Soorten phishing aanvallen: een volledig overzicht

1. E-mail phishing (massa-phishing)

De klassieke en meest voorkomende vorm. Een aanvaller stuurt dezelfde nep-e-mail naar duizenden of zelfs miljoenen ontvangers tegelijkertijd. Het doel is breed: bankgegevens stelen, wachtwoorden onderscheppen of malware installeren.

Massa-phishing is herkenbaar aan generiek taalgebruik ("Geachte klant"), merkloze of juist nagevbootste huisstijl van bekende merken zoals ING, PostNL, Microsoft of de Belastingdienst, en links naar domeinen die op het eerste gezicht kloppen maar bij nader inzien afwijken.

Herkenningspunten:

• Aanhef zonder naam of met een vreemde naam
• Urgentie: "reageer binnen 24 uur"
• Links met afwijkende domeinen (bijv. ing-veilig.nl, postni.com)
• Verzoek om wachtwoord, pincode of betaalgegevens

2. Spear phishing

Spear phishing is de gerichte variant: de aanvaller richt zich op een specifieke persoon of kleine groep, met gepersonaliseerde inhoud. De e-mail lijkt afkomstig van een collega, klant of zakenpartner en bevat details die het vertrouwen wekken: uw naam, uw bedrijf, een lopend project.

Spear phishing vereist meer voorbereiding van de aanvaller - hij verzamelt informatie via LinkedIn, de bedrijfswebsite of eerder gelekte data - maar is ook aanzienlijk effectiever. Klikpercentages bij spear phishing liggen gemiddeld drie keer hoger dan bij massa-phishing.

Herkenningspunten:

• E-mail bevat uw naam, functie of een verwijzing naar een concreet project
• Afzenderadres lijkt op een vertrouwde contactpersoon maar wijkt subtiel af
• Het verzoek valt net buiten de normale werkprocedures

3. Whaling (aanvallen op directeuren)

Whaling is spear phishing gericht op het senior management: directeuren, CFO's en andere "grote vissen". Het doel is toegang krijgen tot financiele systemen, gevoelige bedrijfsdata of grote betalingen autoriseren.

Whaling-aanvallen zijn extreem goed voorbereid. De aanvaller kent de organisatiestructuur, de stijl van interne communicatie en de lopende transacties. Soms wordt de aanval gecombineerd met een telefoongesprek ("vishing") om de urgentie te verhogen.

Herkenningspunten:

• Komt op het bureau van hogere management terecht
• Vraagt om goedkeuring van een transactie of vertrouwelijke informatie
• Verwijst naar actuele bedrijfssituaties of bekende zakenpartners

4. CEO-fraude (Business Email Compromise)

Bij CEO-fraude (ook BEC of Business Email Compromise) doet de aanvaller zich voor als een directeur of manager en vraagt een medewerker om een spoedoverboeking te doen of vertrouwelijke gegevens te delen. De urgentie en het gezag van de "afzender" ondermijnen de normale controleprocedures.

CEO-fraude kost Nederlandse bedrijven jaarlijks tientallen miljoenen euro's. Het is een van de weinige aanvallen waarbij technische filters volledig tekortschieten: de e-mail bevat geen links, geen bijlagen, geen malware - alleen een geloofwaardig verzoek.

Herkenningspunten:

• Afzender claimt een leidinggevende te zijn
• Vraagt om spoedoverboeking of geheimhouding ("zeg niets tegen anderen")
• Stuurt door naar een onbekend rekeningnummer
• Stuurt vanuit een privé e-mailadres of een adres met kleine afwijking

5. Smishing (phishing via sms)

Smishing is phishing via sms of berichtendiensten zoals WhatsApp. De ontvanger krijgt een bericht van zijn "bank", pakketdienst of overheid met een link naar een nepwebsite of een verzoek om terug te bellen.

Sms-berichten hebben geen spamfilter zoals e-mail. Mensen zijn minder waakzaam op hun telefoon dan op een werkcomputer. Bovendien zijn volledige URL's op mobiel moeilijk te controleren. Dat maakt smishing bijzonder effectief.

Herkenningspunten:

• Onverwacht bericht van bank, pakketdienst of overheid
• Link in het bericht leidt naar een vreemde URL
• Verzoek om PIN, wachtwoord of betaalgegevens via sms

6. Vishing (phishing via telefoon)

Vishing (voice phishing) is phishing via een telefoongesprek. De aanvaller belt als medewerker van de bank, Microsoft, de overheid of een IT-afdeling en vraagt om toegang tot systemen, inloggegevens of betalingen.

Vishing is moeilijk te herkennen omdat menselijke stem autoriteit uitstraalt. Aanvallers gebruiken spoofing-technologie om het telefoonnummer van een vertrouwde organisatie na te bootsen. In combinatie met gegevens uit een eerder datalek is de aanval overtuigend.

Herkenningspunten:

• Oproep vraagt om directe actie: "blokkeer uw account nu"
• Verzoek om inloggegevens of toegang tot uw computer (via TeamViewer of AnyDesk)
• Beller claimt van een bekende organisatie te zijn maar belt onverwacht

7. Clone phishing

Clone phishing is een geavanceerde techniek waarbij de aanvaller een legitieme e-mail kopieert die eerder is verstuurd - van een bank, leverancier of collega - en deze opnieuw verstuurt met een aangepaste bijlage of link. Omdat de ontvanger de originele e-mail al heeft gezien, daalt de waakzaamheid drastisch.

Clone phishing vereist dat de aanvaller toegang heeft gehad tot eerdere communicatie - via een eerder gehackt account, een datalek of social engineering. Het is daardoor minder frequent maar ook moeilijker te herkennen.

Herkenningspunten:

• Lijkt op een e-mail die u eerder ontving, maar met andere bijlage of link
• Afzendernaam klopt, maar het e-mailadres wijkt subtiel af
• Reden voor opnieuw sturen is vaag of onlogisch

Welke soorten phishing testen bedrijven het meest?

Bij phishing simulaties door CoBoo worden alle bovenstaande soorten ingezet, afhankelijk van het doel en de sector van uw organisatie. De meest gebruikte scenario's in Nederland zijn:

• Nep-Microsoft 365 inlogpagina (meest voorkomend in kantooromgevingen)
• Nep-factuur van bekende leverancier (financiele afdelingen)
• Pakketbericht van PostNL of DHL (breed toepasbaar)
• CEO-fraude scenario (management en finance)
• IT-helpdesk verzoek om wachtwoord (IT-gerelateerde medewerkers)

Door meerdere soorten phishing te simuleren, krijgt u een volledig beeld van de kwetsbaarheid van uw organisatie - per afdeling en per type aanval.