Spear-phishing
Your public profile is their attack playbook.
Wat is Spear-phishing?
Een conferentielezing. Een vleiende vervolg-e-mail van een bewonderend toehoorder. Een link naar een samenwerkingsportal met uw sessie-opnames. Alles klopt. Uw lezingstitel, de naam van uw collega, uw huidige project. Maar elk detail is afkomstig uit een enkel LinkedIn-bericht. In deze simulatie stapt u in de rol van een Senior Product Analyst die onlangs op een brancheconferentie heeft gesproken. Er arriveert een e-mail die verwijst naar specifieke details van uw presentatie en team. De toon van de afzender is professioneel en complimenteus. Het samenwerkingsportal ziet er verzorgd en legitiem uit. Niets activeert de gebruikelijke rode vlaggen. Dat is nu precies het punt. Spear phishing werkt omdat aanvallers tijd investeren in verkenning. Volgens Barracuda Networks is spear phishing verantwoordelijk voor slechts 0,1% van alle e-mailaanvallen, maar voor 66% van alle inbreuken. Dit zijn geen massaal verstuurde Nigeriaanse prins-e-mails. Het zijn chirurgische treffers opgebouwd uit openbaar beschikbare informatie. U traceert precies hoe een aanvaller van een social media-bericht tot een volledig gepersonaliseerde phishing-e-mail komt. U inspecteert URL's, analyseert afzenderheaders en oefent het verifiëren van contacten via kanalen die de aanvaller niet beheerst. Aan het einde begrijpt u waarom uw professionele zichtbaarheid zowel een carrièretroef als een aanvalsoppervlak is.
Wat je leert in Spear-phishing
- Identificeer hoe aanvallers open-source intelligence (OSINT) gebruiken om gepersonaliseerde phishing-e-mails op te stellen
- Analyseer e-mailheaders en afzenderdomeinen op tekenen van spoofing of imitatie
- Pas onafhankelijke verificatieprocedures toe om onbekende contacten te valideren
- Herken het verschil tussen massaphishing en gerichte spear phishing-technieken
- Evalueer uw eigen social media-aanwezigheid op informatie die een aanval kan voeden
Spear-phishing — Trainingsstappen
-
Een productieve ochtend
Vorige week gaf Alice haar eerste grote conferentiepresentatie op TechForward Summit 2026. Ze sprak over realtime dreigingsinformatie voor fintech en de lezing was een schot in de roos. Ze postte erover op LinkedOut en de betrokkenheid was ongelooflijk.
-
De buzz controleren
Alice is benieuwd hoe haar LinkedOut-post over de conferentie presteert. Ze opent haar browser om de verloving te controleren.
-
Het bericht waarmee het allemaal begon
Het bericht heeft een indrukwekkende betrokkenheid opgeleverd: meer dan 200 reacties en tientallen reacties van branchegenoten. Alice is trots op de professionele zichtbaarheid.
-
Een vleiende e-mail
Er komt een nieuwe e-mail binnen van Kevin Park, Solutions Director bij Nexelion Partners. Hij zegt dat hij de lezing van Alice op de TechForward Summit heeft bijgewoond en een samenwerkingsmogelijkheid wil bespreken.
-
Het persoonlijke tintje
De e-mail is indrukwekkend specifiek. Kevin verwijst naar de titel van de lezing van Alice, noemt Marcus bij naam en weet zelfs van Project Sentinel. Hij beweert met Marcus te hebben gesproken bij de netwerkmixer. Alice voelt zich gevleid. Een Solutions Director van een partnerbedrijf heeft haar lezing gezien en wil samenwerken. Ze besluit het gedeelde materiaal te bekijken.
-
Het samenwerkingsportaal
De link opent wat lijkt op het documentuitwisselingsportaal van Nexelion Partners. Om toegang te krijgen tot de gedeelde bestanden moet Alice inloggen met haar zakelijke e-mailadres.
-
Er is iets misgegaan
In plaats van de gedeelde documenten geeft de portal een foutmelding weer waarin wordt beweerd dat de sessie is verlopen. Alice doet het af als een tijdelijk probleem en keert terug naar haar andere werk.
-
Kennischeck
Laten we, voordat we verder gaan, nadenken over wat er net is gebeurd.
-
Beveiligingswaarschuwing
Er zijn drie dagen verstreken. Alice ontvangt een dringende e-mail van het Prismwave Security Operations Center. Haar account is gehackt.
-
Onderzoeksportaal
Alice moet het onderzoeksrapport bekijken om de volledige omvang van de inbreuk te begrijpen.