Phishing is oplichting waarbij een aanvaller doet alsof hij iemand is die je vertrouwt, een bank, een collega, een leverancier, om je iets waardevols te ontfutselen: een wachtwoord, een kaartnummer of een overboeking. De meeste phishing komt per e-mail binnen, maar duikt ook op in sms’jes, telefoontjes en nep-inlogpagina’s.

Het klassieke voorbeeld is de ‘je account is geblokkeerd’-mail. Hij lijkt van Microsoft of je bank te komen, compleet met logo, en zet je onder druk om nu meteen op een link te klikken en je gegevens te ‘verifiëren’. Die link leidt naar een neppagina die alles vastlegt wat je intypt. De hele truc draait op urgentie en vertrouwen, niet op slimme code, en daarom trapt ook een slim iemand erin. Vanaf daar kan een aanvaller geld stelen, of stilletjes malware installeren die de deur openzet voor ransomware.

Gerichte varianten zijn erger. Spear phishing mikt op één persoon met naam, vaak iemand van de financiële afdeling, met een mail die van de directeur lijkt te komen en om een spoedbetaling aan een nieuwe leverancier vraagt. Omdat hij op maat is, met echte namen en echte context erin verwerkt, ontbreken de gebruikelijke algemene alarmbellen.

Phishing is het startpunt van een groot deel van de echte datalekken, want het slaat je firewalls helemaal over en gaat recht op de mens af. Training helpt, maar technische vangrails helpen meer. Eén klik kan tot een duur datalek leiden, dus gelaagde verdediging wint van hopen dat niemand ooit een fout maakt.

Bij TopDevs verkleinen we de schade standaard door multifactorauthenticatie af te dwingen op de systemen die we bouwen, zodat één gestolen wachtwoord niet genoeg is om binnen te komen.