Spear phishing: online fraude met precisie

Cybercriminelen willen je inlog- of betaalgegevens. Ze worden steeds gehaaider om dat te bereiken. Een truc die we steeds vaker zien: spear phishing.

Vreemde mailtjes in je inbox

Geachte Klant,
We hebben TAN -functie uw en tan codes geblokkeerd. Dit wordt doen wij om veiligheidsredenen. Log direct in om de blokkering op te heven.’


Als dit de aanhef is van een e-mail van je bank, gaan er waarschijnlijk direct alarmbellen rinkelen. Steeds minder mensen klikken dan ook op de link die ze zo dringend wordt voorgehouden, mede dankzij voorlichting en media-aandacht voor deze vorm van fraude. 

Helaas merken de criminelen achter dit soort acties dat ook. En dus worden ze steeds gehaaider. Een opkomende vorm van oplichting is spear phishing.

Wat is spear phishing?

Het op grote schaal rondsturen van fraudeleuze mails onder de naam van een ander bedrijf met als doel om inlog- en betaalgegevens te bemachtigen, staat bekend als phishing. Kenmerkend zijn de dwingende toon van de mails (je moet nú handelen) en de algemene aanhef (de mail wordt immers naar veel mensen tegelijk gestuurd). Dat laatste is anders bij spear phishing. Er wordt geen groot net meer uitgeworpen maar individuen worden heel gericht getarget. De cybercriminelen doen wat research naar je op internet en haken in hun mail of telefoontje in op zaken die ze over je ontdekken.

Hoe herken je (spear) phishing?

Als je alert bent op deze zaken, kom je al een heel eind in het herkennen van (spear) phishing.

1. Verwijzing naar iets herkenbaars

Bij ‘gewone phishing’ is het je bank of een webwinkel die je zogenaamd mailt. Daardoor ben je geneigd de mail te openen. Spear phising gaat een stapje verder. Je hebt bijvoorbeeld op social media iets gezegd over een online aankoop. Vervolgens krijg je een phishing mail specifiek over deze aankoop. Geef je eenmaal je inlog of wachtwoord, dan gaan criminelen ook je andere accounts af en testen varianten op je wachtwoord. Heel geraffineerd en daarom gevaarlijk.

2. Je wordt gevraagd ergens op te klikken

Meestal een link die voert naar een nepwebsite die erg lijkt op de originele website van je bank of het bedrijf dat je kent. Op die website wordt je gevraagd in te loggen of gegevens achter te laten. Het komt ook voor dat je (ongemerkt) een programma installeert op je pc (malware) dat van daaruit inloggegevens onderschept.

3. De mail is/was slecht geschreven

Vroeger werden veel mails door Google Translate gehaald maar tegenwoordig zijn er ook exemplaren in keurig Nederlands. Goed blijven opletten dus.

4. Het mailadres van de afzender wijkt af

Denk goed na over wat een logisch mailadres zou zijn voor een instelling of bedrijf. Meestal iets als info@naambedrijf.nl. Heet de afzender heel anders, wees dan op je hoede. Overigens worden de phishers steeds geraffineerder en lijken ook steeds vaker de mailadressen echt. 

5. Het is dringend

Criminelen willen natuurlijk dat je snel hapt en spelen daarom in op je angsten en onzekerheden. ‘Als u niet direct inlogt, wordt uw pas geblokkeerd.’ ‘Als u niet snel terugmailt, komt uw bestelling niet op tijd.’

Wat kun je ertegen doen?

Wees altijd oplettend als iemand om wachtwoorden, inlog- of betaalgegevens vraagt. Geef ze nooit zomaar. Mail of bel liever het officiële nummer van het bedrijf om te vragen wat er aan de hand is. 
Om spear phishing te voorkomen moet je verder goed inzicht hebben in de gegevens die je achterlaat op internet. 
  • Wees voorzichtig met wat je online zet en wat je openbaar maakt
  • Zorg dat je wachtwoorden niet te veel op elkaar lijken, liefst voor elk account een eigen (sterk) wachtwoord
  • Hou de updates van je besturingssystemen en browser goed bij

Vragen over cybersecurity?

Als ICT'ers zijn we van nature veel bezig met veiligheid. Zo gaven we begin 2015 nog een kennissessie over cybersecurity. Heb je een vraag over veiligheid of wil je onze mening over andere ICT-zaken? Schroom niet en bel ons!


Neem contact met ons op