Spearphishing is een gerichte aanval van cybercriminelen op specifieke personen, instellingen of bedrijven. Het doel is om gevoelige informatie, zoals accountgegevens of financiële gegevens via online communicatiekanalen in handen te krijgen. Nu weet jij vast wel dat je niet zomaar op linkjes in een e-mail moet klikken of bijlagen moet downloaden. Maar hoe komt het dan dat spearphishing toch zo succesvol is voor cybercriminelen? Om dat uit te leggen, sta ik eerst even stil bij het verschil tussen ‘spearphishing’ en ‘phishing’.
Spearphishing vs phishing
Het is niet zo vreemd als je phishing en spearphishing door elkaar haalt. In beide gevallen gaat het om een online aanval op personen, instellingen of bedrijven door cybercriminelen met kwade bedoelingen. Toch is er een belangrijk verschil tussen phishing en spearphishing. Als cybercriminelen phishing mails sturen, gooien ze als het ware een groot net uit in de hoop dat ze daar iets in vangen. Er wordt een enorm aantal mailtjes verzonden naar zoveel mogelijk potentiële slachtoffers. Bij spearphishing hebben de cybercriminelen specifieke slachtoffers in het vizier en is de cyberaanval dus doelgericht. Daarom wordt spearphishing gezien als een gevaarlijkere vorm van phishing, die moeilijker te herkennen is.
'Het maakt niet uit welke functie je hebt binnen de organisatie. Ook jij kunt het doelwit zijn.'
Nu je een duidelijker beeld van spearphishing hebt, leg ik je uit hoe spearphishing werkt. Het draait vooral om slimme technische trucjes waarmee het cybercriminelen lukt om ogenschijnlijk betrouwbaar over te komen. Bij spearphishing ontvang je een e-mail van een ‘betrouwbare’ bron, die niet direct argwaan wekt. De aanvallers gebruiken namelijk vertrouwelijke informatie om jou te benaderen. Daardoor komt het voor dat zelfs op topniveau binnen organisaties vergissingen gemaakt worden, met alle gevolgen van dien. Maar het is niet altijd het topmanagement waarop de spearphishing wordt gericht. Ook jij kunt het doelwit zijn.
Potentiële schade door spearphishing
Net als met de ‘klassieke’ vorm van phishing gaat het de aanvallers om het in handen krijgen van kwetsbare gegevens voor kwaadwillige doeleinden. Voor jou persoonlijk kan dat vervelende consequenties hebben, maar wist je dat het bedrijfsmatig ook voor veel problemen zorgt? Wanneer jij het slachtoffer bent, kunnen de aanvallers via jóu bij vertrouwelijke bedrijfsinformatie. Die kunnen ze bespioneren of openbaren, maar ze kunnen die gegevens ook manipuleren voor eigen gewin. Er is dus sprake van veel meer potentiële schade dan de problemen die het voor jou veroorzaakt, hoe lastig dat voor jou ook kan zijn. De organisatie waar jij voor werkt, wordt uiteindelijk minstens even zwaar getroffen.
Voorbeeld uit de praktijk
Een goed voorbeeld van spearphishing is de cyberaanval op IKEA, eind 2021. Alweer een tijdje geleden, maar de methodiek is nog steeds actueel. Destijds verstuurden de aanvallers intern malware mails via een reply-chain. Dat betekent dat ze gebruik wisten te maken van de reacties op lopende mailcontacten en dus een betrouwbare en persoonlijke indruk maakten. De aanvallers konden hun activiteiten uitbreiden door de gegevens van eerder getroffen slachtoffers te misbruiken. Het resultaat? Niet alleen IKEA, maar ook leveranciers en zakenpartners werden het slachtoffer van de cyberaanval. De malware werd namelijk niet alleen verspreid via de lopende gesprekken van medewerkers onderling, maar ook via de gesprekken met de externe relaties van IKEA. Het directe gevolg was dat de cyberaanval ook schade heeft toegebracht aan ketenpartners.
Wat kun je tegen spearphishing doen?
De reden waarom het zo lastig is om jezelf tegen spearphishing te beschermen, is simpelweg omdat de traditionele (e-mail)beveiliging dit niet blokkeert. De berichten die cybercriminelen versturen, zijn vaak te goed op het doelwit afgestemd. Daardoor wordt de herkenning bemoeilijkt. Digitaal veiligheidsbewustzijn van medewerkers is dan ook enorm belangrijk om grote gevolgen voor een organisatie te voorkomen. Het komt er dus op neer dat je – naast de technologie die je inzet voor e-mailbeveiliging – ook moet letten op het trainen van het cyberbewustzijn bij medewerkers.
Twijfel je over een mailtje dat je van een ‘betrouwbare’ bron hebt ontvangen? Neem dan telefonisch contact op met de afzender om te achterhalen of het mailtje legitiem is. Klopt er iets niet? Ga er dan maar van uit dat er sprake is van spearphishing. Het enige dat je op dat moment nog moet doen, is melding maken van het incident bij de verantwoordelijke binnen jouw organisatie.
Hoe ziet de toekomst van spearphishing eruit?
Afhankelijk van het doel kunnen we stellen dat cybercriminelen zich nu nog vooral richten op de klassieke vorm van phishing omdat het bijbehorende proces vaak geautomatiseerd verloopt. Spearphishing is voor cybercriminelen minder aantrekkelijk omdat het meer tijd en inspanning kost. We kunnen er alleen niet op rekenen dat het zo blijft. Dat heeft alles te maken met het hoge percentage van de slagingskans voor cybercriminelen wanneer ze spearphishing inzetten. Ik durf daarom te beweren dat aanvallen met spearphishing in de toekomst alleen maar zullen toenemen. Dat houdt direct in dat het weten welke digitale gevaren op de loer liggen ook steeds meer op de voorgrond zal treden. Wie onwetend is, ziet de gevaren niet. Daar moet je dus echt mee aan de slag. Het liefst gisteren.
We hebben trouwens enorm handige en praktische cybersecurity tips en tricks voor eindgebruikers. Schrijf je in voor een gratis abonnement, dan houden wij je op de hoogte!
Download ons redpaper
‘Zo’n hack; dat zal mij toch niet gebeuren?’
en geef concreet vorm en inhoud aan cybersecurity in jouw organisatie
