Wat is spear phishing en hoe voorkom je het?

Herken rode vlaggen en werk aan je cybersecurity

man kijkt vragend naar laptop
V-hub advies mobile

Nieuw! Gratis Ondernemersadvies

Ontvang je weleens e-mails van bekende afzenders die specifiek aan jou zijn gericht, maar waar een vreemd luchtje aan zit? Dan ben je waarschijnlijk het doelwit van spear phishing. Dit is een gerichte, gepersonaliseerde variant van het ‘gewone’ phishing. Hier lees je wat spear phishing precies is, hoe je rode vlaggen herkent en welke voorzorgsmaatregelen je treft om die gevaarlijke speren af te weren.

Spear phishing betekenis  

Spear phishing is een gerichte cyberaanval van internetcriminelen op specifieke personen, bedrijven of instellingen. Het doel is om gevoelige informatie, zoals accountgegevens of financiële toegangscodes te stelen. 

Voor een goede uitleg kunnen we het beste kijken naar het verschil tussen phishing en spear phishing.  

Phishing versus spear phishing 

Het klassieke phishing is een vorm van cybercrime waarbij met hagel wordt geschoten. Een cybercrimineel verstuurt massaal generieke berichten naar willekeurige mensen. Het is een veelgebruikte techniek van hackers om bepaalde persoonsgegevens van je te ontfutselen. Om daarmee bijvoorbeeld je bankrekening leeg te trekken of waardevolle gegevens te stelen.  

Het gaat bij phishing niet zozeer om de kwaliteit, maar meer om de kwantiteit van de e-mails. In de hoop dat een enkeling erin trapt natuurlijk. Dat maakt het vaak al de moeite waard.

Spamfilter houdt meeste phishing-pogingen tegen 

De lage succesrate van phishing valt eenvoudig te verklaren. De frauduleuze e-mails zijn meestal vrij makkelijk te herkennen als foute boel. In de digitale prullenbak ermee en weer door. Bovendien worden de meeste phishing e-mails al opgevangen door je spamfilter.

Hoge succesrate spear phishing  

Wat dat betreft is spear phishing een stuk listiger. Spear phishing-aanvallen zijn namelijk zeer doelgericht en gepersonaliseerd. Een hacker selecteert specifieke doelwitten en doet vervolgens uitgebreid onderzoek om aangepaste, gepersonaliseerde e-mailberichten op te maken en te versturen. Daarbij gebruiken cybercriminelen steeds vaker ChatGPT om de mails op te stellen. ChatGPT ontwikkelt zich snel en kan steeds betere en menselijker ogende mails opstellen. Spear phishing is daarmee een stuk geraffineerder en professioneler.  

Dit soort frauduleuze e-mails zijn erg lastig te onderscheiden van veilige berichten. En daarmee is de kans dat je erin trapt, op een foute link klikt en persoonlijke gegevens achterlaat extra groot. Ellende dus. Het moge geen verrassing zijn dat de succesrate van spear phishing veel hoger ligt dan bij traditionele phishing.

Vals gevoel van vertrouwen 

Spear phishing e-mails bevatten persoonlijke informatie, zoals je naam, functietitel en zelfs je recente activiteiten voor extra geloofwaardigheid. En daar gaat het vaak mis. Het leidt onbewust tot een vals gevoel van vertrouwen. En dat vergroot de kans dat je bepaalde acties onderneemt waar je later zeker spijt van krijgt. 

Een bijkomend probleem is dat spear phishing vanwege het gepersonaliseerde karakter makkelijker langs je spam filter komt. Dit soort frauduleuze mails zijn simpelweg moeilijker te detecteren.  

CEO-fraude  

CEO-fraude is ook een vorm van spear phishing: een oplichter doet zich voor als CEO of ander hooggeplaatst individu en stuurt een frauduleuze mail naar een medewerker met het verzoek dringend geld over te maken.  

Spear phishing voorbeeld 

Stel, een cybercrimineel wil met spear phishing inlogcodes ontfutselen bij een van je werknemers om vervolgens waardevolle bedrijfsinformatie te stelen. Het doelwit van de aanval is een HR-medewerker: Bert (fictief).  

Het professionele profiel van Bert wordt eerst zorgvuldig in kaart gebracht. Al snel weet de hacker dat Bert werkzaam is binnen de afdeling HR. Ook kan de hacker via jullie bedrijfspagina op LinkedIn zien wie de HR-manager is én dat de afdeling HR onlangs met veel tromgeroffel nieuwe HR-software heeft geïmplementeerd. De cybercrimineel gaat aan de slag en schrijft een gepersonaliseerde spear phishing e-mail namens de HR-manager.  

De spear phishing mail ziet er als volgt uit:  

Onderwerp: Dringende update vereist HR-systeem 

Ik hoop dat deze e-mail je goed bereikt. Zoals je weet, hebben we onlangs enkele belangrijke wijzigingen doorgevoerd in het nieuwe HR-beheersysteem van [jouw bedrijf]. Als HR-medewerker heb je toegang tot kritieke informatie en bevoegdheden binnen het systeem. 

We hebben een dringende beveiligingsupdate uitgevoerd en hebben je hulp nodig om ervoor te zorgen dat je toegang tot het systeem behouden blijft. Klik op de onderstaande link om je inloggegevens te verifiëren en je account bij te werken:  

[Malafide link hier] 

We verontschuldigen ons voor het eventuele ongemak, maar de beveiliging van onze systemen staat voorop. Snelle actie wordt op prijs gesteld. 

Met vriendelijke groet,  

[Naam van de vermeende HR-manager]   [Jouw bedrijfsnaam + logo + contactgegevens] 

In werkelijkheid is de link in de mail geen legitieme link naar het HR-systeem dat je onderneming gebruikt. Als Bert de link volgt, belandt hij op een vals inlogscherm dat identiek is aan het echte werk. Bert twijfelt eigenlijk geen moment en volgt de instructies in de e-mail op. Vooral het stukje urgentie zorgt ervoor dat hij meteen in actie komt; hij wil zijn manager natuurlijk niet teleurstellen.  

Nietsvermoedend voert Bert zijn inloggegevens in en het kwaad is geschied. De cybercrimineel heeft nu de inloggegevens gestolen en kan inloggen in jullie HR-systeem om daar waardevolle informatie te stelen. Of om ransomware te installeren, zodat niemand meer toegang heeft. Totdat je met losgeld over de brug komt.   

Gratis Ondernemersadvies - Security
Gratis Ondernemersadvies - Security

Wat kun je doen tegen spear phishing? 

Een spear phishing e-mail valt soms nauwelijks te onderscheiden van een belangrijke e-mail die wél je aandacht vereist. Dat, en het feit dat spamfilters de malafide e-mails niet altijd herkennen, maakt het zo’n verraderlijke vorm van cybercrime.  

Toch zijn er zeker acties die je kunt ondernemen om het risico te verkleinen dat iemand binnen je organisatie slachtoffer wordt.  

Maatregelen waarmee je een spear phishing-aanval succesvol afwendt:    

  • Zorg voor bewustzijn en training 

Zorg dat al je medewerkers bewust zijn van spear phishing en de risico’s ervan. Biedt trainingen aan waarmee ze verdachte e-mails beter leren herkennen. Dit kan ook in een bredere context waarbij medewerkers leren hoe ze cyberweerbaar worden

Implementeer daarnaast ook duidelijke richtlijnen en procedures voor het omgaan met gevoelige informatie en het identificeren van verdachte e-mails.  

  • Werk met verificatie 

Verifieer altijd de identiteit van een afzender voordat je reageert op een e-mail of een link volgt. Controleer of e-mailadressen overeenkomen met de officiële contactinformatie van de betreffende organisatie (intern en extern).  

Voeg daarnaast extra beveiligingslagen toe aan belangrijke accounts. Zorg dat je medewerkers multi-factor authenticatie (MFA) toepassen. Met alleen gestolen inloggegevens kan een cybercrimineel in dat geval nog steeds niet inloggen op belangrijke systemen. 

  • Wees terughoudend met delen van persoonlijke informatie 

Legitieme organisaties, zoals banken, vragen nooit om wachtwoorden of persoonlijke gegevens via e-mail. Dergelijke verzoeken zijn donkerrode vlaggen. Als je twijfelt kun je altijd contact opnemen met de betreffende instantie voor een check. Gebruik hiervoor alleen niet de contactgegevens die in de frauduleuze mail staan! 

  • Gebruik beveiligingssoftware en e-mailfilters  

Gebruik altijd up-to-date antivirus en anti-mailsoftware om schadelijke e-mailbijlagen en links op te sporen. Je medewerkers ontvangen dan direct een waarschuwing als iets niet in de haak is. Implementeer daarnaast e-mailfilters en beveiligingsoplossingen die bekendstaan om het blokkeren van phishing e-mails. Neem je diensten af bij een systeembeheerder? Dan kunnen die daarin adviseren en het een en ander instellen.  

Zorg er ook voor dat je besturingssysteem, software en apps up-to-date zijn met de nieuwste beveiligingspatches om bekende kwetsbaarheden te dichten. 

  • Laat je niet onder druk zetten: geen haast 

Een e-mail waarin je wordt gesommeerd urgente actie te ondernemen is per definitie een rode vlag. Laat je nooit onder druk zetten. Aanvallers gebruiken tijdsdruk om slachtoffers uit een gevoel van urgentie te laten handelen. Dus, even rustig ademhalen en de e-mail goed checken, voordat je tot actie overgaat. 

  • Meld verdachte e-mails 

Ontvang je een verdachte e-mail? Meld dit dan onmiddellijk aan je IT-afdeling. Zij kunnen de dreiging beoordelen en eventueel verdere stappen ondernemen.  

Tip: Lees dit artikel op de V-Hub van Vodafone en ontdek hoe AI (Artificial Intelligence) cybercriminaliteit nog listiger maakt.  

Toch slachtoffer van een spear phishing attack? 

Oeps! Jij, of een van je medewerkers, is er toch ingetrapt. Vervelend, maar geen tijd om er lang bij stil te staan. Er is waarschijnlijk sprake van een datalek en in dat geval heb je een meldplicht. Hoe dat precies zit lees je in het artikel: “Alles over het datalek: voorkomen én genezen” 

Krijg persoonlijk advies van een onafhankelijke adviseur bij Vodafone Business 

Wil je meer weten over spear phishing of andere vormen van cybercrime en hoe je jouw organsatie ertegen wapent? Maak dan gebruik van ‘Gratis Ondernemers Advies’. Neem contact op met een onafhankelijke adviseur op het gebied online beveiliging en plan een video- of telefoongesprek. Zo weet je zeker dat je op de juiste weg zit. 

Wat vind je van dit artikel?

Martin de Coninck

Auteur

Martin de Coninck

Vanuit mijn werk als freelance copywriter ervaar ik hoeveel er komt kijken bij ondernemen. Tijd is schaars en kennis bijspijkeren op het gebied van ondernemen schiet er al snel bij in. Juist als copywriter vind ik het belangrijk om de tijd te nemen onderwerpen goed te begrijpen en te onderzoeken. Door het vervolgens begrijpelijk op te schrijven wil ik ondernemers kennis bieden en tijd besparen, zodat zij het beste uit hun bedrijf kunnen halen.