Cyberaanvallen

Phishing: we ontkomen er niet aan

- 29 November 2018

Het was in de voorbije weken onmogelijk om nieuwsberichten over phishing te vermijden in de media. Vrijwel dagelijks verschenen er items over deze vervelende vorm van cyberfraude en de vaak nare gevolgen. Het meest opvallende bericht was het incident bij Pathé – dat maar liefst 19 miljoen euro kostte –, maar ook consumenten worden voortdurend getroffen.

Phishing blijft daarmee voor organisaties en voor consumenten een risico om rekening mee te houden. Hackers weten dat de beste manier om informatie te verkrijgen is er simpelweg naar te vragen.

CEO-fraude bij Pathé

Phishing is niet hetzelfde als hacking. Het is een vorm van internetfraude waarbij criminelen door middel van trucs en creatieve methodes – zoals telefoontjes, namaak e-mails en andere vormen van social engineering – proberen om je verleiden tot het prijsgeven van informatie of het uitvoeren van financiële transacties.

Dat laatste ondervond bioscoopketen Pathé, toen een serie e-mails met geldverzoeken het bedrijf ruim 19 miljoen euro kostte. Gedurende meerdere weken werden de algemeen directeur en de financieel directeur bestookt met verzoeken van een fraudeursbende die zich voordeed als de bestuurder van het Franse hoofdkantoor. Er moest steeds met de nodige urgentie geld overgeboekt worden voor ‘een geheime overname van een bedrijf in Dubai’. Eerst zo’n 8 ton om de onderhandelingen te bespoedigen, later grotere bedragen voor onder meer ‘Communication and development’. Uiteindelijk is er 19.244.304 euro overgeboekt voordat de directie in Frankrijk aan de bel trekt, maar dan is het geld al spoorloos.

Het is van groot belang dat iedere organisatie voldoende maatregelen neemt om zich tegen deze vorm van fraude te wapenen, want er zijn bedrijven die wekelijks benaderd worden met dergelijke pogingen. Een onmisbare fail-safe is het invoeren van vaste procedures en richtlijnen, waarbij er geen enkele betaling aan een nieuw rekeningnummer uitgevoerd wordt zonder dat er uitgebreide controles aan vooraf gaan. Zo zijn ook fraudes met zogenaamd gewijzigde facturen van leveranciers of veranderde rekeningnummers van medewerkers te ondervangen.

Financiële fraude bij consumenten

CEO-fraude zoals bij Pathé is slechts één variant, maar zo’n 80 tot 90 procent van alle cyberaanvallen op bedrijven begint nog altijd met phishing. Het aantal gevallen waarbij individuele consumenten worden benaderd, is na een aantal jaren van daling bovendien weer toegenomen, zo hebben de politie en de vier grote banken ING, ABN Amro, Rabobank en SNS, laten weten.

In de voorbije weken maakte de Fraudehelpdesk melding van phishing e-mails vanuit de Rabobank (‘klik hier om een nieuwe betaalpas aan te vragen’) en de ING (‘de versleuteling van uw ING Mobiel zal komen te vervallen’), maar ook van bedrijven als Bol.com, KPN en Videoland.

Dat niemand veilig is voor deze vorm van misbruik van namen van bedrijven en organisaties, bewees de Autoriteit Persoonsgegevens door op de eigen website een waarschuwing te publiceren omdat oplichters uit naam van de AP valse brieven versturen. De officiële toezichthouder van onze privacy heeft namelijk te maken met profiteurs die kwalijke nepbrieven versturen aan ondernemers. In de brief doen zij voorkomen dat ze medewerkers van de toezichthouder zelf zijn en een bedrijfsbezoek willen plannen. Ook intimideren ze met mogelijk hoge boetes en bieden ze tegen veel geld een waardeloze AVG-scan aan.

Social Engineering

Phishing via e-mail blijft favoriet, want we worden steeds vaker benaderd met fraudepogingen via de digitale post. Deze pogingen worden bovendien steeds geavanceerder, want de e-mails worden niet alleen in grote aantallen naar potentiële slachtoffers gestuurd, maar ook steeds vaker op maat gemaakt.

Hackers bestuderen bijvoorbeeld je social media om te achterhalen wat je bezighoudt, of waarmee ze je kunnen bereiken. Fraudeurs doen zich voor als een vertrouwde instantie, zoals je bank of LinkedIn, of als een bekende klant of relatie uit je netwerk, zoals in het geval van Pathé. Via een valse e-mail proberen ze op slinkse wijze je wachtwoord, creditcardgegevens of andere vertrouwelijke gegevens te achterhalen, of zelfs direct een financiële transactie in gang te zetten.

Lees ook: 5 tips in de strijd tegen phishing

VIND FERM OOK OP FACEBOOK | TWITTER | LINKEDIN