PayPal leek maar geen rust te krijgen. De laatste phishingaanval kwam als een verrassing en omzeilde zelfs standaard phishingpogingen. Hackers maakten gebruik van slechts één functie en lieten de aanval echt lijken. In plaats van hun oude tactieken, valse e-mails of links te gebruiken, maakten de oplichters gebruik van het rechtstreeks versturen van geldverzoeken via het platform.
De app stuurde slachtoffers een echt betalingsverzoek dat hen omleidde naar gecompromitteerde microgegevens. De transactie zag er officieel uit, dus slachtoffers hadden geen argwaan. Het ergste? De aanvallers stuurden verzoeken voor bedragen die klein genoeg waren om geen argwaan te wekken. Ze stelden geen vragen bij dergelijke kleine inconsistenties, waardoor het succespercentage van de aanval omhoogschoot. Wat zegt dit over ons beveiligingslandschap? Niemand is veilig. En dit was alleen nog maar phishing.
Smishing heeft betrekking op sms-fraude. Desinformatie is een ander gebied dat niet beperkt is tot een bepaald communicatiemedium of een bepaalde werkwijze. In deze gids bespreken we phishing, smishing en desinformatie. Dit is wat u moet weten.
Wat is phishing?
Phishing is een vorm van social engineering waarbij misleiding wordt gebruikt om ontvangers te verleiden tot het uitvoeren van de door de aanvaller gewenste actie. Hierdoor kunnen financiële informatie, inloggegevens voor systemen en andere gevoelige gegevens worden onthuld. Bedreigers kunnen zich voordoen als officiële instanties van gerenommeerde organisaties, waardoor gebruikers kunnen worden misleid.
Phishing vond vroeger voornamelijk plaats via e-mails, maar tegenwoordig worden aanvallers steeds creatiever omdat ze zich ervan bewust zijn dat hun slachtoffers steeds waakzamer worden. Dit is een belangrijk verschil tussen phishing en smishing. Halverwege de jaren negentig verwees phishing naar het 'vissen' naar slachtoffers: aanvallers lokten nietsvermoedende gebruikers in de val.
Tegenwoordig is phishing echter zeer geavanceerd geworden en zijn er verschillende soorten. We hebben nu e-mailphishing, spearphishing, smishing, vishing en whaling. Elk type phishingaanval is uniek en wordt gekenmerkt door verschillende kanalen en uitvoeringswijzen. Toch is het onderliggende doel altijd om het slachtoffer te misleiden zodat het de aanvaller geeft wat hij wil.
Gevolgen van phishing
Phishing is een ernstige plaag. Als u het negeert, zullen aanvallers nieuwe aanvallen blijven uitvoeren of van doelwit veranderen. U moet het bij de wortel aanpakken, anders blijft u er slachtoffer van worden. Een phishingaanval kan uw klanten en medewerkers op de vlucht doen slaan. De omvang van de schade hangt af van de hoeveelheid informatie die de aanvaller heeft verzameld.
Herinnert u zich het TalkTalk-incident nog? Bij dat incident werden 157.000 klantgegevens gestolen, wat het bedrijf 60 miljoen euro kostte. Naarmate de jaren verstreken, bleken minder dan 5.000 klanten geen last te hebben gehad van het datalek. De gevolgen waren niet alleen groot, maar hielden ook jarenlang aan.
Phishingaanvallen kunnen uw bedrijfsvoering verstoren en nieuwe kwetsbaarheden creëren waarvan u zich niet bewust bent. Als een aanvaller verborgen malware installeert, die u over het hoofd ziet, loopt u het risico dat uw systeem uitvalt. U realiseert zich misschien niet eens waar u productiviteit verliest, maar phishingaanvallen kunnen verwoestende gevolgen hebben. De ergste aanvallen kunnen uw organisatie lamleggen. Uw klanten kunnen geen gebruik meer maken van online diensten en in sommige gevallen kan uw bedrijf meer dan 24 uur stil liggen.
Dit kan ertoe leiden dat mensen hun vertrouwen in uw bedrijf verliezen, waardoor de waarde van uw organisatie daalt. U weet nooit wat er kan gebeuren.
Wat is smishing?
Smishing is erg slim. Aanvallers kunnen je gewoon sms'jes sturen waarin ze je vragen om op links te klikken. Maar vanuit het perspectief van de gebruiker weten we dat sms'jes tegenwoordig als spam kunnen overkomen. Aanvallers weten dit, en daarom personaliseren ze sms-berichten. Goed opgestelde sms-berichten kunnen eruitzien als berichten van een vriend, met onschuldige links erin. Het kan zelfs zijn dat er helemaal geen link in uw sms staat en dat de aanvaller u lokt door een reeks sms-berichten te sturen.
Stel bijvoorbeeld stel dat u een sms ontvangt van een vriend die geen vriend van u is, maar de aanvaller. Hij overtuigt u om met hem te praten en u reageert. Als gevolg daarvan stuurt hij u misschien nog twee of drie sms'jes. In het vierde sms'je vraagt hij u misschien om iets te controleren, en dan klikt u nietsvermoedend op die link. Zo werkt het.
Uw echte vriend is misschien niet beschikbaar deze dagen — misschien ligt hij in het ziekenhuis of is hij met iets anders bezig. Maar dat weet je niet, omdat de aanvaller zijn beller-ID heeft vervalst en zijn telefoonnummer heeft gemaskeerd. Dus zijn sms'jes zijn naar jou doorgestuurd. Zo eng is smishing tegenwoordig geworden. Trap dus niet in de veronderstelling dat smishing een essentiële sms-zwendel is. Dat is het namelijk niet.
Couponcodes, speciale kortingen en verleidelijke links die u gratis producten beloven, kunnen worden gedeeld, maar aanvallers weten dat dit niet de enige manieren zijn om slachtoffers te lokken. Daarom worden ze steeds innovatiever met hun smishing-praktijken.
Impact van smishing
De impact van smishing blijft niet beperkt tot het weggeven van uw gegevens of bankinformatie. Banken zullen nooit om uw pincode vragen of u links voor het opnieuw instellen van uw wachtwoord via sms sturen, maar sommige klanten die niet erg technisch onderlegd zijn, trappen in deze basistrucs. De impact van smishing kan zich uitbreiden naar anderen. Als uw gegevens betrekking hebben op familieleden of vrienden, kan de aanvaller hen gaan verkennen. Ze kunnen meer informatie verzamelen door gewoon op hun sms'jes te reageren.
U zult waarschijnlijk uiteindelijk reageren, vooral als het sms'je aantrekkelijk is of een legitieme reden lijkt te hebben voor uw antwoord. De kans is groot dat u het niet zult negeren, maar het probleem is dat u het niet kunt controleren. Wat gebeurt er als u op een sms'je reageert en in een phishing-poging trapt? Het eerste wat er dan gebeurt, is dat uw telefoonnummer wordt gelekt. De aanvaller kan vervolgens uw persoonlijke gegevens en telefoonnummer gebruiken om u op andere online platforms op te zoeken.
Ze kunnen de gegevens die ze via uw sms-reacties hebben verzameld, gebruiken om diensten te benaderen die u gebruikt. De aanvaller kan die diensten kapen en de schade nog verder vergroten. De gevolgen van het slachtoffer worden van smishing-aanvallen houden daar niet op. Dit is slechts het topje van de ijsberg.
Wat is desinformatie?
Desinformatie is lastig omdat het moeilijk kan zijn om te onderscheiden of de vervalste informatie juist is of tijdelijk onjuist. Aanvallers zijn sluw en kunnen de emoties van mensen lezen. Ze kunnen misbruik maken van uw zwakheden of kwetsbaarheden, waardoor u anders gaat handelen. Ze vervalsen en verspreiden misschien niet direct desinformatie, maar kunnen u op een manier uitproberen waardoor u het slachtoffer wordt van hun beschimpingen en meegaat in hun plannen. U merkt het niet eens, en zo werkt emotionele manipulatie.
Een andere manier waarop desinformatie ontstaat, is wanneer aanvallers opzettelijk informatie vervalsen. Als er bijvoorbeeld nieuws over een incident naar buiten komt, kan de aanvaller een valse versie ervan verspreiden en deze ondersteunen met echte feiten, waardoor het erg overtuigend lijkt. Omdat het nieuws recent is en de aanvaller veel praat, zijn mensen geneigd om hen te geloven. Ze gaan ervan uit dat er niets anders hoeft te worden geverifieerd als ze de gegevens zien.
Omdat het incident zo recent is, is er online of elders geen aanvullende informatie over beschikbaar. Desinformatie kan beangstigend zijn, afhankelijk van hoe het wordt veroorzaakt. Een belangrijk verschil tussen smishing en desinformatie is dat desinformatie niet beperkt is tot tekstkanalen. Het is niet iets om lichtvaardig over te denken.
Impact van desinformatie
De impact van desinformatie heeft niet alleen gevolgen voor de mensen om je heen. Het kan ook gevolgen hebben voor democratieën, regeringen, banken, reisbureaus en particuliere of openbare instellingen. Angst, woede en wantrouwen zijn veelvoorkomende gevoelens bij mensen die het slachtoffer worden van desinformatie. Mensen verspillen tijd en energie aan het ontrafelen van wat waar en onwaar is.
Desinformatie kan vermoeidheid veroorzaken omdat je met meerdere informatiebronnen te maken hebt. Dit wordt nog erger als je werkt in de digitale wereld van vandaag. Met de komst van AI-tools zoals ChatGPT en Grok AI kunnen bedreigingsactoren geavanceerdere aanvallen uitvoeren, ideeën verzamelen, informatie vergaren en die inzichten combineren met ervaringen uit het echte leven.
Er zijn veel verhalen over gecoördineerde desinformatiecampagnes die worden georkestreerd door statelijke en niet-statelijke actoren. De invloed van desinformatie kan verder reiken dan individuele overtuigingen en ook de samenleving beïnvloeden. Vervalste gegevens kunnen worden gebruikt in sectoren zoals de gezondheidszorg en de farmaceutische industrie, wat zeer gevaarlijk kan zijn en verstrekkende gevolgen kan hebben voor het maatschappelijk werk.
Wanneer onzekerheid wordt gecreëerd, wordt de omgeving om u heen onveilig. De emotionele schade die voortvloeit uit het slachtoffer zijn van desinformatie kan jarenlang aanhouden. Het is mogelijk dat u nooit volledig herstelt vanwege de manier waarop u bent misleid of op de situatie hebt gereageerd.
2 Belangrijke verschillen tussen phishing, smishing en desinformatie
Hier zijn enkele belangrijke verschillen tussen phishing, smishing en desinformatie waar u zich bewust van moet zijn:
1. Wijze van aanvallen
Phishing kan plaatsvinden via e-mails, maar aanvallers zijn niet beperkt tot e-mails. Ze kunnen proberen u te lokken door valse websites, inlogpagina's, online webformulieren te maken of u via andere media te benaderen. Smishing gebeurt meestal via sms, maar is niet altijd beperkt tot sms. U kunt ook worden benaderd via instant messaging of live chat.
Desinformatie is niet beperkt tot een specifiek medium. Het kan gebeuren op sociale mediaplatforms, via tweets of zelfs via verkeerde informatie die door buren wordt verspreid. In tegenstelling tot phishing of smishing is er geen specifieke route voor desinformatie, wat essentieel is om op te merken.
2. Omvang van de schade en onderzoek
De schade van phishing blijft vaak beperkt tot de apps, websites en platforms waarmee u interactie hebt. Als u per ongeluk uw gegevens verstrekt, kunt u deze in ieder geval traceren naar de aanvaller, het platform of de app en maatregelen nemen om de situatie te verhelpen. In het geval van smishing hebt u in ieder geval de gegevens van de afzender en kunt u achterhalen waar de sms-berichten vandaan komen. Met een huiszoekingsbevel of een grondig onderzoek door de politie is het mogelijk om de oorsprong van deze oplichting te traceren, zelfs als de daders valse telefoonnummers gebruiken. U kunt smishing-oplichting ook terugvolgen door de telefoonoperators te onderzoeken die door de aanvallers worden gebruikt.
Desinformatie is echter veel moeilijker op te sporen en te traceren. Het opsporen van iemand die desinformatie verspreidt, kan een grote uitdaging zijn als deze zich vermomt. Ze kunnen verdwijnen nadat ze aanzienlijke schade hebben aangericht. Offline kunnen ze leugens verspreiden en vervolgens verdwijnen, terwijl ze online nepaccounts kunnen aanmaken, verkeerde informatie kunnen verspreiden en de accounts daarna kunnen verwijderen, zonder sporen achter te laten. Zodra de accounts verdwenen zijn, is het bijna onmogelijk om contact met hen op te nemen.
Als iemand echt desinformatie lijkt te verspreiden, is de kans groter dat hij of zij kan worden opgespoord of geconfronteerd. Dit komt echter zelden voor, omdat bedreigers slim zijn en hun sporen meestal goed wissen. In sommige gevallen verspreiden ze zelf geen valse informatie, maar beïnvloeden ze anderen om dit voor hen te doen. Deze gevallen zijn veel complexer om op te sporen of te onderzoeken, waardoor desinformatie een bijzonder verraderlijke aanval is.
Phishing versus smishing versus desinformatie: belangrijkste verschillen
Hier zijn enkele belangrijke verschillen tussen phishing, smishing en desinformatie:
| Verschil | Phishing | Smishing | Desinformatie |
|---|---|---|---|
| Manipulatietechniek | U kunt het doelwit worden van angst, urgentie of nieuwsgierigheid om u te misleiden en gevoelige informatie te onthullen. | Psychologische haken zijn afgestemd op onmiddellijke actie via mobiele apparaten, zoals urgente waarschuwingen over uw bankrekening of pakketbezorgingen. | Desinformatiecampagnes manipuleren de overtuigingen en percepties van mensen in de loop van de tijd. Ze maken vaak gebruik van emotioneel geladen of polariserende inhoud om de meningen en het gedrag van mensen te beïnvloeden zonder dat ze zich daar onmiddellijk bewust van zijn. |
| Exploitatiemedium | Phishers kunnen kwaadaardige bijlagen versturen of kwetsbaarheden in apps, diensten of media misbruiken om uw gegevens te stelen en te kapen. | Smishing maakt gebruik van sms-protocollen en kwetsbaarheden in mobiele netwerken door kwaadaardige links of prompts rechtstreeks in tekstberichten in te bedden om de veiligheid van uw smartphone in gevaar te brengen. | Desinformatie kan gebruikmaken van geavanceerde algoritmen en botnets op sociale mediaplatforms om valse verhalen te versterken, waarbij data-analyse wordt gebruikt om uw specifieke interesses en vooroordelen te targeten en te beïnvloeden. |
| Impact en perceptie | Het slachtoffer worden van phishing kan het vertrouwen in digitale communicatiekanalen ondermijnen, waardoor men voorzichtiger wordt, maar ook mogelijk minder online gaat communiceren. | Smishing kan ervoor zorgen dat je SMS-berichten wantrouwt, waardoor je legitieme berichten negeert of aarzelt om met onbekende nummers te communiceren. Dit kan van invloed zijn op je mobiele communicatiegewoonten. | Desinformatie heeft een diepgaand langetermijneffect op uw perceptie van de werkelijkheid en uw vertrouwen in informatiebronnen, waardoor uw wereldbeeld en maatschappelijke overtuigingen mogelijk worden beïnvloed door gemanipuleerde waarheden. |
| Preventiemaatregelen en hoe u weerbaarheid kunt opbouwen | Om u tegen phishing te beschermen, moet u krachtige e-mailfilters implementeren, meervoudige authenticatie gebruiken en op de hoogte blijven van veelvoorkomende phishingtactieken om verdachte e-mails te herkennen en te vermijden. | Om u tegen smishing te beschermen, moet u op uw hoede zijn voor ongevraagde sms-berichten, niet op onbekende links klikken en de authenticiteit van de afzender controleren voordat u op sms-verzoeken reageert of ernaar handelt. | Om desinformatie te bestrijden, moet u kritisch denken, informatie vergelijken met betrouwbare bronnen, mediageletterdheid begrijpen en de gewoonte aanleren om de authenticiteit van uw inhoud in twijfel te trekken en te controleren. |
Conclusie
Het onderscheid tussen phishing, smishing en desinformatie is essentieel om uw persoonlijke en professionele leven veilig te houden. Met deze kennis bent u goed geïnformeerd en zeer alert om deze nieuwe bedreigingen effectief op te sporen en af te weren. Onderschat digitale veiligheid nooit – preventie begint met begrip. Zorg ervoor dat er krachtige veiligheidsmaatregelen worden genomen, blijf op de hoogte van de nieuwste aanvalsvectoren en creëer een cultuur van bewustzijn binnen uw organisatie.
Bereid u proactief voor om niet alleen uw gegevens te beschermen, maar ook om uw online reputatie en vertrouwen te beschermen.
Verbeter uw informatie over bedreigingen
Bekijk hoe de SentinelOne service WatchTower voor het opsporen van bedreigingen meer inzichten kan opleveren en u kan helpen aanvallen te slim af te zijn.
Meer lerenFAQs
Phishing maakt gebruik van misleidende e-mails om gevoelige informatie te stelen, smishing maakt gebruik van sms-berichten voor soortgelijke oplichting via tekst, en desinformatie verspreidt valse informatie om overtuigingen en percepties te manipuleren. Terwijl phishing en smishing directe cyberaanvallen zijn die gericht zijn op persoonlijke gegevens, is desinformatie vaak bedoeld om de publieke opinie of maatschappelijke opvattingen in de loop van de tijd te beïnvloeden.
Ja, desinformatie is een vorm van cyberaanval. In tegenstelling tot phishing en smishing, die gericht zijn op het stelen van gegevens van individuen, is desinformatie bedoeld om de publieke perceptie te misleiden en te manipuleren, vaak op grotere schaal. Het ondermijnt het vertrouwen en kan de mening van de samenleving beïnvloeden, waardoor het zeer krachtig is in de handen van cybermanipulatie.
In brede zin loopt iedereen en elke organisatie in elk domein risico, maar kwetsbare groepen zijn onder meer ouderen, minder technisch onderlegde gebruikers en organisaties of personen die toegang hebben tot gevoelige informatie. Bedrijven, met name bedrijven die financiële of persoonlijke gegevens verwerken, zijn het belangrijkste doelwit. Zelfs het grote publiek wordt vatbaar voor desinformatiecampagnes tijdens grootschalige evenementen of crises.
Hoewel het moeilijk is om deze bedreigingen uit te bannen, kunnen ze worden voorkomen door bewustwording en adequate beveiligingsmaatregelen. Leer uzelf en uw team hoe ze kwaadaardige e-mails en sms-berichten kunnen herkennen, voer strenge authenticatieprotocollen in, implementeer beveiligingstools om bedreigingen te detecteren en te blokkeren, en controleer de bron van informatie om de risico's van desinformatie te verminderen.
Financiën, gezondheidszorg, overheid en technologie zijn sectoren die vaker het doelwit zijn omdat ze over waardevolle gegevens beschikken. Desinformatiecampagnes richten zich ook op media en public relations. Sectoren met veel klantcontact, zoals detailhandel en telecommunicatie, zijn vaak het doelwit van phishing- en smishing-aanvallen.
