. Dit heeft alles te maken met een bericht dat de NOS vorige week plaatste. De schade bij banken als gevolg van phishing is het afgelopen jaar namelijk verviervoudigd. De branchevereniging voor het betalingsverkeer, Betaalvereniging Nederland, rekende uit dat de schade door fraude bij internetbankieren van een miljoen euro in 2017 naar bijna vier miljoen euro steeg in 2018.

Geavanceerde phishing aan de hand van creativiteit

Waar je bij hacken waarschijnlijk niet meteen aan een hoge mate van creativiteit denkt, is dat wel degelijk nodig. Als je als aanvallende partij een standaard phishing mailtje de door uit stuurt in de hoop dat mensen daar op gaan klikken, ga je weinig bereiken. De eerder benoemde stijging heeft dan ook alles te maken met de creativiteit van de hackers. Zo zijn phishing mailtjes ook steeds vaker gepersonaliseerd. Deze data is verkregen bij voorgaande datalekken en wekt natuurlijk het nodig vertrouwen bij de ontvangende partij. Het moment dat er “Beste Henk” staat in plaats van “Beste ontvanger” zijn de Henks van deze wereld toch sneller geneigd om de e-mail te openen. Vervolgens worden, door gebruik van een malafide link, de inloggegevens voor internetbankieren afhandig gemaakt en heeft Henk vervolgens een lege rekening.

Het probleem voor, in dit geval Henk, maar voor iedereen is het feit dat fraudeurs tegenwoordig weinig kennis meer nodig hebben om een grootschalige phishing aanval uit te voeren. Hier hebben we in een eerdere blog ook al bij stilgestaan. Tegenwoordig koop je op de digitale zwarkte markt een kant-en-klaar softwarepakket en kun je meteen aan de slag. Deze handel begint overigens ook steeds levendiger te worden, slecht teken.

Laten we het crosschannel frauderen noemen

Omdat phishing per e-mail veel aandacht krijgt in de media, deze blog als bewijs, gaan veel hackers een stapje verder. Zo gebruiken ze steeds vaker WhatsApp, sms of sociale media als Facebook en Instagram om hun doelwitten te benaderen. Op het moment dat Henk zowel een e-mail als een sms krijgt dan komt dat toch wel erg vertrouwd over. Wij benadrukken bij Rootsec derhalve altijd dat phishing zich niet limiteert tot enkel e-mail, maar tegenwoordig op elke vorm van media voorkomt. Daarnaast worden ook de valse inlogsites van banken steeds beter nagemaakt waardoor het verschil nog maar nauwelijks zichtbaar is.

Ondanks dat we hopen dat de volgende tips inmiddels standaard kennis zijn, toch nog even een korte cursus:

1.  Let goed op het adres van de afzender, dit verschilt altijd van het echte adres van de bank.
2.  Henk hoeft NOOIT zijn pincode in te voeren (online)
3.  Banken vragen Henk nooit om op een link te klikken in een e-mail of sms.

Heb je nog vragen na aanleiding van deze blog? Of zou je het leuk vinden als een security expert van Rootsec langskomt om het hele bedrijf weer op scherp te zetten middels een awareness training? Neem dan vrijblijvend contact met ons op.