Phishing: argeloze mensen naar een valse gekopieerde website lokken, ze laten inloggen met hun inlognaam en wachtwoord of creditcardnummer, en ze geld afhandig te maken. Het overkomt één op de vier Nederlanders, zo blijkt uit onderzoek van de Fraudehelpdesk.
Niet gek dus dat de schade door phishing in 2018 verviervoudigde ten opzichte van 2017. Volgens de Betaalvereniging Nederland maakten criminelen vorig jaar bijna vier miljoen euro buit door phishingfraude bij internetbankieren.
Phishing neemt veel vormen aan. Cybercriminelen zijn namelijk heel creatief en gaan steeds geraffineerder te werk.
Niet alleen wordt de kwaliteit van valse mails en websites steeds beter, criminelen benaderen hun slachtoffers vaker via social media, telefoon of een combinatie daarvan. “Het gaat om die ene click”, zegt CEO Stu Sjouwermans van het Amerikaanse bedrijf KnowBe4, dat werknemers en consumenten traint op het gebied van internetveiligheid.
Phishing: nepmails en social media
De valse e-mail blijft de meest veel voorkomende vorm van phishing. Een mail is gemakkelijk naar heel veel mensen tegelijk te versturen. Bovendien is het vaak de eerste stap van een hack. “De eerste stap in de zogeheten attack chain“, zegt Sjouwerman tegen Business Insider.
Maar internetoplichters maken ook dankbaar gebruik van social media, signaleert Sjouwerman. "In de VS en het Verenigd Koninkrijk is het met name LinkedIn dat heel fraudegevoelig is en waar slachtoffers naar een valse inlogpagina geleid worden. Log je in, dan hebben ze je gegevens, kunnen ze naar je profiel en kunnen ze bij je contacten."
Volgens Sjouwerman is dat de opmaat naar het "high target spearphishing", de veel gevaarlijker en persoonlijk gerichte aanval. Dat laatste is volgens Sjouwerman ook in lijn met de trends die hij signaleert: "De aanvallen worden steeds specifieker en persoonlijker, de kwaliteit van phishing neemt toe en veel phishing-aanvallen worden geautomatiseerd."
In het geval van nepmails is het doel doorgaans dat je op een link of bijlage moet klikken of gegevens moet aanleveren. Maar aan wat voor soort mails moet je dan denken?
Hieronder volgen zes voorbeelden van de Fraudehelpdesk.
Mails van je bank. Het kan gaan om een enquête, een verzoek tot verificatie van je identiteit, de mededeling dat je een nieuwe bankpas moet aanvragen, dat de site vernieuwd wordt of, jawel, dat je moet oppassen voor internetcriminelen!
Het verzoek of een aanmaning om een (spook)factuur te betalen. Van de Belastingdienst, je telecomprovider of bol.com.
Nep-meldingen van IT-afdelingen van dienstverleners zoals Ziggo of Microsoft dat je e-mail-account is geblokkeerd, of dat er een belangrijke update dan wel upgrade gaat plaatsvinden.
Of de melding dat je vanavond je favoriete serie niet meer kunt kijken...
Ook populair: de nep-winactie waarbij je vouchers of producten van honderden euro’s kunt winnen. Correctie: al gewonnen hebt! Je hoeft alleen nog maar te klikken op een link of een speciaal nummer te bellen. En dan gaat de teller lopen, alleen niet die van jou. In het gunstigste geval kom je terecht in een eindeloze, telefonische quiz op een duur betaalnummer. Of je krijgt een sms-abonnement in de maag gesplitst.
Wat steeds vaker voorkomt: de nepmelding vanuit je social media-account. We brengen steeds meer tijd op social media door en dat trekt ook ongewenste aandacht.
Hoe herken je phishing mails?
Oplichters hebben duizenden manieren om jou het leven zuur en duur te maken, maar 70 procent van alle hacks begint met een phishingmail.
Het is dus belangrijk om die eerste verkeerde stap te voorkomen en nepmails herkennen. De Consumentenbond heeft op haar site daar een aantal mooie 'rode vlaggen' voor.
Zo herken je een phishingmail en hier moet je op letten:
1. Herken foute links
Zo zie je waar een link echt naar leidt:
Heb je een pc of laptop? Zweef dan met het muispijltje boven een link. Linksonder op het scherm of vlak boven de muiscursor verschijnt het webadres waarnaar de link verwijst.
Op je smartphone of tablet: druk de link in totdat er een venstertje verschijnt met het webadres.
Een correct webadres bestaat uit de naam van het bedrijf, gevolgd door een extensie. Maar let op: extra tekst vóór de domeinnaam moet gescheiden zijn met een punt. Extra tekst achter de domeinnaam moet gescheiden zijn door een schuine streep (‘/’). Valse webadressen zijn bijvoorbeeld login-businessinsider.nl (geen punt voor de domeinnaam) en abnamro.nl.nieuwsbrief2018.nl (geen ‘/’ achter de domeinnaam).
2. Verdachte afzenders en onderwerpen
Wees extra alert op e-mails met onderwerpen als bankzaken, incasso’s, vorderingen, boetes, facturen, gemiste pakketleveringen, autoschademelding of zaken die betrekking hebben op je e-mailaccount.
Veel voorkomende thema's bij nepmails in het geval van bank- of creditcardzaken zijn bijvoorbeeld een 'beveiligingsprobleem' of het aanvragen van een nieuwe betaalpas.
3. Kwaadaardige bijlagen
Veel e-mailbijlagen bevatten malware, zoals ransomware, software die je computer kan overnemen. Let goed op de volgende bestandstypen als ze in een mailbijlage staan:
- .zip: een zip-bestand wordt gebruikt om de inhoud (vaak een .exe-bestand) te maskeren.
- .exe: een programmaatje, altijd foute boel, druk erop en het gaat z’n gang
- .js .lnk .wsf .scr .jar: Ook hier geldt: nooit openen! Ze bevatten scripts die malware downloaden.
- .doc: een Word-document. Standaard niet gevaarlijk, maar als het bestand na openen vraagt om het inschakelen van macro’s, doe dat dan niet.
Helaas zijn de extensies (zoals .exe) in Windows standaard verborgen. Schakel bestandsextensies in, zodat je ziet om wat voor bestand het gaat.
Typ Windowstoets + R, typ in het venster ‘control folders’ en druk op Enter. In het tabblad Weergave verwijder je het vinkje voor ‘Extensies voor bekende bestandstypen verbergen’.
4. Controleer de afzender
Een vreemd e-mailadres als afzender is vaak een aanwijzing voor phishing. Een fout e-mailadres herken je op vergelijkbare wijze als een foute link.
Het deel achter het @-teken moet eindigen op de domeinnaam. De tekst voor de domeinnaam moet gescheiden zijn met een punt.
Goed: [email protected]
Alarm: [email protected]
5. Onpersoonlijke aanhef
Pas op bij een aanhef als ‘Geachte klant’ bij betaal- of bankzaken. Het is wel een beetje een gedateerde waarschuwing, want een persoonlijke aanhef is namelijk helemaal geen garantie voor een goede e-mail. Een zichzelf een beetje respecterende cybercrimineel heeft je persoonsgegevens al lang gehackt.
6. Fout rekeningnummer
Staat er in een e-mail een rekeningnummer, controleer dit dan op de echte website van het bedrijf.
De meeste banken hebben inmiddels naam-nummer-controle ingevoerd, zodat een oplichter niet zomaar een willekeurige naam als rekeninghouder kan opgeven.