Spearphishing is een vorm van social engineering, waarbij cybercriminelen gerichte aanvallen op personen binnen een kantoor uitvoeren. Slachtoffers van een dergelijke aanval ontvangen een onschuldig lijkende boodschap via SMS, Whatsapp, of per e-mail met een malafide link. Hierna worden doorgaans inlog- of financiële gegevens gevraagd, of wordt malware geïnstalleerd.
Phishing is een begrip dat al langer in omloop is. Het is een term die sinds begin deze eeuw gebruikt wordt voor het misdrijf waarbij cybercriminelen slachtoffers verleiden tot het delen van gevoelige informatie. Hierbij kun je denken aan wachtwoorden en creditcardgegevens. Bij phishing wordt niet een individueel persoon getarget om op te 'jagen'. Dit in tegenstelling tot spearphishing waarbij de cybercrimineel vaak veel informatie verzamelt over zijn slachtoffer. Vaak gaat vooraf een uitgebreid onderzoek over de werkwijze en de omgeving van de target. Phishing is als vissen met dynamiet. Iedere willekeurige persoon kan getroffen worden. Bij spearphishing is het slachtoffer een zorgvuldig uitgekozen prooi.
Spearphishing en social engineering worden nog weleens verward. Dit is ook niet vreemd, want de gelijkenissen zijn treffend. Cybercriminelen gebruiken bij zowel spear phishing als social engineering persoonlijke informatie van hun slachtoffers om tot hun doel te komen. Het grote verschil is dat spearphishing uitsluitend via e-mail plaatsvindt, terwijl social engineering ook gebruik kan maken van bijvoorbeeld social media of SMS. Sommigen zeggen dan ook dat spearphishing een afgeleide is van social engineering.
In tegenstelling tot reguliere phishing is spearphishing moeilijk te voorkomen. Dit komt doordat geautomatiseerde beveiligingssystemen makkelijk te omzeilen zijn. Phishingmails komen bijvoorbeeld vaak niet langs een spamfilter. Het spamfilter kent bepaalde criteria aan afzender-mailadressen toe, die er voor zorgen dat een verdacht mailtje een goede kans maakt om in je spam terecht te komen. Verder maakt het lastig dat spear phishing mails vaak geen malware bevatten, iets waar spamfilters ook direct op afgaan.
Voetbalclubs Lazio Roma uit Italië en Feyenoord gaan beiden voor een miljoenenbedrag de boot in. Bij de transfer van voetballer Stefan de Vrij in 2014, komen de clubs betaling in termijnen overeen. Bij de laatste termijn gaat het mis. Lazio Roma trapt in een spearphishing mail en maakt een bedrag van 2 miljoen euro over naar cybercriminelen. Het internationale sporttribunaal CAS oordeelt dat Lazio Roma nog eens een miljoen overmaakt naar Feyenoord.
Pathé Nederland ging voor 19 miljoen euro nat. Cybercriminelen deden zich voor als de directie van het Franse hoofdkantoor van de bioscoopketen. Ondanks het feit dat de Nederlandse top argwaan had, maakte het wel steeds braaf geld over. Deze vergissing kwam hen duur te staan. Niet alleen werd er dus 19 miljoen euro afhandig gemaakt, het kostte de directie van Pathé Nederland wel de kop.
Hoewel spearphishing vaak lastig te voorkomen is, zijn er toch enkele basismaatregelen die je kunt treffen.
Copyright © Perfect Day | Privacyverklaring | Voorwaarden voor dienstverlening | Cookiebeleid