Er wordt geschat dat er dagelijks zo’n 50.000 phishing mails worden verstuurd in Nederland. Het is dus een wijdverspreid fenomeen, en de meeste mensen hebben dan ook wel eens van phishing gehoord. Dit betekent gelukkig ook dat er al een zeker bewustzijn bestaat omtrent phishing, maar juist door het enorme aantal phishing pogingen worden er helaas nog steeds mensen de dupe. Wat is phishing nu precies en welke gevolgen kan het hebben? En wat kan je doen om jezelf zo goed mogelijk te beschermen?
Wat is phishing?
Phishing is een bepaald type oplichting via het internet. De term vindt zijn oorsprong in het Engelse woord fishing, wat vissen of hengelen betekent. Bij phishing “hengelen” criminelen bij nietsvermoedende slachtoffers namelijk naar belangrijke informatie. Als het criminelen lukt belangrijke informatie te ontfutselen, wordt deze gebruikt om het slachtoffer geld afhandig te maken. Ook kan dergelijke informatie gebruikt worden voor identiteitsfraude.
Phishing via valse URL’s en websites
Bij phishing sturen oplichters valse e-mails, zogenaamd afkomstig van een betrouwbare afzender. In deze e-mails proberen criminelen je te bewegen om op een link/URL in de e-mail te klikken. Deze links leiden naar malafide, vervalste websites. Maar als gebruiker heb je dit vaak niet door. Deze websites zien er namelijk authentiek en betrouwbaar uit, en zijn vaak gebaseerd op bestaande online platformen. Zo proberen criminelen veelal de officiële websites van banken na te bouwen. Ook websites als eBay en PayPal worden frequent nagebouwd. Als slachtoffer van phishing denk je dat je op een legitieme site zit, maar dit is dus niet het geval. Zodra je jouw inloggegevens invult, worden je gebruikersnaam en wachtwoord afgelezen door de oplichters.
Phishing via e-mailbijlagen
Een andere manier waarop criminelen informatie stelen, is door malware te verstoppen in een e-mailbijlage. Ook hier krijg je als slachtoffer een authentiek ogende (maar valse) e-mail opgestuurd. In de e-mail wordt verwezen naar een bijlage. Zodra je deze bijlage opent, wordt er ongemerkt malware geïnstalleerd op je computer. Vaak komt deze malware in de vorm van een keylogger. Dit is een programma dat stiekem jouw toetsaanslagen afleest en bijhoudt. Dus als je gebruikersnamen en wachtwoorden intypt, dan registreert de keylogger dit en stuurt deze informatie door naar de oplichters.
Phishing via de telefoon
Pogingen tot phishing geschieden ook via de telefoon. Een phishing telefoontje volgt meestal als oplichters reeds belangrijke informatie van je hebben verzameld, bijvoorbeeld doordat je op een nagebouwde site je gegevens hebt ingevuld, of ongemerkt een keylogger hebt geïnstalleerd. Naast jouw inloggegevens hebben de criminelen soms nog extra informatie nodig, bijvoorbeeld een TAN-code om geld van jouw bankrekening af te kunnen schrijven. De oplichters loggen met jouw gegevens in op jouw online bankaccount, en bellen jou vervolgens op. Hierbij doen ze zich voor als medewerkers van de bank, en vragen je enkele gegevens te bevestigen. Vaak gebruiken ze een smoes dat er iets aan de hand is met je bankrekening, of dat de bank een storing ondervindt. De criminelen boeken vanaf jouw rekening stiekem geld over naar zichzelf, en vragen jou via de telefoon om de informatie die ze nodig hebben om de transactie te bevestigen (bijvoorbeeld een TAN-code).
Enkele tips om phishing te herkennen en jezelf te beschermen
Tip 1: Kijk kritisch naar de afzender van een e-mail
Ontvang je een e-mail, kijk dan of het e-mailadres van de afzender er betrouwbaar uitziet. Een officiële instelling zal waarschijnlijk geen generiek Gmail-, outlook of hotmail adres gebruiken, maar een e-mailadres dat gekoppeld is aan de naam van de organisatie. Een authentieke e-mail van PayPal eindigt bijvoorbeeld veelal op @paypal.nl, terwijl een mail van de ING vaak eindigt op @ing.nl. Vooral het gedeelte na het apenstaartje (“@”) is belangrijk om in de gaten te houden.
Tip 2: Wijze van bejegening en taalgebruik
Phishing mails worden vaak op grote schaal verstuurd. Oplichters verzaken daarbij veelal om een persoonlijke aanheft te gebruiken. In plaats daarvan wordt een generieke aanheft gebruikt, als “geachte klant”. Ook als er taal-, spellings- of stijlfouten in een mail staan, kan dit een indicatie zijn dat het een poging tot phishing betreft. Maar let erop dat er ook phishing berichten circuleren die in perfect Nederlands geschreven zijn.
Tip 3: Let op afwijkende URL’s/links
In een phishing mail gebruiken oplichters veelal URL’s die leiden naar valse websites. Vaak proberen oplichters een URL zo authentiek mogelijk te laten lijken, een fenomeen dat wordt aangeduid met URL-spoofing. Een dergelijke URL wijkt op zeer subtiele punten af van een authentieke URL, bijvoorbeeld door minuscule spelfouten. Soms is het echter direct duidelijk dat een URL verwijst naar een vreemd, niet-gerelateerd webadres. Als je met je muis over een link zweeft, zie je links onderin het scherm het webadres waar de URL naar verwijst. Klik nooit op verdachte links, maar navigeer eventueel zelfstandig naar de website die je wilt bezoeken i.p.v. de link te gebruiken.
Tip 4: Heeft de website een SSL-certificaat?
De meeste websites van grote (financiële) instellingen hebben een uitgebreid gevalideerd SSL-certificaat. Dit betekent dat alle data die je verstuurt via een beveiligde verbinding loopt, en doorgaans worden dergelijke certificaten alleen uitgegeven aan betrouwbare websites. Je herkent een website met een SSL-certificaat aan de groene tekst en het groene slotje in de adresbalk van de browser, zoals ook bij mijnonlineidentiteit.nl het geval is:
Tip 5: Verdachte bijlagen
Bekijk kritisch wat voor bestanden er als bijlage worden meegezonden met een e-mail. Malware kan verstopt zitten in een breed scala aan bestandstypen. Zorg ervoor dat je goede malware scanners op al je apparaten installeert, en dat deze software altijd up-to-date is. Mocht je dan onverhoopt een verdachte bijlage met malware openen, dan wordt de dreiging in veel gevallen onderschept door de anti-malware software.
Tip 6: Geef nooit zomaar persoonlijke gegevens af
Een algemene stelregel is dat voorzichtigheid en terughoudendheid altijd goed is waar het gaat om het delen van persoonlijke informatie. Bekijk altijd goed of het noodzakelijk en veilig is ergens je bankrekeningnummer, creditcardgegevens, BSN of andere belangrijke gegevens af te geven of in te vullen. Ontvang je een telefoontje waarbij wordt gevraagd naar vertrouwelijke informatie, verifieer dan dat je met een legitiem iemand spreekt. Twijfel je hieraan, dan kan het wijsheid zijn om de verbinding te verbreken en de desbetreffende organisatie zelf terug te bellen via het officiële nummer. Dan weet je zeker dat je met een betrouwbaar iemand spreekt die de organisatie ook daadwerkelijk vertegenwoordigt.
Slachtoffer geworden van phishing. Wat nu?
Als je het slachtoffer bent geworden van phishing, wordt aangeraden om:
[tie_list type=”checklist”]
- De bank te informeren over de phishing
- Inloggegevens van online bankaccounts te blokkeren of te wijzigen
- Direct de politie in te schakelen en al het bewijs omtrent de phishing poging te verzamelen en te overhandigen
- Je computer te scannen op eventuele malware software
[/tie_list]
Veilig internetten
Wil je meer leren over veilig internetten? Lees dan ook hoe je ransomware, spyware en cryptoware kan voorkomen en verwijderen of bekijk het artikel “10 tips voor veilig internetten!”. Voor al onze tips over veilig internetgebruik ga je naar de categorie “Veilig internetten”.
[box type=”shadow” align=”alignleft” ]Dit artikel is geschreven door David Janssen. David is Psycholoog / Analist online veiligheid en is medeoprichter van VPNgids.nl en VPNOverview.com.[/box]