Een phishing kit is een verzameling van software tools die het voor mensen met weinig of geen technische vaardigheden makkelijker maakt om een phishing exploit te lanceren. Phishing is een vorm van internetzwendel waarbij de dader vervalste e-mails of sms-berichten verstuurt die van een legitieme bron afkomstig lijken te zijn. Het doel is om de ontvanger te verleiden tot het uitvoeren van een specifieke actie waar de aanvaller voordeel bij heeft - meestal gaat het erom het slachtoffer op een kwaadaardige link te laten klikken, een geïnfecteerde bijlage te laten openen of toestemming te laten geven voor een overboeking van geld.
Een phishing-kit bevat meestal software voor het ontwikkelen van websites met een eenvoudige, low-code/no-code grafische gebruikersinterface (GUI). Dit soort crimeware wordt meestal geleverd met e-mailsjablonen, afbeeldingen en voorbeeldscripts die kunnen worden gebruikt om overtuigende imitaties van legitieme correspondentie te maken. Voor een meerprijs kunnen sommige kits ook lijsten met e-mailadressen, telefoonnummers en software voor het automatiseren van het malware-distributieproces bevatten.
Veiligheidsexperts raden gebruikers aan niet te klikken op links in onverwachte berichten die afkomstig lijken te zijn van een site waarmee ze financiële zaken doen. Als gebruikers niet zeker weten of een bericht geldig is, moeten ze direct naar de officiële site gaan en daar informatie zoeken, of contact opnemen met de klantenservice van de site.
Phishing-as-a-Service kits (PaaS-kits)
Volgens Cyren, een SaaS-beveiligingsprovider, zijn er op het dark web cloud-gebaseerde phishing-as-a-service kits beschikbaar voor slechts 50 dollar per maand. Wanneer phishingwebsites worden gehost op legitieme openbare clouddiensten, kunnen criminelen legitieme domeinen en SSL-certificaten presenteren, waardoor zelfs de meest ervaren eindgebruiker kan denken dat een bepaalde phishingwebpagina of -e-mail betrouwbaar is.
populaire beveiligingsuitbuitingen
Spear phishing - een aanval via e-mail waarbij een specifieke organisatie of persoon wordt nagebootst, op zoek naar ongeoorloofde toegang tot gevoelige informatie.
Whaling - een specifiek type phishing-aanval dat is gericht op hooggeplaatste werknemers, zoals de CEO of CFO.
SMiShing - een beveiligingsaanval waarbij de gebruiker een sms-bericht ontvangt dat is bedoeld om hem of haar te verleiden tot het downloaden van een Trojaans paard, virus of andere malware.
Vishing - een elektronische fraudetactiek die wordt uitgevoerd via voicemail, VoIP (voice over IP), vaste telefoon of mobiele telefoon.