Massa-phishing schiet honderdduizenden mails de wereld in en hoopt dat 0,1 procent klikt. Spear phishing kiest een handvol mensen uit en maakt voor elk een mail die klopt met hun werk, projecten en contacten. Het werk per slachtoffer is hoger, de slagingskans ook. In gerichte aanvallen op Nederlandse organisaties klikt 30 tot 50 procent van de doelgroep door, tegenover 3 tot 5 procent bij massa-phishing.
Verschil met massa-phishing
Massa-phishing gebruikt sjablonen: pakketbezorger, bank, Microsoft. Spear phishing gebruikt context. De aanvaller noemt het project waar u aan werkt, de leverancier waar u net mee mailde, of de collega die zojuist op vakantie ging. Die context komt niet uit de lucht. Het komt uit OSINT.
OSINT op LinkedIn en website
LinkedIn levert namen, functies, recente projecten en collega's. Bedrijfswebsites tonen organisatiestructuur, persberichten en jaarverslagen. Eventbrite en jaarcongres-deelnemerlijsten verraden waar uw managers naartoe gaan. GitHub en NPM-pakketten verklappen welke technologie uw IT-team gebruikt. Een aanvaller besteedt twee tot vier uur per doelwit en bouwt daarmee een dossier dat genoeg is voor een geloofwaardige aanval.
Drie doelgroepen
De CFO of financieel directeur, voor BEC en CEO-fraude met grote bedragen. De HR-directeur, voor toegang tot personeelsdata, salarisbestanden en BSN-nummers. De IT-admin met domain-rechten, voor lateraal verkeer en uitbreiding van toegang naar serverparken en cloudomgevingen. Deze drie functies zien onder gerichte aanvallen tien keer meer phishing-druk dan een gemiddelde medewerker.
MFA-vermoeidheid
Een aanvaller die uw wachtwoord heeft, triggert MFA-pushmeldingen totdat u "Goedkeuren" klikt om er vanaf te zijn. Dit heet push-fatigue of MFA-bombing. De Uber-hack van 2022 verliep zo. Verdediging: schakel number-matching in (Microsoft Authenticator vraagt u een nummer over te typen) of stap over op phishing-resistente factor zoals FIDO2-keys. Microsoft Entra biedt voorwaardelijk toegang waarmee u afwijkende loginpogingen direct blokkeert.
Trainen op de echte aanval
Generieke training werkt niet voor wie spear phishing-doelwit is. Bouw scenario's op basis van de feitelijke OSINT die over deze mensen beschikbaar is. Hoe zou een aanvaller ze benaderen? PhishWise levert maatwerk-simulaties waar u zelf de context invoert: project, leverancier, collega-naam. De eerste keer schrikt het de doelgroep, de tweede keer leren ze patronen herkennen.
Wat als het toch raakt
Snelle isolatie van het account, intrekken van OAuth-tokens en sessie-cookies, en review van mailregels die de aanvaller heeft aangemaakt. Microsoft Defender voor Office 365 toont in het Threat Explorer welke mails aankwamen en waar ze klikken plaatsten.
Verwant: Freelance Cybersecurity consultant inhuren, Freelance Microsoft 365 consultant.