Phishing (naar analogie van phreaking, afgeleid van fishing: "vissen", "hengelen") is een vorm van internetfraude. Het bestaat uit het oplichten van mensen door ze te lokken naar een valse (bank)website, die een kopie is van de echte website, om ze daar – nietsvermoedend – te laten inloggen met hun inlognaam en wachtwoord of hun creditcardnummer. Hierdoor krijgt de fraudeur de beschikking over deze gegevens met alle gevolgen van dien. De fraudeur doet zich hierbij voor als een vertrouwde instantie, zoals een bank. De meeste vormen van phishing gebeuren via e-mail. De slachtoffers worden hierbij met een e-mail naar deze valse website gelokt. De mail bevat een link naar de (valse) website met het verzoek om zogenaamd "de inloggegevens te controleren".
Een andere vorm van phishing is spear phishing, waarbij de persoonlijke gegevens (naam, e-mailadres, telefoonnummer) van het doelwit worden gebruikt om diegene een gevoel van vertrouwen te geven. Er wordt vaak ingespeeld op diens persoonlijke voorkeuren en hobby's die de daders via sociale media hebben achterhaald. Een voetbalfan wordt bijvoorbeeld benaderd met een nep-aanbieding voor gratis seizoenskaarten van zijn favoriete voetbalclub, iemand die van mooie dure kleding houdt met een kortingsactie van haar favoriete kledingmerk. Dit kan ook gebeuren tijdens popconcerten. Fans van de artiest die gaat optreden krijgen dan via e-mail goedkope kaarten aangeboden voor dit concert. Deze blijken dan echter niet te werken bij de toegangspoorten. Op deze manier komen ze er dan achter dat ze opgelicht zijn.
Methode
Bij phishing wordt dikwijls gebruikgemaakt van URL-spoofing. Dit is het nabootsen van de URL van bijvoorbeeld een bank, zodat de gebruiker denkt de echte site te bezoeken, terwijl de URL die van de bedrieger is. Ook wordt de valse site vaak voorzien van het logo van het bedrijf of de bank in kwestie, zodat het voor de gebruiker net lijkt alsof hij op de echte site zit.
Sinds het gebruik van het IDN-systeem (Internationalized domain name), waarbij niet-ASCII-tekens kunnen worden gebruikt in domeinnamen, kan phishing hiervan gebruikmaken door een echte domeinnaam na te bootsen met gelijkwaardige buitenlandse tekens, zodat de gebruiker niet merkt dat het adres niet klopt.
Ook met een ASCII-URL kan gepland bedrog gepleegd worden: zo lijkt het adres www.googIe.com, waarin de kleine letter l vervangen is door een hoofdletter i (I), erg op www.google.com, en kan het er, afhankelijk van het lettertype, zelfs exact hetzelfde uitzien.
De meeste banken maken gebruik van een uitgebreid gevalideerd SSL-certificaat: in moderne internetbrowsers wordt het eerste gedeelte van de adresbalk weergegeven met een groene achtergrond of staat in de adresbalk voor het adres een groen slotje, zodat de gebruiker zeker weet dat hij op de echte pagina zit. Ook begint het adres van de sites van banken altijd met https:// in plaats van met http://, zodat ook hieraan is te zien dat de gebruiker op de echte site zit. Criminelen kunnen ook een certificaat installeren op hun website, waardoor zelfs een groen slotje geen zekerheid biedt.
Meestal ontvangt het slachtoffer een mail waarin hem gevraagd wordt zijn account bij bijvoorbeeld een bank na te kijken en te bevestigen. Ook wordt er wel gebruikgemaakt van instant messaging, soms wordt er telefonisch contact opgenomen. Vaak worden er smoezen bedacht om het slachtoffer onder druk te zetten of in paniek te brengen en zo tot medewerking aan te zetten. Het mailtje gaat bijvoorbeeld over een groot bedrag dat op het punt staat afgeschreven te worden en met de gegeven link naar de (nep)site van de bank kan dit tegengehouden worden. Een ander vaak voorkomend verhaal is dat er fraude is gepleegd met het rekeningnummer en dat het slachtoffer meteen moet inloggen via de link om de rekening te beveiligen dan wel te bevestigen, zo niet dan wordt de rekening bevroren en de politie ingelicht.
Fraudeurs maken veelvuldig gebruik van nepsites van financiële instellingen, eBay en PayPal. Phishing is moeilijk te achterhalen. Internetgebruikers wordt erop gewezen zelf op te letten en niet in te gaan op een mailverzoek waarin - meestal dringend - gevraagd wordt persoonlijke (financiële) gegevens te geven; zoals bankrekeningnummer, pincode, inloggegevens, burgerservicenummer of creditcardgegevens. Banken vragen nooit via e-mail om dergelijke gegevens. Via de echte sites van banken kunnen gevallen van phishing meestal worden gemeld door de mail door te sturen naar een specifiek e-mailadres. Op deze manier weet de bank dat haar bedrijfsgegevens worden misbruikt en kan deze direct actie ondernemen, bijvoorbeeld door de site in kwestie uit de lucht te laten halen. Ook als men een telefoontje krijgt van een bank met het verzoek om gegevens door te geven of geld over te maken dient men alert te zijn, banken bellen niet zomaar om gegevens op te vragen of geld over te maken.
Het eerste geval van phishing dateert uit 1996.
Vormen van phishing
E-mail
In een phishing-bericht zijn vaak de volgende elementen te vinden:[1][2]
De mail is niet aan de klant persoonlijk gericht, maar begint met een algemene opening als "geachte klant".
De mail bevat taal- en stijlfouten.
Er wordt gesuggereerd dat het account "geverifieerd" (op juistheid onderzocht en bevestigd) moet worden met de inloggegevens van de klant.
Er wordt gedreigd met gevolgen als niet onmiddellijk gehoor gegeven wordt aan de mail.
De link waarnaar wordt verwezen bevat subtiele verschillen met de originele link, zoals een andere extensie of andere schrijfwijze.
De afzender correspondeert niet met de naam van het bedrijf.[3]
Een veelgebruikte methode is dat de fraudeur een e-mail stuurt met een bijlage waarin een keylogger of andere malware zit verborgen. De mail functioneert dan als een Trojaans paard. Zodra de gebruiker de bijlage heeft geopend, wordt – op de achtergrond – de keylogger geactiveerd. Hierdoor kan de fraudeur via internet zien welke wachtwoorden de gebruiker gebruikt bij het inloggen bij zijn of haar bank.
Sms
Zie Sms-phishing voor het hoofdartikel over dit onderwerp.
Als phishingberichten via sms worden verstuurd, wordt dit ook wel smishing genoemd.[4] Net zoals per email wordt moet vaak een bepaald url bezocht worden dat in het sms bericht staat. Slachtoffers worden aangemoedigd om snel te reageren omdat er anders grote gevolgen kunnen zijn.
Telefoon
Slachtoffers kunnen ook een neptelefoontje ontvangen. Dit wordt vishing genoemd.[4] Hierbij worden slachtoffers gebeld door zogenaamde medewerkers van grote bedrijven of banken. Ze krijgen te horen dat er een probleem is met hun computer of bankrekening en zouden snel moeten handelen.
QR-code
Phishing door middel van QR-codes wordt ook quishing genoemd.[5] Hierbij wordt een URL verhuld door een QR-code die bijvoorbeeld in een brief staat die per post ontvangen is. Slachtoffers wordt aangemoedigd om de QR-code met behulp van hun telefoon te bezoeken en daar hun gegevens in te voeren of om software te installeren.
Voorkomen van phishing
Men kan door voorzichtigheid te betrachten voorkomen een slachtoffer van een phishing-aanval te worden.
Voorlichting door bedrijven aan werknemers ter voorkoming dat het bedrijf slachtoffer wordt.
Voorzichtig zijn met social media, de toegankelijkheid van profielen zoveel mogelijk beperken, zo min mogelijk persoonlijke informatie online plaatsen. Hiermee verkleint men het risico op een aanval van spear phishing.
Als men een goedkope aanbieding krijgt via e-mail is het raadzaam om te controleren of deze afkomstig is van een betrouwbare bron, zoals bijvoorbeeld een winkel, alvorens hierop in te gaan. Dit is vaak te controleren via de site van de instelling waarvan het gebruikte logo afkomstig is. Als de aanbieding hierop niet is terug te vinden dient men hier niet op in te gaan. Het is wel aan te raden direct de site te bezoeken en niet een eventuele link in de mail te klikken (zie ook het volgende punt).
Analyseer een e-mail en zoek naar de eerdergenoemde kenmerken. Bekijk de link om de URL te zien en te analyseren alvorens die te openen. Gebruik indien inloggen echt nodig is de website van de bank of instantie in plaats van een link in een bericht.
Het is raadzaam ook andere mensen die men kent, bijvoorbeeld familieleden of leden van de club te waarschuwen wanneer men een phishingbericht heeft ontvangen, bijvoorbeeld door ze een waarschuwingsmail of een appje te sturen waarin men vermeldt wat voor bericht men heeft ontvangen. Zo weten ook zij dat ze alert moeten zijn als zij mogelijk hetzelfde bericht ontvangen. Ze kunnen het bericht dan herkennen en het dan gelijk verwijderen. Op deze manier helpt men ook deze mensen om te voorkomen dat ze slachtoffer worden.
Sommige bedrijven hebben een "phishing button" in hun e-mailprogramma. Wanneer men een mailt opent of aanklikt en deze knop aanklikt, wordt het IT-departement gewaarschuwd en de mail verwijderd.
Logisch nadenken. Het is niet mogelijk dat men een prijsvraag wint zonder eerst te hebben meegedaan, of wanneer men op een e-mail adres of telefoonnummer wordt benaderd door een bank of instantie dat men niet van tevoren aan die bank of instantie heeft opgegeven. Overheden en banken bedienen zich van speciale telefoonlijnen, gewone of aangetekende post, en beveiligde e-mail, en zullen nooit zomaar iemand opbellen of mailen.
Simulaties
Organisaties kunnen een simulatie uitvoeren met een nep-e-mailbericht dat verzonden wordt aan hun eigen organisatie. Deze phishingsimulaties zorgen voor inzicht in het kennisniveau van de organisatie. Tijdens een simulatie kiest de organisatie een sjabloon dat bij de organisatie past. Na het kiezen van de juiste phishingmail wordt deze mail verzonden naar het personeelsbestand. De phishingmails bevatten volgdata waardoor bijvoorbeeld het aantal aangeklikte links en gephishte werknemers in kaart gebracht kan worden. Wanneer de phishingmail wordt aangemeld bij IT of de phishingbutton wordt aangeklikt, volgt de melding dat dit een gesimuleerde phishing was. Wanneer de werknemer wel op de link klikt, is het mogelijk dat hij verplicht wordt een training over phishing te volgen.
Slachtoffers
Wie slachtoffer is van phishing, wordt aanbevolen:
om de bank op de hoogte te brengen van het ontvangen bericht en van de phishingactie;
om codes van de online bankaccount te veranderen of deze te blokkeren;
Indien nodig de rekening te blokkeren;
om alle gegevens die bewijs kunnen leveren van de feiten en de geleden schade te verzamelen;[6]
om onmiddellijk aangifte te doen bij de politie.
Incidenten
In maart 2007 kreeg een groot aantal klanten van ABN AMRO te maken met een phishing-mail. Deze bevatte een Trojaans paard waarmee de inloggegevens van de klant achterhaald konden worden.
In oktober 2009 werd phishing gebruikt om de wachtwoorden van enkele duizenden gebruikers van maildiensten zoals Hotmail en Gmail te achterhalen.[7]
De Nederlandse Vereniging van Banken heeft op 13 oktober 2010 een mediacampagne gelanceerd. Die helpt onder het motto: "als je weet hoe ze werken, kun je je ertegen wapenen". De mediacampagne geeft inzicht in hoe internetcriminelen te werk gaan en wat je eraan kunt doen.
In december 2019 werd door het Openbaar Ministerie melding gemaakt van "een man uit Noord-Nederland" die bijna een miljoen euro zou zijn kwijtgeraakt door phishing, de grootste zaak in zijn soort tot nu toe.[9][10]
Op 19 januari 2020 trapte een Nederlandse jeu-de-boules-vereniging in een phishingbericht, waardoor hun hele bankrekening werd leeggeroofd. Er werd € 78.000 buitgemaakt. Dit geld kregen ze later weer terug van de bank.[11][12]
↑Cranor, Lorrie Faith. 2008. "Can Phishing Be Foiled? Understanding the human factors that make people vulnerable to online criminals can improve both security training and technology". Scientific American, jg. 2008, vol. 299, issue 6, p. 104-110.