Voorkom phishing: zo trap jij er niet in

© PXimport

Voorkom phishing: zo trap jij er niet in

Geplaatst: 10 april 2018 - 11:55

Aangepast: 24 november 2022 - 13:05

Dirk Schoofs

Uiteraard beschermt een goede virusscanner je pc, maar toch is een heel groot deel van computercriminaliteit niet gebaseerd virussen, maar op eenvoudige psychologie. Bij phishing maakt de crimineel in de eerste plaats gebruik van de menselijke zwakheden en onoplettendheid. Hoe wapen jij je tegen de oplichters die eeuwenoude technieken van misleiding in een nieuw jasje hebben gestoken?

Phishing is het vissen (hengelen) naar persoonsgegevens en inloggegevens van gebruikers. De oplichter stelt zich op als een vertrouwde organisatie om de gebruiker via misleiding gegevens en geld afhandig te maken. Dat gebeurt via e-mails en ook via berichten op sociale media. Deze berichten verwijzen je bijvoorbeeld naar een website die sprekend lijkt op een banksite. Wanneer je inlogt, komen je inloggegevens en wachtwoord echter terecht bij de fraudeur die met die informatie je bankrekening plundert. Sluwe fakemails, alarmerende telefoontjes van een zogenaamde Microsoft-helpdesk, overtuigende nepsites, valse winst- of kortingsbonnen van warenhuizen en psychologische trucs zijn het beproefde wapen van de cyberoplichter.

01 België-Nederland

Er is een opvallend historisch verschil tussen Nederland en België wanneer het gaat om deze vorm van internetcriminaliteit, volgens een onderzoek van Eurostat naar aanleiding van Safer Internet Day uit 2015. 20% van de Belgen gaf aan in dat jaar een virus of computerinfectie te hebben gehad. Nederland is op dit punt het beste jongetje van europa met 6%. Van de Belgen raakte 10% geld kwijt aan internetcriminelen, grotendeels door phishing, van de Nederlanders was dat 3%. In beide landen was ook nog 1% gedupeerd door Er is nog geen Europees rapport voor 2017. Febelfin, de federatie van Belgische banken, berekende al wel dat het aantal fraudegevallen in de eerste negen maanden van 2017 al vijfmaal hoger lag dan in 2015. De favoriete modus operandi van de oplichters blijft phishing. Volgens Febelfin leggen de fraudeurs zich nu vooral toe op kleinere bedragen om zo lang mogelijk onder de radar te blijven.

01 Tien procent van de Belgen en drie procent van de Nederlanders verloor geld online doordat men inging op phishing-mailtjes.

© PXimport

02 Campagnes lonen

We verzekeren onze Belgische lezers dat dit geen cynische Belgenmop is. Hoe komt het dat België zo slecht scoort? Het heeft te maken een combinatie van twee vaststellingen. Eerst met de methodologie die Eurostat heeft gebruikt voor dit rapport: er werden mensen ondervraagd. Jan met de pet gelooft nog de mythe dat je een besmette computer herkent aan zijn traagheid, vreemde pop-ups, een pc die plots uitvalt. Terwijl cybercriminelen al tien jaar aantonen dat ze er baat hebben bij hebben om zo lang mogelijk ongemerkt gebruik te maken van een besmette computer. Kortom, mensen vragen naar hun ervaringen over iets waar zij weinig verstand van hebben, levert nooit een zuiver beeld op. In België meten de banken (Febelfin) ieder kwartaal de financiële schade, terwijl dit in de rest van de EU slechts ééns of tweemaal per jaar doet. Hierdoor weten de Belgen dat het goed gesteld is met de veiligheid van online bankieren, maar buiten de bank worden onze zuiderburen vaker beduveld. In bijna alle Europese landen lopen onophoudelijk bewustwordingscampagnes vanuit de overheid om het bewustzijn voor phishing en andere online gevaren aan te scherpen. In België is er eens in de zoveel jaar eens een korte campagne die bijna nooit door de overheid wordt gefinancierd, maar bijvoorbeeld door Febelfin.

02 De Belgische overheid blijft in gebreke op vlak van voorlichting, de Nederlandse overheid is op dat vlak actiever.

© PXimport

Als emotie wint

03 Basic of spear

Grofweg zijn er twee vormen van phishing. Eerst is er de basic phishing, waarbij de oplichters dezelfde mail naar een grote groep mensen verzenden. Dit is de techniek van het hagelgeweer (spray-and-pray). Denk maar aan een nepbericht dat zogenaamd van de ABN AMRO komt, terwijl een heleboel van de bestemmelingen niet eens een rekening heeft bij die bank. De fraudeurs rekenen erop dat een deel van de ontvangers zich toch aangesproken zal voelen. De tweede vorm is het zogenaamde spearphishing, dat gaat veel doelgerichter te werk – vandaar de benaming die te vertalen is als vissen met de speer. Zo werden eind november aan de universiteit van Gent verschillende frauduleuze mails gestuurd die afkomstig leken van collega’s, doorgaans leidinggevenden. Zo’n mail komt veel sneller betrouwbaar over. Bij spearphishing let de oplichter op details. De logo’s kloppen, de opmaak is niet van echt te onderscheiden.

Voorkom phishing: zo trap jij er niet in-18824582

© PXimport

Tijdbom

In de bijlage van de phishing-campagne zat een onleesbaar Word-document met een verraderlijke macro.

© PXimport

04 Gewonnen

‘Win een cadeaubon ter waarde van 500 euro’ ‘Aldi geeft waardebonnen van 850 euro weg’ ‘Douwe Egberts trakteert op een maand gratis koffie.’ Dit soort berichten vormt een echte plaag. De warenhuisketens waarschuwen allemaal deze namaak-waardebonnen niet te openen. Soms staan er ook nog foto’s bij van zogenaamde winnaars.

Een variant is het zogenaamd mogen testen of uitproberen van producten, waarbij je ze daarna zou mogen houden. Je hoeft alleen nog maar te klikken op een link of een speciaal nummer te bellen. Wie op zo’n bericht klikt, loopt het risico dat via malware het bericht wordt doorgestuurd naar bijvoorbeeld alle WhatsApp-contactpersonen. De site die je via de link opent, lijkt op de officiële website van zo’n winkelketen en vraagt naar je gegevens.

05 Dure cadeautjes

Veel winacties proberen je wijs te maken dat je iets gewonnen hebt, maar je moet dit nog wel even bevestigen door te bellen met een betaalnummer en daar een code in te voeren. Op dit nummer houdt men je aan het (dure) lijntje met een eindeloze quiz. Bel dat nummer dus niet. En gebruik overigens ook nooit de afmeldlink op dit soort mails. De oplichters die dit soort berichten verzenden, weten door jouw afmelding dat je e-mailadres actief is en zullen alleen maar meer mail sturen. Soms helpt het om de afzender in je mailinstellingen te blokkeren. De spamfilters van Outlook of Thunderbird kunnen ook dergelijke mails onderscheppen. Wil je echt actie ondernemen tegen een bepaalde afzender, dan kun je een klacht indienen via www.spamklacht.nl.

Media has no description

© PXimport

Van banken naar shops

Phishing heeft zich verplaatst van de banken naar de shops.

© PXimport

06 Microsoft-helpdesk

En dan zijn er uiteraard de haast legendarisch geworden Microsoft-bellers, waar we ook al over schreven in Computer!Totaal 0102/2018. Deze cybercrime bestaat al sinds 2009, met steeds veranderende werkwijzen. Criminelen die meestal Engels met Indiaans accent spreken, doen zich voor als behulpzame helpdeskmedewerkers. “Er zijn problemen met uw computer. Wij willen die graag voor u oplossen.” Het is het begin van een oplichtingspoging die al veel mensen geld heeft gekost. Ze bespelen hun slachtoffer met een mengeling van autoriteit en bangmakerij. Ze vragen je de logboeken van de computer te openen. In deze logboeken staan allerlei meldingen over het functioneren van het systeem en gebruikte programma's. De scammers vragen je te kijken naar de gele en rode meldingen. Alles wat daarin staat, kan een virus zijn volgens de medewerkers, terwijl er in werkelijkheid niets op dat vlak aan de hand is. Daarna vraagt de oplichter of hij de computer mag overnemen via bijvoorbeeld TeamViewer om de problemen te verhelpen. Op dat moment geef je de computer letterlijk in handen van een goed voorbereide crimineel. En voor zijn werkzaamheden eist de oplichter geld, bijvoorbeeld in de vorm van iTunes-tegoedkaarten. De werkelijkheid is dat dat Microsoft zijn klanten nooit belt. Je kunt dus het beste niet ingaan op de vragen maar direct ophangen.

Voorkom phishing: zo trap jij er niet in-18824687

© PXimport

Boetes

07 Afweertips

Met een kritische instelling en gezond boerenverstand kom je heel ver. Maar toch kunnen deze tips helpen.

- Als een voorstel te mooi klinkt om waar te zijn, dan is het waarschijnlijk niet waar.

- Gebruik de 10seconden-regel. Voordat je op een link in de mail klikt, neem je tien seconden de tijd om na te denken of de mail wel echt is.

- Officiële instanties vragen je nooit via mail, sms of telefoon om je persoonlijke gegevens of wachtwoord in te voeren.

- Niet dat deze tip waterdicht is, maar let op de aanspreking. Bedrijven die je aanmanen om achterstallige facturen te betalen en die je niet eens bij naam aanspreken? Die vertrouwen we niet.

- Van officiële communicatie mag je verwachten het foutloos geschreven is. Zie je opvallende fouten in de tekst, wees dan alert. De tijd dat je een phishing-mail van ver kon herkennen aan gebrekkig Nederlands is voorbij, maar bij basic phishing komt het nog zeker wel voor.

- Controleer het adres van de afzender. Phishing-campagnes worden meestal lukraak verzonden naar zo veel mogelijk e-mailadressen.

- Controleer de links zonder erop te klikken. Ga met de muisaanwijzer boven de link hangen, zodat een preview verschijnt. Leidt die naar een betrouwbaar adres of niet? Vaak zie je in het begin van het internetadres al dat deze url niet officieel is. De mailadressen van de afzenders wijken af van het adres van de organisatie die de mail zou hebben verstuurd.

- Ga nooit via een link in een mail naar de website van je bank. Gebruik daarvoor het bekende webadres, bijvoorbeeld uit je eigen bladwijzers.

- Controleer of er een ‘s’ staat achter de ‘http’-adresregel van een shop- of banksite. De ‘s’ staat voor secure. Als een site met ‘https’ begint, is er sprake van een beveiligde verbinding. Dat zegt niet per se dat de website zelf veilig is, maar indien het er niet staat weet je dat dit níet de site van je bank is.

07 Soms is het Nederlands zo belachelijk slecht, dat je van veraf al ziet dat het bericht nep is.

© PXimport

Deel dit artikel
Voeg toe aan favorieten