Phishing door de jaren heen

De laatste tijd valt het me op dat phishing-mails nauwelijks meer van echt te onderscheiden zijn. Waar zijn die tijden heen dat je gewoon nog kon hartelijk kon lachen om de verwoede pogingen van deze cybercriminelen. ‘Wie trapt hier nou in?’ was de vraag als je weer een mooie variant aan je collega liet zien. Nu is de vraag meer: ‘Hoe kan ik nou zien dat dit phishing is?’

Gevuld met nostalgische gevoelens en heimwee naar die goede oude tijd heb ik eens gegoogled op de evolutie van phishing, een fenomeen dat al in 1996 op het digitale toneel verscheen. En dat was niet het enige interessante weetje wat ik tegenkwam. Phishing scams gebruiken nep e-mails en websites als lokaas om onvermoedende slachtoffer vrijwillig hun gevoelige informatie te laten blootgeven. Zoals je bij vissen lokaas gebruikt om vissen aan je haakje te krijgen. En daar komt dan ook de naam vandaan. ‘Maar waarom spel je het dan met een ph?’ hoor ik je denken. Nou ook dat was te herleiden. Hackers werden destijds ook wel phreaks genoemd, en phreaking refereerde naar het experimenteren met en bestuderen van telecommunicatiesystemen door deze ondergrondse groepen.

In het begin creëerden phishers via een algoritme creditcardnummers. Klinkt ingewikkeld, en niet echt feilloos, maar het bleek dat ze door de grote hoeveelheid pogingen toch genoeg keren de spreekwoordelijke jackpot wonnen om het rendabel te maken. Met de gecreëerde nep-creditcards openden ze accounts bij de Amerikaanse internetprovider AOL,en deze misbruikten ze om weer andere phishing-pogingen rond te mailen.Totdat AOL er een stokje voor stak.

De volgende stap was wat we nu ook nog tegenkomen in phishing-mails, ze deden zich voor als medewerkers van een bedrijf en verstuurden mails met dringende verzoeken en dreigende gevolgen. En ja, phishers zouden phishers niet zijn, als ze zich dan niet zouden voordoen als medewerkers van dat ene bedrijf dat hun vorige plannetjes dwarsboomde: AOL. Door de jaren heen breidden de phishers hun repertoire uit naar mailtjes van banken, online winkels, postbezorgers, douanes, belastingdiensten en ga zo maar door. Ze werden er ook nog eens steeds beter in, beseften dat ze minder spelfouten moesten maken, en begonnen creatiever te worden in hun pogingen.

Ik verlang echt weer naar de tijd dat ik nog kon gniffelen om de herhaaldelijke melding dat ik de miljoenste bezoeker was, op welke site ik ook kwam, of de kans op tegoedbon van €100 voor de plaatselijk MacDonalds. Klik nu! Dat waren nog eens tijden.

Online information security training

De online training bestaat uit interactieve micro-learnings van elk 7 tot 15 minuten leertijd. Gericht op bewustwording en met praktische oefeningen en tips. 

Handig binnen een campagne, inhoudelijk aanpasbaar en meertalig.