Spear phishing is een gerichte poging om gevoelige informatie te stelen via misleidende e-mails. In deze gids wordt uitgelegd hoe spear phishing werkt, welke tactieken worden gebruikt en welke risico's het met zich meebrengt voor individuen en organisaties.
Lees meer over effectieve strategieën voor detectie en preventie. Inzicht in spear phishing is cruciaal voor het beschermen van persoonlijke en organisatorische gegevens.
Dit artikel gaat dieper in op spear phishing: hoe deze aanvallen doorgaans werken, hoe ze te herkennen zijn, de verschillen tussen spear phishing en andere phishingaanvallen, en hoe organisaties zich hiertegen kunnen verdedigen.
Wat is spear phishing?
Spear phishing is een social engineering-aanval die gericht is op specifieke personen of organisaties, meestal via kwaadaardige e-mails. De aanvaller doet zorgvuldig onderzoek naar het doelwit, zodat de e-mail afkomstig lijkt te zijn van een betrouwbare afzender.
Spear phishing-e-mails maken doorgaans gebruik van verschillende social engineering-technieken om de ontvanger te overtuigen een kwaadaardige link of bijlage te openen. Zodra het doelwit hieraan gehoor geeft, kan de aanvaller zijn oorspronkelijke doel bereiken.
Net als phishingaanvallen hebben spear phishingaanvallen doorgaans tot doel:
- Persoonlijke informatie verkrijgen: Sommige spear phishing-e-mails zijn bedoeld om persoonlijke informatie van ontvangers te verkrijgen, zoals inloggegevens, bankgegevens of creditcardnummers.
- Malware installeren: Andere spear phishing-e-mails bezorgen malware aan ontvangers in de hoop dat ze deze op hun apparaten zullen downloaden.
In tegenstelling tot phishing-scams, die een breed net uitwerpen, is spear phishing geavanceerder en beter gecoördineerd. Deze aanvallen maken vaak gebruik van bekende, gepersonaliseerde informatie om organisaties te infiltreren met op maat gemaakte valstrikken.
Voorbeelden van spear phishing-aanvallen
Spear phishing is een bijzonder effectieve vorm van cyberaanval omdat het gebruikmaakt van social engineering-technieken om slachtoffers te misleiden en hen ertoe te brengen gevoelige informatie prijs te geven of acties te ondernemen waardoor hackers toegang krijgen tot hun systemen.
Een voorbeeld van een spear phishing-aanval is de aanval in 2021 gericht tegen Oekraïense overheidsinstanties en ngo's. Een aan de Russische overheid gelieerde cyberspionagegroep, bekend als Gamaredon, deed zich voor als betrouwbare contacten en gebruikte spear phishing-e-mails met macrobijlagen die malware bevatten. De e-mails bevatten ook een tracking "webbug" om te controleren of de berichten werden geopend. Hoewel het uiteindelijke doel van deze spear phishing-aanval nog onbekend is, wordt de gebruikte malwarefamilie vaak in verband gebracht met het exfiltreren van gegevens van gecompromitteerde hosts.
Een ander voorbeeld van een spear phishing-aanval is die welke gericht was op Puerto Ricaanse overheidsinstanties in 2020. Een cybercrimineel hackte de computer van een medewerker van het Employee Retirement System en stuurde e-mails naar verschillende overheidsinstanties waarin hij beweerde dat er een wijziging in de bankrekeningen had plaatsgevonden. Een medewerker van de Puerto Rico Industrial Development Company maakte 2,6 miljoen dollar over naar een buitenlandse rekening in de veronderstelling dat het om een legitieme bankrekening ging.
Hoe werkt spear phishing?
Cybercriminelen maken bij hun onderzoek gebruik van verkenningsmethoden om de kans op een succesvolle aanval te vergroten. Daardoor zijn spear phishing-e-mails vaak moeilijk te herkennen.
Spear phishers bezoeken vaak sociale mediasites zoals Facebook of LinkedIn om persoonlijke informatie over hun doelwit te verzamelen. Sommige cybercriminelen brengen zelfs het netwerk van persoonlijke en professionele contacten van hun doelwit in kaart om extra context te verkrijgen bij het opstellen van een 'betrouwbaar' bericht. Geavanceerde aanvallers gebruiken zelfs machine learning-algoritmen (ML) om enorme hoeveelheden gegevens te scannen en potentieel lucratieve doelwitten te identificeren.
Zodra ze over voldoende persoonlijke informatie over hun doelwit beschikken, kunnen spear phishers een ogenschijnlijk legitieme e-mail opstellen die de aandacht van het doelwit trekt. Spear phishing-e-mails zijn niet alleen gepersonaliseerd, maar hebben vaak ook een dringende toon. Deze gevaarlijke combinatie kan ervoor zorgen dat ontvangers hun waakzaamheid laten verslappen.
Hieronder volgen de typische stappen die vaak bij spear phishing-aanvallen worden gevolgd:
1. Informatie verzamelen (aas)
Het vinden van persoonlijke informatie online kost vaak weinig moeite. In veel opzichten heeft de populariteit van sociale media de afgelopen jaren bijgedragen aan het succes van spear phishing-aanvallen.
LinkedIn-profielen kunnen bijvoorbeeld werkplekken en lijsten met collega's bevatten. Zelfs als een LinkedIn-profiel geen e-mailadres openbaar weergeeft, kan het voor cybercriminelen gemakkelijker zijn om die informatie te vinden.
Andere cybercriminelen kunnen scripts gebruiken om e-mailadressen te verzamelen van prominente zoekmachines of leadgeneratieplatforms om de e-mailadressen te vinden die werknemers voor hun werk gebruiken. In sommige gevallen proberen cybercriminelen gewoon e-mailadressen te raden aan de hand van standaardconventies voor zakelijke e-mailadressen, zoals [email protected].<.Naast het e-mailadres van het doelwit, zullen bedreigers ook onderzoek doen naar de organisatie van het doelwit en proberen te achterhalen welke software ze mogelijk gebruiken.
2. Het verzoek (haakje)
Zodra een aanvaller de benodigde informatie over zijn doelwit heeft verkregen, kan hij deze gebruiken als lokmiddel om de gewenste actie uit te voeren (bijvoorbeeld klikken op een kwaadaardige link of het downloaden van een kwaadaardig bestand).
Om een spear phishing-e-mail in de inbox van het doelwit te krijgen, moet de e-mail eerst langs de antivirussoftware komen. Een snelle zoekopdracht naar de organisatie van het doelwit kan voldoende informatie opleveren over welke antivirussoftware en welke versie daarvan de werkgever gebruikt. Met deze informatie kunnen cybercriminelen de cyberbeveiliging omzeilen.
Een veelgebruikte tactiek is het gebruik van valse facturen. In dit scenario kan een cybercrimineel een e-mail versturen vanuit een 'betrouwbare' bron waarin staat dat er een probleem is met een factuur. Ze kunnen een link naar een digitaal formulier verstrekken en het doelwit vragen om de juiste informatie toe te voegen.
Hoewel de digitale factuur niet legitiem is, kan deze er identiek uitzien aan de factuur die het doelwit doorgaans gebruikt om financiële informatie in te voeren. Zodra de bedreiger de betalingsinformatie van de factuur heeft, kan hij deze gebruiken om geld te stelen of die informatie te verkopen op het dark web.
3. De aanval (vangst)
De aanvallers staan klaar om toe te slaan zodra hun aas en haak succesvol zijn. Stel dat de ontvanger vertrouwelijke informatie verstrekt (bijvoorbeeld inloggegevens of betalingsinformatie). In dat geval kunnen aanvallers deze gebruiken om toegang te krijgen tot netwerken en systemen, privileges te verhogen, aanvullende gegevens te stelen of te compromitteren, of zelfs gevoelige informatie te verkopen op het dark web.
Als de ontvanger malware installeert, kunnen aanvallers deze gebruiken om toetsaanslagen vast te leggen, toegang tot bestanden te blokkeren of gegevens te exfiltreren en deze vast te houden voor losgeld.
Verbeter uw informatie over bedreigingen
Bekijk hoe de SentinelOne service WatchTower voor het opsporen van bedreigingen meer inzichten kan opleveren en u kan helpen aanvallen te slim af te zijn.
Meer lerenSpear phishing versus phishing versus whaling
Hoewel spear phishing, phishing en whaling voor hun succes gebruikmaken van vergelijkbare social engineering-technieken, zijn er enkele essentiële verschillen tussen de verschillende soorten aanvallen.
Phishing
Net als spear phishing zijn phishing-aanvallen erop gericht om slachtoffers te misleiden en hen ertoe te brengen gevoelige informatie vrij te geven, zoals gebruikersnamen en wachtwoorden, bankgegevens, creditcardnummers of burgerservicenummers. Deze aanvallen geven vaak voorrang aan kwantiteit boven kwaliteit en hebben doorgaans een lagere toegangsdrempel dan andere soorten social engineering-aanvallen.
De berichten in phishing-e-mails zijn echter vaak vrij algemeen. Cybercriminelen sturen phishing-e-mails vaak naar een grote groep willekeurige personen of organisaties om de kans te vergroten dat zelfs maar één ontvanger het slachtoffer wordt van de zwendel.
Hoewel ze potentieel minder lucratief zijn dan spear phishing, kunnen alle soorten phishingaanvallen buitengewoon kostbaar zijn voor de slachtoffers. Andere soorten phishing zijn onder meer smishing, vishing, clone phishing, domain spoofing, URL-phishing, watering hole phishing en evil twin phishing.
Whaling
Whaling-aanvallen zijn nog specifieker dan spear phishing-aanvallen. Deze aanvallen zijn gericht op prominente personen – ook wel de 'grote vissen' van een bedrijf genoemd. Whaling-aanvallen zijn gericht op personen die toegang hebben tot gevoelige gegevens, zoals leidinggevenden, bestuursleden of zelfs beroemdheden.
Aangezien whaling-aanvallen gericht zijn op hoogwaardige slachtoffers, leveren ze vaak hoogwaardige resultaten op. Dit type aanval schakelt in feite de tussenpersoon uit, aangezien de doelwitten van whaling-aanvallen vaak de mogelijkheid hebben om rechtstreekse overschrijvingen te doen. Hierdoor kunnen extra stappen die een aanvaller zou moeten nemen om zijn doel te bereiken, worden geëlimineerd, waardoor de kans op detectie kleiner wordt. Whaling-aanvallen kunnen ook aanzienlijkere gevolgen hebben voor individuele doelwitten. In veel gevallen kunnen de "walvissen" die met succes door een aanvaller zijn geharpoeneerd, worden ontslagen of gedwongen ontslag te nemen vanwege onzorgvuldigheid.
Soorten spear phishing en voorbeelden
Een nadere beschouwing van voorbeelden van spear phishing kan helpen illustreren hoe bedreigers de bovenstaande stappen doorgaans uitvoeren.
Valse verzoeken
Kwaadwillenden kunnen e-mails versturen met een direct verzoek om informatie of geld. Deze verzoeken kunnen ook links of bijlagen bevatten, maar het doel van deze e-mails is om gevoelige informatie rechtstreeks van de ontvanger te verkrijgen.
Zo heeft de stad Franklin in Massachusetts in 2020 per ongeluk een betaling van 522.000 dollar in 2020, nadat cybercriminelen een medewerker hadden overgehaald om beveiligde inloggegevens te verstrekken.
Valse websites
Cybercriminelen kunnen ook e-mails versturen met links naar vervalste websites. De vervalste website kan de lay-out van een gerenommeerde site imiteren om het doelwit te misleiden en vertrouwelijke informatie, zoals inloggegevens of financiële informatie, te ontfutselen. De cybercrimineel kan die informatie vervolgens gebruiken om rechtstreeks van het doelwit te stelen, de inloggegevens van het doelwit te gebruiken om toegang te krijgen tot bedrijfsnetwerken of -systemen, of die informatie op het dark web te verkopen.
Sinds de introductie van PayPal is er bijvoorbeeld een sterke toename geweest in frauduleuze e-mailberichten waarin gebruikers worden gewaarschuwd dat iemand iets heeft gekocht met hun PayPal-account. Als de ontvanger op de link in deze e-mails klikt, wordt hij vaak naar een vervalste PayPal-website geleid waar cybercriminelen alle ingevoerde inloggegevens kunnen stelen.
Valse bijlagen
Malwarebijlagen komen vaak in de vorm van een valse factuur of leveringsbevestiging. De aanvaller kan de ontvanger aansporen om deze zo snel mogelijk te openen om negatieve gevolgen te voorkomen. Zodra de ontvanger de bijlage opent, kan deze malware naar het apparaat van het doelwit sturen, die zich vervolgens kan verspreiden naar het netwerk en andere apparaten.
Zo voert de Noord-Koreaanse Lazarus Group een voortdurende campagne waarbij lokmiddelen worden gebruikt voor openstaande vacatures bij Crypto.com om macOS-malware te verspreiden.
Hoe herken je een spear phishing-aanval?
De beste manier om een spear phishing-aanval te voorkomen, is door een spear phishing-e-mail te herkennen voordat je op links klikt of bijlagen opent. Door vertrouwd te raken met de indicatoren van een spear phishing-poging kunnen organisaties en hun werknemers de gevolgen van een succesvolle aanval voorkomen.
Hier zijn enkele veelvoorkomende rode vlaggen die kunnen wijzen op een spear phishing-aanval:
Afzender
Controleer inkomende e-mails om te bepalen of ze afkomstig zijn van legitieme afzenders. Veelvoorkomende tekenen dat de afzender mogelijk een spear phishing-aanval uitvoert, zijn onder meer:
- Een onbekend e-mailadres of afzender.
- Een e-mailadres buiten de organisatie van de ontvanger.
- Een e-mailadres van een afzender binnen de organisatie waarmee de ontvanger doorgaans niet communiceert.
- Een e-mailadres van een verdacht domein.
Ontvangers
Kijk vervolgens wie er nog meer op de lijst met ontvangers staat. Indicatoren van een spear phishing-e-mail kunnen zijn:
- Een lijst met ontvangers die andere onbekende e-mailadressen bevat.
- Een lijst met ontvangers met een ongebruikelijke mix van personen (bijvoorbeeld een willekeurige groep ontvangers of een groep ontvangers waarvan de achternamen allemaal met dezelfde letter beginnen).
Datum en tijd
Controleer wanneer de afzender de e-mail heeft verzonden. Tekenen van een spear phishing-e-mail kunnen zijn:
- Een e-mail wordt op een ongebruikelijke datum verzonden (bijvoorbeeld in het weekend of op een feestdag).
- Een e-mail wordt op een ongebruikelijk tijdstip verzonden (d.w.z. niet tijdens de gebruikelijke kantooruren).
Onderwerp
De onderwerpregel van een e-mail kan de ontvanger veel vertellen over de vraag of de e-mail al dan niet nep is. Spear phishing-e-mails kunnen het volgende bevatten:
- Een ongewoon dringende onderwerpregel.
- Een onderwerpregel die niet relevant is of niet overeenkomt met de rest van de e-mail.
- Een antwoord op iets dat nooit is verzonden of aangevraagd.
Hyperlinks en bijlagen
Voordat u op links klikt of bijlagen in e-mails downloadt, moet u letten op veelvoorkomende tekenen van spear phishing, waaronder:
- Een hyperlink die een link-naar-adres voor een andere website toont wanneer u er met de muis overheen beweegt.
- Een lange hyperlink zonder verdere instructies.
- Een hyperlink met typefouten die niet meteen opvallen.
- Een e-mailbijlage die onverwacht is of niet logisch is in de context van de inhoud van de e-mail.
- Een bijlage met een mogelijk gevaarlijk bestandstype.
- Een bijlage zonder verdere instructies.
Inhoud
Als al het andere in orde is, kijk dan goed naar de inhoud van de e-mail. Spear phishing-e-mails zijn vaak goed opgesteld en omdat ze ook gepersonaliseerd zijn, kan het lastig zijn om ze alleen op basis van de inhoud te herkennen.
Houd echter rekening met de volgende indicatoren van een spear phishing-e-mail wanneer u de tekst van het bericht leest:
- De e-mail heeft een ongebruikelijk gevoel van urgentie.
- De e-mail vraagt om gevoelige informatie.
- De e-mail vraagt de ontvanger om op een link te klikken of een bijlage te openen om iets waardevols te krijgen of om negatieve gevolgen te voorkomen.
- De e-mail bevat spelfouten of grammaticale fouten.
- De e-mail bevat ongevraagde links of bijlagen.
- De e-mail probeert de ontvanger in paniek te brengen.
Hoe u zich kunt verdedigen tegen spear phishing-aanvallen
Hier volgen enkele tips over spear phishing die organisaties kunnen gebruiken om hun cyberbeveiliging te versterken.
Herken de tekenen van spear phishing
De beste manier om een phishingaanval te voorkomen, is door een phishing-e-mail te herkennen voordat iemand op een link klikt, een bijlage downloadt of een andere gevraagde actie uitvoert.
Als het eerste instinct van een doelwit is dat een e-mail nep is of een poging tot oplichting, dan hebben ze waarschijnlijk gelijk. Controleer eerst de legitimiteit van de afzender. Probeer vervolgens de beweringen in de e-mail rechtstreeks bij de bron te verifiëren. Bekijk vervolgens de inhoud van de e-mail en zoek naar tekenen van spear phishing (zie bovenstaande paragraaf). Als de e-mail na nader onderzoek nep blijkt te zijn, meld dit dan aan de juiste teamleden.
Geef training in beveiligingsbewustzijn
Het kan tijd en moeite kosten om elke e-mail nauwkeurig te controleren op tekenen van spear phishing. Door medewerkers een training in beveiligingsbewustzijn te geven, kunnen ze de vaardigheden ontwikkelen die nodig zijn om phishing-e-mails te herkennen, te vermijden en te melden.
Deze programma's zijn van cruciaal belang nu steeds meer medewerkers vanuit huis werken. Maar zelfs de best getrainde en meest beveiligingsbewuste medewerkers kunnen in de val lopen van phishing-e-mails als ze haast hebben of als de e-mail overtuigend is. Phishing-simulaties kunnen medewerkers helpen om te oefenen wat ze tijdens de training in beveiligingsbewustzijn hebben geleerd. Deze oefening helpt organisaties ook om te meten hoe goed hun werknemers phishingaanvallen begrijpen, zodat ze hun trainingen kunnen verbeteren.
Voer regelmatig onderzoek uit
Proactief onderzoek kan organisaties helpen bij het identificeren van verdachte e-mails met inhoud die vaak door aanvallers wordt gebruikt (bijvoorbeeld onderwerpen die verwijzen naar wachtwoordwijzigingen). Bedrijven kunnen regelmatig patches toepassen, op de juiste manier configureren en externe diensten, VPN's en multi-factor authenticatie oplossingen.
Organisaties kunnen ook de eigenschappen van ontvangen e-mailberichten (inclusief de eigenschap Bijlagedetails) scannen op malware-gerelateerde bijlagetypen en deze automatisch verzenden om te worden geanalyseerd op aanvullende malware-indicatoren.
Implementeer beveiligingstools om te helpen
Gelukkig zijn er tools beschikbaar om te voorkomen dat spear phishing-e-mails ooit in de inbox van een doelwit terechtkomen. Hoewel e-mailproviders sommige van deze tools in hun platform kunnen inbouwen, is het nog steeds waarschijnlijk dat sommige phishing-e-mails zonder extra beveiliging om beveiligingslacunes te elimineren, toch bij werknemers terechtkomen.
Een extended detection and response (XDR) platform kan bijvoorbeeld elke laag van een netwerk actief monitoren om malware op te sporen voordat deze schade aanricht.
Voorkom spear phishing-aanvallen met SentinelOne
Het Singularity XDR-platform van SentinelOne helpt organisaties om beveiligingsincidenten, waaronder spear phishing-aanvallen, te zien, te beschermen en op te lossen voordat ze zich voordoen.
Met Singularity XDR kunnen organisaties blinde vlekken elimineren, zodat beveiligingsteams gegevens die door verschillende beveiligingsoplossingen van alle platforms zijn verzameld, in één dashboard kunnen bekijken.
De gedragsengine van SentinelOne volgt alle systeemactiviteiten in alle omgevingen, detecteert technieken en tactieken die wijzen op kwaadaardig gedrag en koppelt gerelateerde activiteiten automatisch aan uniforme waarschuwingen.
Singularity XDR is een enkel, uniform platform voor uitgebreide detectie, onderzoek, respons en opsporing van bedreigingen en biedt:
- Eén enkele bron van geprioriteerde waarschuwingen die gegevens uit meerdere bronnen verzamelt en standaardiseert
- Eén enkel geconsolideerd overzicht om snel inzicht te krijgen in het verloop van aanvallen op verschillende beveiligingslagen.
- Eén platform om snel te reageren en proactief op zoek te gaan naar bedreigingen.
Ontdek hoe SentinelOne enkele van 's werelds toonaangevende organisaties beschermt tegen spear phishing-aanvallen en meld u vandaag nog aan voor een demo.
"Veelgestelde vragen over spear phishing
Spear phishing is een gerichte e-mailzwendel die gericht is op een specifieke persoon of groep om gevoelige gegevens te stelen of malware te installeren. Aanvallers doen onderzoek naar hun slachtoffer – met behulp van openbare profielen of bedrijfssites – om berichten op te stellen die eruitzien alsof ze afkomstig zijn van een betrouwbare bron. Deze e-mails verwijzen vaak naar echte projecten of contactpersonen om vertrouwen op te bouwen. Wanneer het slachtoffer op een link klikt of een bijlage opent, kunnen inloggegevens of systeemtoegang worden gecompromitteerd.
Aanvallers personaliseren e-mails met behulp van gegevens uit sociale media of bedrijfswebsites, waardoor de berichten vertrouwd overkomen. Ze gebruiken vaak dringende of dreigende taal, zoals een valse accountblokkering, om snelle actie uit te lokken, vervalsen afzenderadressen om collega's na te bootsen en voegen kwaadaardige bijlagen of links toe die verborgen zijn achter legitiem ogende tekst.
Ongebruikelijke verzoeken om wachtwoorden of geldovermakingen komen vaak voor. Sommigen gebruiken ook telefoontjes of sms-berichten om de zwendel te versterken.
In 2015 verloor Ubiquiti Networks meer dan 40 miljoen dollar toen werknemers valse e-mails met overschrijvingen opvolgden die waren vervalst door senior executives. De groep "HeartSender" gebruikte tussen 2020 en 2025 phishingkits om ongeveer 3 miljoen dollar te stelen van Amerikaanse slachtoffers via op maat gemaakte BEC-zwendel gericht op financiële teams.
In 2024 stuurde het Iraanse APT35 whaling-e-mails met kwaadaardige links naar een Amerikaanse campagnefunctionaris, op zoek naar inlichtingen onder het mom van legitieme campagnecommunicatie.
Let op kleine spelfouten in het adres van de afzender of weergavenamen die niet overeenkomen met het daadwerkelijke e-mailadres. Urgente of alarmerende onderwerpen die om onmiddellijke actie vragen, zoals een beveiligingslek, zijn rode vlaggen. Onverwachte bijlagen of links die u vragen om uw inloggegevens in te voeren, vooral wanneer de URL's niet overeenkomen met het opgegeven domein. Verzoeken om gevoelige gegevens die buiten de normale taken vallen, kunnen ook wijzen op een spear phishing-poging.
Voordat u op links klikt of bijlagen opent, plaatst u de muisaanwijzer op de URL's om te controleren of deze overeenkomen met het domein van de afzender. Als in een e-mail om inloggegevens of betalingen wordt gevraagd, belt u de afzender op een bekend nummer (niet het nummer in het bericht) om dit te bevestigen. Controleer de e-mailheaders op afwijkende antwoordadressen en neem contact op met IT als u twijfelt. Verwijder bij twijfel het bericht of meld het als phishing.
Vishing maakt gebruik van telefoontjes of voicemails om zich voor te doen als vertrouwde personen, zoals banken, technische ondersteuning of bedrijfsleiders, om persoonlijke informatie of betalingen te verkrijgen. Bellers creëren vaak een gevoel van urgentie ("Uw account wordt gesloten als u nu niet actie onderneemt") en vervalsen hun beller-ID om legitiem over te komen. Ze kunnen phishing-e-mails versturen en slachtoffers vragen terug te bellen en inloggegevens in te voeren. Deel nooit gevoelige gegevens via ongevraagde telefoontjes; controleer de identiteit via officiële kanalen.
