JavaScript is not enabled in your browser.

Wat is spearphising?

Spearphishing is een vorm van social engineering, waarbij cybercriminelen gerichte aanvallen op personen binnen een kantoor uitvoeren. Slachtoffers van een dergelijke aanval ontvangen een onschuldig lijkende boodschap via SMS, Whatsapp, of per e-mail met een malafide link. Hierna worden doorgaans inlog- of financiële gegevens gevraagd, of wordt malware geïnstalleerd. 

Het verschil tussen spearphishing en phishing

Phishing is een begrip dat al langer in omloop is. Het is een term die sinds begin deze eeuw gebruikt wordt voor het misdrijf waarbij cybercriminelen slachtoffers verleiden tot het delen van gevoelige informatie. Hierbij kun je denken aan wachtwoorden en creditcardgegevens. Bij phishing wordt niet een individueel persoon getarget om op te 'jagen'. Dit in tegenstelling tot spearphishing waarbij de cybercrimineel vaak veel informatie verzamelt over zijn slachtoffer. Vaak gaat vooraf een uitgebreid onderzoek over de werkwijze en de omgeving van de target. Phishing is als vissen met dynamiet. Iedere willekeurige persoon kan getroffen worden. Bij spearphishing is het slachtoffer een zorgvuldig uitgekozen prooi.

De gelijkenis en het verschil tussen spearphishing en social engineering 

Spearphishing en social engineering worden nog weleens verward. Dit is ook niet vreemd, want de gelijkenissen zijn treffend. Cybercriminelen gebruiken bij zowel spear phishing als social engineering persoonlijke informatie van hun slachtoffers om tot hun doel te komen. Het grote verschil is dat spearphishing uitsluitend via e-mail plaatsvindt, terwijl social engineering ook gebruik kan maken van bijvoorbeeld social media of SMS. Sommigen zeggen dan ook dat spearphishing een afgeleide is van social engineering.  
 

"95% van de frauduleuze pogingen met als doel het verkrijgen van gevoelige en geheime informatie, komt van spearphishing"

 

Spearphishing is moeilijk te voorkomen

In tegenstelling tot reguliere phishing is spearphishing moeilijk te voorkomen. Dit komt doordat geautomatiseerde beveiligingssystemen makkelijk te omzeilen zijn. Phishingmails komen bijvoorbeeld vaak niet langs een spamfilter. Het spamfilter kent bepaalde criteria aan afzender-mailadressen toe, die er voor zorgen dat een verdacht mailtje een goede kans maakt om in je spam terecht te komen. Verder maakt het lastig dat spear phishing mails vaak geen malware bevatten, iets waar spamfilters ook direct op afgaan. 

Voorbeeld spearphishing mail

Voorbeelden van slachtoffers van spearphishing

Voetbalclubs Lazio Roma uit Italië en Feyenoord gaan beiden voor een miljoenenbedrag de boot in. Bij de transfer van voetballer Stefan de Vrij in 2014, komen de clubs betaling in termijnen overeen. Bij de laatste termijn gaat het mis. Lazio Roma trapt in een spearphishing mail en maakt een bedrag van 2 miljoen euro over naar cybercriminelen. Het internationale sporttribunaal CAS oordeelt dat Lazio Roma nog eens een miljoen overmaakt naar Feyenoord. 

Pathé Nederland ging voor 19 miljoen euro nat. Cybercriminelen deden zich voor als de directie van het Franse hoofdkantoor van de bioscoopketen. Ondanks het feit dat de Nederlandse top argwaan had, maakte het wel steeds braaf geld over. Deze vergissing kwam hen duur te staan. Niet alleen werd er dus 19 miljoen euro afhandig gemaakt, het kostte de directie van Pathé Nederland wel de kop.

Spearphishing aanval voorkomen

Hoewel spearphishing vaak lastig te voorkomen is, zijn er toch enkele basismaatregelen die je kunt treffen. 

  • Installeer de beste spamfilter en anti-phishing-filter: deze helpen in ieder geval een groot gedeelte van de mogelijk frauduleuze mails te onderscheppen. 
  • Houd je systemen up-to-date: met de meest actuele beveiligingspatches houd je sowieso een hoop ellende buiten de deur.
  • Versleutel al je bestanden met gevoelige informatie: mocht iemand onverhoed toch binnenkomen, dan kan deze nog niet zomaar bij de gevoelige informatie
  • Organiseer trainingen voor medewerkers: op deze manier wordt de kans dat een medewerker een verdachte mail opvolgt kleiner
  • Maak duidelijke interne regels over betalingen: Stel in voldoende controles bij betalingen; pas het motto toe: "Check, check, check" vooral bij grote betalingen. Twijfel nooit om extra informatie aan de verzender van een bericht te vragen als het om gevoelige informatie gaat; ook als dat extra tijd gaat kosten (trap niet in de urgentie-effect).

 

 




 

Copyright © Perfect Day | Privacyverklaring | Voorwaarden voor dienstverlening | Cookiebeleid

Perfect Day is een initiatief van

Onze website gebruikt cookies om de gebruikerservaring te verbeteren. Meer informatie