Phishing komt veel voor. In veel gevallen gebeurt het uit naam van banken. Oplichters maken handig misbruik van de goede naam en de vertrouwenspositie van banken, om inloggegevens van klanten buit te maken. Sander Hofman van security-specialist Mimecast vertelt over deze vorm van cybercriminaliteit.
Versturen cybercriminelen phishingmails alleen ‘namens’ banken?
Bij phishing gebruiken cybercriminelen de namen en uitingen van allerlei organisaties. Naast banken zijn dat bijvoorbeeld energiemaatschappijen of postorderbedrijven. Ook phishing via gehackte toeleveranciers, de zogeheten supply chain-aanval, komt steeds vaker voor. “Maar het is wel opvallend dat het de laatste tijd vooral banken zijn die onder phishing lijden”, zegt Hofman. Hij wijst erop dat banken in 2018 meer schade leden door phishing dan een jaar eerder. “En dat terwijl andere vormen van fraude juist zijn afgenomen. Phishing leverde Nederlandse banken een kostenpost op van bijna 4 miljoen euro, 3,5 keer zoveel als in 2017.”
Hoe ontwikkelen phishing-aanvallen zich?
Traditioneel zijn phishing-aanvallen gebaseerd op volume. “Als je een paar duizend identieke mails naar evenzoveel adressen stuurt, heb je een goede kans dat enkele ontvangers de truc niet doorzien”, legt Hofman uit. Naast particulieren zijn ook bedrijven het doelwit van deze praktijk. Werknemers, zoals beheerders van zakelijke rekeningen, zijn uiteindelijk ook maar mensen. “Ze kunnen exact dezelfde fouten maken als ieder ander.”
Een nieuwe trend is dat phishingaanvallen steeds gerichter worden, met de juiste aanhef en een exacte kopie van de huisstijl van een organisaties. Oplichters leggen de lat steeds hoger. “Phishers handelen steeds vaker uit naam van grote of gespecialiseerde banken”, zegt Hofman. “Niet zo lang geleden zagen we bijvoorbeeld phishing-sms’jes die afkomstig leken van private bank Van Lanschot.” Recent is ook een grote, internationaal opererende bende opgerold die de rekeningen van meer dan 41.000 mensen en bedrijven heeft geplunderd. “De cybercriminelen stuurden malware mee die inloggegevens voor internetbankieren kon achterhalen.”
Ook andere financiële instellingen blijven kwetsbaar. Hofman noemt een Brits hedgefonds dat in 2015 meer dan £700.000 verloor. Hierbij ging het om een schoolvoorbeeld van een doelgerichte aanval. “Als cybercriminelen bij phishingaanvallen heel gericht te werk gaan, zijn ze niet beperkt tot het versturen van e-mails of sms’jes”, zegt hij. “In dit geval gebruikten de criminelen een telefoon. Ze belden op vrijdagmiddag op en deden zich voor als de antifraude-eenheid van de bank. De manager die ze aan de lijn kregen was moe. Hij wilde naar huis en deelde de gegevens waar ze om vroegen.”
Hoe vaak zijn bedrijven het slachtoffer van phishing?
Vaker dan de meeste mensen denken. Volgens onderzoek dat Mimecast afgelopen jaar uitvoerde, heeft 94 procent van de organisaties in 2017 te maken gehad met ongerichte phishingaanvallen, en 92 procent met gerichte aanvallen. Het volume stijgt bovendien fors.
Hofman: “Phishing is bijzonder effectief. Een mail die dreigt met dwangsommen of de blokkade van rekeningen maakt indruk.” En het is zeer waarschijnlijk dat phishing-campagnes alleen maar effectiever worden. “Oplichters scherpen hun methodes steeds verder aan. Omdat ook steeds meer informatie beschikbaar is, bijvoorbeeld via sociale media, worden de mails voortdurend geniepiger en slimmer.”
Wat is de mogelijke schade van phishing?
Phishing is zeer lucratief. Criminelen plunderen zakelijke rekeningen en maken al snel duizenden euro’s buit door middel van spoedtransacties. In het ergste geval kan een bedrijf hierdoor zelfs failliet gaan. De FBI schatte de verliezen door zakelijke e-mailfraude vorig jaar op 12,5 miljard dollar wereldwijd.
Er hangt nog steeds een stigma rond phishingslachtoffers. De reflex bestaan om het slachtoffer de schuld te geven.
“Maar de schade gaat verder dan geld alleen”, benadrukt Hofman. “Denk aan de medewerker die de betreffende mail of sms ontving. Er hangt nog steeds een stigma rond phishingslachtoffers. Ondanks dat de aanvallen steeds geraffineerder zijn, blijft de reflex bestaan om het slachtoffer de schuld te geven. De kans is groot dat hij of zij er lang mee zal worstelen.”
Welk adviezen moeten banken hun klanten geven?
Het risico van phishingaanvallen is nooit volledig weg te nemen. Het is wel te beperken. Hofman geeft een aantal adviezen.
- Tref technische maatregelen. Natuurlijk zitten beveiligingsleveranciers niet stil en worden hun oplossingen steeds beter in het herkennen van vervalste afzenders, nepmails en kwaadaardige links. Maar dat is op zichzelf niet genoeg. Phishing werkt door gebruikers te misleiden. Gespecialiseerde oplossingen voor e-mailbeveiliging helpen bij het herkennen van verdachte omstandigheden. Denk aan niet-kloppende domeinnamen of bestandsextensies.
- Bevorder kennis en bewustwording. Hoe beter gebruikers weten waar ze op moeten letten, hoe kleiner de kans dat ze schadelijke acties ondernemen. Medewerkers die scherp letten op afzenders en webadressen zijn veel minder vatbaar voor phishingacties. Het is daarom raadzaam dat klanten trainingen en simulaties aanbieden waarin wordt geleerd hoe medewerkers phishing kunnen herkennen.
- Houd contact met de bank. Echte banken zullen nooit om bepaalde gegevens vragen. Als de klant weet welke informatie een bank echt nodig heeft, moeten de alarmbellen afgaan als ineens om andere gegevens wordt gevraagd. Bij twijfel is het verstandig om direct contact met de bank op te nemen. Als dienstverleners moeten banken zelf ook een actieve rol spelen. Door transparant te zijn over procedures en duidelijk aan te geven welke informatie ze wel of niet van hun klanten kunnen vragen, bevorderen ze de bewustwording
Wat kunnen banken zelf doen?
De banken spelen hier uiteraard ook een belangrijke rol in, zegt Hofman. “Banken hebben een zorgplicht richting hun klanten. Hoe beter zij de klant informeren over de manier van werken, des te beter begrijpen klanten hoe ze moeten omgaan met verdachte e-mails, sms- of zelfs WhatsApp-berichten.” Callcenters dienen meldingen serieus te nemen en klanten te begeleiden. “Zonder deze ondersteuning voelen ze zich onveilig en zullen ze sneller overstappen naar de concurrent.”
Daarnaast kunnen banken technische maatregelen nemen. Hofman: “Er zijn diensten die het internet afspeuren naar oneigenlijk gebruik van de naam van de bank. Een phishingspecialist als SEGASEC kan zo vroegtijdig signalen afgeven. Integraties tussen technologieën van SEGASEC en Mimecast zorgen voor een betere bescherming tegen phishing door informatie uit te wisselen.”