Phishing is een vorm van online oplichting waarbij aanvallers proberen slachtoffers te misleiden. Ze doen zich voor als betrouwbare organisaties zoals banken, overheidsdiensten of bekende bedrijven. Het doel is om persoonlijke gegevens te stelen zoals wachtwoorden, creditcardnummers of identificatiebewijzen.
De meeste phishing-aanvallen gebeuren via e-mail. Een slachtoffer ontvangt een bericht dat lijkt te komen van een legitieme afzender. Het bericht bevat vaak een dringende oproep tot actie. Bijvoorbeeld: "Uw account wordt geblokkeerd tenzij u binnen 24 uur uw gegevens verifieert." De link in het bericht leidt naar een valse website die er identiek uitziet als de echte. Zodra het slachtoffer daar inlogt, hebben de criminelen de inloggegevens buitgemaakt.
Er zijn verschillende soorten phishing. Spear phishing is gericht op specifieke personen of organisaties en bevat gepersonaliseerde informatie. Smishing gebruikt sms-berichten in plaats van e-mail. Vishing gebeurt via telefoongesprekken, waarbij oplichters zich voordoen als medewerkers van bijvoorbeeld de bank. Whaling richt zich specifiek op hooggeplaatste managers en directeuren.
Bij KeurigOnline nemen we phishing zeer serieus. We beveiligen onze hosting-omgeving met moderne technieken zoals SPF, DKIM en DMARC. Deze protocollen helpen om e-mailspoofing te voorkomen. Voor onze klanten bieden we geavanceerde spamfilters en beveiligingstrainingen aan. Het herkennen van phishing-pogingen is de eerste verdedigingslinie tegen deze aanvallen.
De term "phishing" verscheen voor het eerst in 1996, maar de aanvalstechniek ontstond al eerder in het midden van de jaren negentig. Hackers richtten zich op America Online (AOL), destijds de grootste internetprovider. Ze gebruikten software zoals AOHell om wachtwoorden en creditcardnummers te stelen.
De spelling met "ph" komt van phreaking, een eerdere vorm van fraude waarbij mensen gratis telefoongesprekken pleegden. De hackers die zich bezighielden met phreaking heetten "phreaks" en gebruikten de "ph"-spelling ook voor hun nieuwe oplichting via e-mail.
In de beginjaren verstuurden phishers massale e-mails naar AOL-gebruikers. Ze deden zich voor als AOL-medewerkers en vroegen om accountgegevens of betalingsinformatie. Veel mensen trapten erin omdat dit een ongekende aanval was. AOL voegde daarom waarschuwingen toe aan alle e-mail en instant messaging: "Niemand van AOL zal ooit om je wachtwoord of betalingsgegevens vragen."
In 2001 breidden phishers hun doelwitten uit naar online betalingssystemen. De eerste aanval richtte zich op E-Gold in juni 2001. Daarna volgden aanvallen op eBay en PayPal. Vanaf 2003 richtten criminelen zich massaal op banken en financiële instellingen.
De oprichting van de Anti-Phishing Working Group (APWG) in 2003 markeerde een keerpunt. Deze internationale coalitie van bedrijven, wetshandhavingsinstanties en onderzoekers werkt samen om phishing te bestrijden. De APWG publiceert regelmatig rapporten over phishing-trends en helpt organisaties bij het opzetten van verdedigingsmechanismen.
Belangrijke ontwikkelingen in de strijd tegen phishing waren de introductie van e-mailauthenticatieprotocollen zoals SPF (2003), DKIM (2005) en DMARC (2012). Deze technologieën maken het moeilijker voor aanvallers om e-mailadressen te vervalsen.
Officiële organisaties en standaarden:
- Anti-Phishing Working Group (APWG) - APWG Official Website - Internationale coalitie tegen phishing sinds 2003
- NIST (2023) - NIST Phish Scale User Guide - Wetenschappelijke methode voor phishing-detectie
- CISA - Phishing Guidance: Stopping the Attack Cycle - Richtlijnen voor federale organisaties
Geschiedenis en encyclopedische bronnen:
- Wikipedia - Phishing (Nederlandse Wikipedia) - Uitgebreide achtergrond en geschiedenis
- Phishing.org - History of Phishing - Gedetailleerde geschiedenis van phishing-aanvallen
- Cofense - The History of Phishing Attacks - Evolutie van phishing-tactieken
Nederlandse bronnen:
- Autoriteit Persoonsgegevens - Phishing herkennen en melden - Nederlandse richtlijnen voor consumenten
