Zo bescherm je jezelf tegen phishing
Iedere dag ontvangt Nederland vele tienduizenden phishing-mails. Terwijl er toch al een zeker bewustzijn bestaat over dit wijdverspreide fenomeen worden er helaas nog steeds mensen de dupe. Bij phishing maakt de crimineel in de eerste plaats gebruik van de menselijke zwakheden en onoplettendheid bij zijn slachtoffers. Wat is phishing precies en welke gevolgen kan het hebben? En vooral, wat kan je doen om jezelf zo goed mogelijk te beschermen?
Tip 01: Eenvoudige phishing
Phishing is fraude waarbij een oplichter gevoelige informatie zoals je gebruikersnaam, je wachtwoord of je creditcardnummer probeert te krijgen om later te misbruiken. De crimineel ‘hengelt’ naar deze informatie en het aas is telkens een e-mailbericht of een bericht op sociale media. Een oorzaak waardoor phishing zo’n stijging kent, is dat de crimineel geen whizzkid hoeft te zijn om phishing-mails te versturen. In Noord-Holland is onlangs een bende phishers opgerold die een paar jaar geleden nog ordinaire straatroven pleegde. Ze waren niet buitengewoon handig op computergebied, maar konden wel een muis bedienen en daarmee 30.000 euro overboeken van de rekening van het slachtoffer. Ruwweg zijn er twee vormen van phishing. Eerst is er de eenvoudige phishing, waarbij de oplichters dezelfde mail naar een grote groep mensen verzenden. De afzender gebruikt de techniek van het hagelgeweer; breed schieten om hier en daar wat te treffen. Er zijn voorbeelden genoeg van nepberichten die zogenaamd van een bepaalde bank komen, terwijl de oplichter niet eens de moeite neemt om te controleren of de geadresseerden wel rekeningen hebben bij die bank. De fraudeurs rekenen erop dat een deel van de ontvangers zich toch aangesproken voelt.
Tip 02: Spear-phishing
De tweede methode, het zogenaamde spear-phishing, gaat doelgerichter te werk. Vandaar de benaming die te vertalen is als vissen met een speer. Zo werden eind november aan de universiteit van Gent verschillende frauduleuze mails verzonden die afkomstig leken van collega’s, doorgaans leidinggevenden. Bij spear-phishing let de oplichter op details. De logo’s kloppen, de opmaak is niet van echt te onderscheiden. De spear-fisher benadert je op basis van vertrouwen. Vaak kent hij je naam of e-mailadres. De aanhef op het e-mailbericht is waarschijnlijk gepersonaliseerd: “Hoi Tim” in plaats van “Geachte heer/mevrouw”. Het favoriete wapen bij spear-phishing zijn Microsoft Office-documenten die kwaadaardige macro’s bevatten.
Tip 03: Nep-winacties
“Win een jaar lang gratis Netflix!” of “Douwe Egberts trakteert op een maand gratis koffie.” Dit soort berichten vormt een plaag. Het gaat hierbij om vaak nep-winacties via e-mail, WhatsApp en Facebook waarbij vouchers of producten van honderden euro’s voor het grijpen lijken te liggen. De meeste warenhuisketens waarschuwen niet in te gaan op deze nepacties. Een variant is het zogenaamd mogen testen of uitproberen van producten die je daarna zou mogen houden. Je hoeft alleen nog maar te klikken op een link of een speciaal nummer te bellen. De site die je via de link opent, lijkt op de officiële website van de winkelketens en vraagt je gegevens.
Tijdbom
Tip 04: Nooit afmelden
Veel nep-winacties proberen je wijs te maken dat het vandaag je geluksdag is. Uiteindelijk leiden deze phishing-acties je naar een eindeloze, telefonische quiz op een duur betaalnummer of er word je op slinkse wijze een duur sms-abonnement aangesmeerd. Ook kunnen je gegevens gebruikt worden voor het versturen van meer spam. Je zou in de verleiding kunnen komen om de afmeldingslink in dit soort mails te gebruiken. Doe dat niet. De oplichters weten door jouw afmelding dat je e-mailadres actief is en zullen alleen maar meer mail sturen. Vaak helpt het wel om de afzender in je mailinstellingen te blokkeren. De spamfilters van allerlei mailclients kunnen dergelijke mails onderscheppen. Wil je echt actie ondernemen tegenover een bepaalde afzender, dan kun je een klacht indienen via www.spamklacht.nl.
Van banken naar shops
Tip 05: Met de helpdesk!
Uiteraard kunnen we niet om de haast legendarische ‘Microsoft-helpdesk’ heen. Deze vorm van phishing gaat al sinds 2009 mee in verschillende variaties. Criminelen die meestal Engels met Indiaans accent spreken, bellen je op en doen zich voor als behulpzame helpdeskmedewerkers. “Er zijn problemen met uw computer. Wij willen die graag voor u oplossen.” Ze manipuleren hun slachtoffers met een mengeling van autoriteit en bangmakerij. Ze verwijzen naar de logboeken van je pc. Dat is een toepassing die je maar zelden gebruikt. De oplichters vragen je te kijken naar de gele en rode meldingen die zogezegd malware aanduiden. In werkelijkheid is er niets aan de hand.
De oplichters vertellen dat je snel moet zijn, want op dit ogenblik wordt je computer al gehackt. Daarom stellen ze je voor de besturing van je computer via internet over te nemen via bijvoorbeeld TeamViewer om zo de problemen te verhelpen. Dat is het moment dat je de pc letterlijk in handen geeft van een uitstekend voorbereide crimineel. Daarna vraagt de nep-helpdeskmedewerker een kleine som voor zijn diensten en daarvoor leidt hij je af naar valse betaalsite waar je jouw creditcardgegevens invoert. De werkelijkheid is dat dat Microsoft zijn klanten vrijwel nóóit belt. Het beste dat je kunt doen, is niet ingaan op de vragen, maar direct ophangen of zeggen dat je een Apple-computer hebt, dan hangen ze zelf op.
Boetes
Tip 06: Weer gezond verstand
Een kritische instelling en wederom gezond verstand (zie ook tip 3 op pagina ##) zijn de beste bescherming tegen phishing. Wat richtlijnen:
- Als een voorstel te mooi klinkt om waar te zijn, is het hoogstwaarschijnlijk niet waar.
- Probeer de 10-secondenregel eens uit: voordat je op een link in de mail klikt, wacht je tien seconden om na te denken of de mail wel echt is.
- Officiële instanties vragen je nooit via mail, sms of telefoon om je persoonlijke gegevens of wachtwoord op te geven.
- Let op de aanhef van allerlei communicatie: bedrijven die je aanmanen om achterstallige facturen te betalen en die je niet eens bij naam aanspreken?
- Van officiële communicatie mag je verwachten dat ze foutloos schijven. De tijd dat je een phishing-mail van ver kon herkennen aan gebrekkig Nederlands is voorbij, maar bij eenvoudige phishing is dit soms nog wel het geval.
Tip 07: Check de afzender
Tot slot nog een lijstje met controlepunten:
- Controleer het adres van de afzender. Phishing-campagnes worden meestal lukraak verzonden naar zoveel mogelijk e-mailadressen.
- Check de links zonder erop te klikken. Hang met de muisaanwijzer over de link (zonder erop te klikken), zodat een preview verschijnt. Leidt die naar een betrouwbaar adres of niet? Vaak zie je in het begin van het internetadres al dat deze url niet officieel is.
- Kijk vooral uit voor ingekorte url’s, vooral op sociale media. Met verkorte url’s weet je nooit op voorhand waar ze je heen brengen. Wie Firefox gebruikt, kan de extensie Long URL Please gebruiken waarmee je toch de volledige url ontdekt.
- Ga nooit via een link in een mail naar de website van je bank. Gebruik daarvoor altijd het vertrouwde webadres of gebruik je eigen bladwijzers.
- Ga na of er een ‘s’ staat achter de ‘http’-adresregel van een shop- of banksite. De ‘s’ staat voor secure. Als een site met ‘https’ begint, is er sprake van een beveiligde verbinding. Dat zegt niet per se dat de website zelf veilig is, maar indien het er niet staat weet je dat de webpagina niet van de bank is.
