"Beste klant, uit veiligheidsvoorschriften hebben wij uw rekeningen tijdelijk geblokkeerd. Om uw account opnieuw te activeren dient u uw bankgegevens opnieuw in te voeren via: https://bankgegevens-bank.com."
Herkent u zulke berichten? Dan heeft u hoogstwaarschijnlijk wel eens phishingberichten binnengekregen. Phishingberichten zijn berichten van cybercriminelen die op een illegale manier achter uw gegevens proberen te komen.
In deze blog vertellen wij wat phishing precies is, hoe cybercriminelen te werk gaan en hoe u kunt voorkomen om slachtoffer te worden van phishing. Bij dat laatste, het voorkomen, bieden we geen garanties. We hopen u wel te helpen de kans om slachtoffer te worden in ieder geval flink te verkleinen.
Phishing is een vorm van cybercriminaliteit waarbij cybercriminelen op een illegale manier achter bepaalde persoonsgegevens proberen te komen om daar misbruik van te maken. Door het sturen van valse e-mails namens een bekende organisatie proberen zij de ontvanger te misleiden en diegene te bewegen zijn gegevens te delen. Via deze gegevens hebben cybercriminelen toegang tot bijvoorbeeld de bankrekeningen van het slachtoffer.
De traditionele manier van phishing is door het versturen van verschillende soorten valse e-mails, die negen van de tien keer in uw map voor ongewenste e-mail terecht komen. Internet en technologie zijn misschien wel de onderwerpen die het snelst blijven ontwikkelen. Dit biedt mooie kansen, maar geeft cybercriminelen ook de kans om hiervan te profiteren. Phishing gebeurt tegenwoordig niet alleen meer via e-mail, maar ook via andere platformen zoals WhatsApp, SMS, Marktplaats en Facebook. Via deze platformen proberen cybercriminelen contact te leggen om vervolgens door te verwijzen naar bijvoorbeeld een nepwebsite, die soms niet van de echte is te onderscheiden. Op deze website wordt gevraagd om gegevens achter te laten, vaak gaat het om bankgegevens.
Cybercriminelen worden met de dag slimmer en creëren nieuwe methodes om achter uw gegevens te komen. Om toe te lichten op wat voor manieren cybercriminelen te werk gaan, heb ik wat voorbeelden uit de praktijk genomen die bij mij of in mijn directe omgeving zijn gebeurd.
Op de afbeelding is te zien dat ik een SMS heb gekregen van een onbekend +31 nummer, namens ING, dat mijn rekening in de quarantainezone is gezet vanwege verdachte inlog pogingen. Er wordt gevraagd of ik met spoed mijn rekening opnieuw wil activeren via de bijgevoegde link. Wanneer u naar deze link kijkt, lijkt het op het eerste gezicht op een normale link, maar er zitten kleine details in waaraan u kan herkennen dat dit een neplink is.
De link https:/./ing-quarantainezone.com lijkt versleuteld te zijn met een https-certificaat, maar dit is niet het geval. Er staat namelijk een punt tussen de twee //. Het valt nauwelijks op, maar is een slinkse wijze om u om de tuin te leiden. Maar de grootste aanwijzing dat dit om een malafide bericht gaat is de het webadres zelf. ING zou nooit via een webadres als deze ing-quarantainezone.com met zijn klanten communiceren. Overigens een leuk detail, ikzelf heb dit bericht ontvangen via SMS, maar ben niet aangesloten bij ING, waardoor ik gelijk door had dat dit niet klopte ;).
Een ander voorbeeld van hoe cybercriminelen te werk gaan, dit keer via het meest gebruikte communicatiemedium van Nederland; WhatsApp.
Het gesprek begint erg normaal, de oplichter stuurt een bericht met een onbekend nummer namens een bekende van het potentiële slachtoffer. De oplichter zegt dat dit het nieuwe nummer is van degene uit wiens naam hij werkt en door het geloofwaardig te maken gebruikt hij zelfs een profielfoto waar diegene op staat. Vanwege privacyredenen hebben wij de namen en foto’s weggelaten.
De oplichter probeert zo geloofwaardig mogelijk over te komen en belt het potentiële slachtoffer via WhatsApp. Voordat er opgenomen kan worden hangt de oplichter alweer op zodat hij niet door de mand valt en om extra druk op het slachtoffer te leggen. Vervolgens gaat het gesprek op een normale manier verder met de vraag: “Hoe gaat het met je”. Wanneer het slachtoffer dezelfde vraag terugstelt slaat de oplichter toe door te zeggen dat hij een klein probleem heeft en vraagt of het slachtoffer hem daarmee kan helpen.
De oplichter geeft aan heel het weekend al storing te hebben bij de bank en of het slachtoffer zou kunnen helpen met het betalen van twee rekeningen. Het slachtoffer uit dit praktijkvoorbeeld heeft gelukkig door gehad dat het geen zuivere koffie was en heeft daarom direct contact gezocht met degene wiens naam wordt misbruikt door de oplichter. Maar hij speelt het verhaal nog wel eventjes mee om te weten te komen waar de oplichter precies op uit is. De oplichter probeert het slachtoffer voor meer dan € 900,- op te lichten. Na het noemen van het geldbedrag is het nummer van de oplichter gelijk geblokkeerd.
Door eerst direct contact te zoeken met de persoon wie zogenaamd hulp nodig heeft en niet in te gaan op het verzoek om de rekeningen te betalen heeft het slachtoffer ervoor gezorgd dat hij geen geld kwijt is geraakt door deze oplichter.
Jammer genoeg gebeurt het nog steeds dat mensen in de trucjes van cybercriminelen trappen. Uit cijfers van de Betaalvereniging en de Nederlandse Vereniging van Banken blijkt dat in de eerste helft van 2019 cybercriminelen samen meer dan 3,1 miljoen euro buit wisten te maken door het onderscheppen van beveiligingscodes. In september 2019 was het cybercriminelen zelfs gelukt om een recordbedrag buit te maken bij één enkel slachtoffer. Een man uit het noorden van Nederland leek op een normale avond een SMS van zijn bank te krijgen dat zijn huidige pas verliep en dat hij met spoed een nieuwe moest aanvragen om blokkade te voorkomen. De man werd via de link naar een nepwebsite geleid en vulde nietsvermoedend zijn gegevens in. De volgende ochtend was er bijna 1 miljoen euro van zijn rekeningen afgeschreven en daarmee spant hij de kroon als slachtoffer van de grootste phishingzaak tot nu toe.
Om te voorkomen dat u slachtoffer wordt van phishing is het belangrijk dat u goed weet hoe een phishingbericht eruitziet of eruit kan zien. Phishingberichten zijn te herkennen aan een aantal kenmerken. Vaak wordt een of meerdere kenmerken gebruikt. Wat deze kenmerken precies zijn lichten wij kort voor u toe. Bij elk kenmerk geven wij ook nog advies over wat u moet doen wanneer u een gekregen bericht niet helemaal vertrouwd.
Phishingberichten worden vaak naar meerdere personen tegelijk verstuurd om de slagingskans te vergroten. Hierdoor ontbreekt er vaak een persoonlijke aanhef. Wanneer u een bericht krijgt dat u iets heeft gewonnen, dat uw bankrekening is geblokkeerd of iets dergelijks en dit bericht heeft geen persoonlijke aanhef, dan is het 9 van de 10 keer phishing.
Een voorbeeld van een phishing sms zonder persoonlijke aanhef
Het is geen waterdicht kenmerk, maar als een persoonlijke aanhef ontbreekt is het een eerste signaal dat u alert moet zijn.
Omdat phishingbendes vaak vanuit het buitenland te werk gaan en berichten verspreiden naar meerdere landen tegelijk, ontbreekt de kennis van de gesproken taal. Dit zorgt ervoor dat je phishingberichten vaak kan herkennen aan opvallende zinsconstructies en foutief taalgebruik. Ook hier geldt weer dat dit geen garantie is. Er zijn namelijk genoeg phishingberichten die in perfect Nederlands zijn geschreven, maar wel degelijk van een oplichter afkomstig zijn. Het is daarom belangrijk om bij twijfel het bericht te controleren op de andere kenmerken van phishing, om te voorkomen dat uw gegevens in verkeerde handen terecht komen.
Wanneer een instantie, zoals bijvoorbeeld een bank, PostNL of de Postcodeloterij, een bericht stuurt vanaf een ongebruikelijk e-mailadres of telefoonnummer is het veelal geen officieel bericht. Het is daarom altijd belangrijk om de afzender van het bericht te controleren voordat u ergens op een link klikt of gegevens achterlaat.
Belangrijkste tip: banken en andere financiële organisaties zullen u nooit, maar dan ook echt nooit!, vragen om een pincode of iets dergelijks achter te laten via een e-mail, SMS, WhatsApp-bericht of ander communicatiemiddel.
Phishingberichten bevatten ook regelmatig verdachte bijlagen. Wanneer u op deze bijlagen klikt of deze downloadt kunnen er virussen op het desbetreffende apparaat terecht komen. Denk hierbij aan malware en spyware. Open daarom alleen bestanden waarvan u zeker weet dat het te vertrouwen is en waarvan het logisch is dat deze bestanden naar u toegestuurd worden.
Wanneer er gevraagd wordt om persoonlijke gegevens zoals persoonsgegevens of inloggegevens van bepaalde websites, dan kunt u er bijna zeker vanuit gaan dat het een phishingbericht is. Nogmaals: een instantie zoals uw bank zal nooit per e-mail of SMS / Whatsapp vragen of u uw wachtwoorden, pincodes of andere beveiligingscodes wilt doorgeven. Ook zullen zij nooit vragen om uw betaalpas, creditkaart, inlogapparaat of een kopie daarvan op te sturen.
In het bericht staat een opvallende doorverwijzing en/of URL. Het is daarom belangrijk om de samenstelling van de URL goed te bekijken. De URL’s die in phishingberichten staan, zijn vaak goed gecamoufleerd en soms bijna niet van echt te onderscheiden. Als je op een desktop of laptop zit, kun je wanneer je met je muis over de link zweeft, links onderin je scherm zien naar welk internetadres de URL verwijst als je hem opent in je browser. Wanneer je dit internetadres niet vertrouwt, of je geen idee hebt wat je hier zou moeten, niet klikken.
Op www.checkjelinkje.nl is het overigens mogelijk om een URL te controleren op betrouwbaarheid.
Cybercriminelen proberen het slachtoffer vaak onder druk te zetten. Het doel hiervan is dat de slachtoffers op korte termijn of uit een impuls reageren, zodat zij alsnog hun gegevens achterlaten. Vaak kan je zulk soort phishingberichten herkennen aan een prijs die je zogenaamd hebt gewonnen van bijvoorbeeld een supermarkt waar je 5 minuten gratis mag winkelen, terwijl je hier niet voor bent ingeschreven. Niet alle phishingberichten hebben te maken met een gewonnen prijs. Juist niet zelfs. Het blokkeren van een bankrekening of iets dergelijks wanneer je niet binnen één dag reageert is ook een veel voorkomende manier van phishing.
De snel ontwikkelende technologie biedt voor iedereen nieuwe mogelijkheden, zowel voor u persoonlijk, voor uw bedrijf, maar ook voor cybercriminelen. Het grootste risico om slachtoffer te worden van cybercrimininelen bent u zelf. Geef oplichters geen kans om achter uw gegevens te komen. Voorkomen is beter dan genezen.
We zijn ons er ook degelijk van bewust van bovenstaande voorbeelden en tips geen volledig beeld geven. De manier waarop cybercriminelen ons te slim af proberen te zijn, zullen blijven veranderen en beter worden. Daarom is het zaak om kritisch te kijken naar ieder bericht dat je ontvangt.