Computer Phishing met Vishaak

Wat is Phishing?

Laatst bijgewerkt: 16 januari 2020
Leestijd: 17 minuten, 9 seconden

Waarschijnlijk heb je ooit weleens iets over phishing gelezen. In 2019 werd er bijvoorbeeld gewaarschuwd voor phishingmails die van de politie af leken te komen. Maar wat is phishing nu eigenlijk precies? In dit artikel gaan we uitgebreid in op deze vorm van online misdaad. We leggen uit wat het is, hoe je het herkent en hoe je jezelf ertegen beschermt. Ook vertellen we je wat je kunt doen op het moment dat je het slachtoffer van phishing bent geworden.

Wat is phishing?

Vishaak door browserwindow met wachtwoordPhishing is een vorm van internetoplichting waarbij slachtoffers, soms uit onwetendheid, criminelen toegang geven tot hun persoonlijke informatie of bankrekening. Vaak gebeurt dit in de vorm van een e-mail. Deze e-mail lijkt afkomstig te zijn van een officiële instantie, organisatie of bedrijf, maar niets is minder waar: de daadwerkelijke afzender is een oplichter. Deze oplichters doen er alles aan om de e-mails die ze versturen zo authentiek mogelijk te laten lijken. Ze gebruiken bijvoorbeeld vaak officiële logo’s. In de e-mails worden mensen vaak gevraagd om op een te klikken of een bijlage te openen.

Als je een link in een phishingmail aanklikt, kom je op een pagina terecht die misschien doet denken aan een officiële website, maar slechts nagemaakt is. De oplichters hopen dat jij je gevoelige informatie op deze pagina achterlaat door bijvoorbeeld een inlogscherm in te vullen. Als je dit doet, hebben de oplichters toegang tot deze gegevens. Ook het openen van een bijlage in een phishingmail kan problemen veroorzaken. Je kunt zo ongemerkt malware, bijvoorbeeld een virus of spyware, op je computer installeren. Deze programma’s onderscheppen vervolgens weer allerlei belangrijke persoonlijke informatie (zoals bankgegevens).

Het uiteindelijke doel van de oplichters is om jouw geld of persoonsgegevens buit te maken. Hier komt de naam ‘phishing’ ook vandaan: cybercriminelen ‘vissen’ naar informatie: ze gooien hun digitale hengel (de e-mail) uit en wachten tot een slachtoffer bijt. Ze spelen daarbij in op de angsten en emoties van de ontvangers. Zo doen ze net alsof je een achterstallige rekening moet betalen en anders een boete krijgt. Slachtoffers raken hierdoor vaak in paniek en zijn geneigd in de valstrik van de phishing-mail te trappen.

Verschillende vormen van phishing

E-mail is over het algemeen een erg efficiënt medium voor oplichters, omdat ze op die manier in een handomdraai duizenden mensen tegelijk kunnen bereiken. In weinig tijd kunnen ze veel geld buitmaken, mits een deel van de ontvangers in hun val trapt. Het houdt echter niet op bij e-mails. Hier volgen een aantal andere vormen van phishing waar je goed voor op moet passen, of het nu gaat om oplichting via moderne media of via de post.

Oplichting via sms of WhatsApp

WhatsApp messenger logoCybercriminelen bedenken steeds nieuwe manieren om hun slachtoffers van hun geld te beroven. Nieuwe technieken zijn meestal net iets effectiever en lucratiever, omdat mensen er nog niet bekend mee zijn. Vandaar dat andere manieren van communicatie steeds meer gebruikt worden. Een sms’je dat van je bank afkomstig lijkt te zijn, kun je bijvoorbeeld niet altijd vertrouwen. Hetzelfde geldt voor een WhatsAppje van een officiële instantie waarin je wordt gevraagd zo snel mogelijk een factuur over te maken. In 2019 is het aantal fraudemeldingen via WhatsApp enorm gestegen ten opzichte van 2018, wat blijk geeft van de populariteit van dit medium onder cybercriminelen.

Heb je een verdacht berichtje ontvangen en maak je je zorgen? Het kan erg lastig zijn om met zekerheid te zeggen of een factuur daadwerkelijk betaald moet worden of slechts een poging tot oplichting is. Wat je het beste kunt doen, is contact opnemen met de instantie, het bedrijf of de organisatie. Ga naar hun officiële website door dit direct in je zoekbalk in te typen en zoek de juiste contactinformatie op. Weet het bedrijf niets van het bericht dat je hebt ontvangen? Laat hen dan weten dat iemand uit hun naam phishingberichten rondstuurt.

Spookfacturen

Niet alleen social media, maar ook meer traditionele vormen van communicatie worden door cybercriminelen misbruikt. Neppe berichten over een aanmaning, achterstallige betaling of opgelegde boete kunnen namelijk niet alleen via e-mail, maar ook via de post bij jou terechtkomen. In deze brieven wordt dringend gevraagd een bedrag over te maken naar een specifiek rekeningnummer. Dit moet vaak op korte termijn gebeuren. Hoewel er soms échte brieven zijn die op deze manier worden opgesteld, kan het hier ook gaan om phishing.

Als je zelf zo’n bericht ontvangt en de betaling die erin beschreven wordt, je niet bekend voorkomt, neem dan altijd contact op met de desbetreffende instantie. Zoek de juiste contactgegevens online op en gebruik vooral geen telefoonnummers of e-mailadressen die in de brief of e-mail zelf worden genoemd. Vraag om confirmatie van het bedrag en de openstaande factuur voor je overgaat tot betaling.

E-mails of socialmediaberichten van bekenden

Ook je persoonlijke vriendenkring kan in een phishingpoging tegen je worden gebruikt. Als een crimineel toegang heeft tot de e-mail of socialmedia-accounts van een slachtoffer, bijvoorbeeld door een eerdere phishingaanval, kan dit vervolgens gebruikt worden om nieuwe slachtoffers te vinden. Een crimineel probeert dan bijvoorbeeld meer geld van mensen af te troggelen door berichten naar bekenden van de gehackte account te sturen. Vaak beginnen deze berichten met een simpele “Hallo, hoe is het?“. Zodra mensen reageren op het nepbericht, zal een oplichter vaak om geld vragen. Hier is een voorbeeld van zo’n bericht, waarin Petra’s account gehackt is en de cybercrimineel via haar Facebook Truus probeert op te lichten:

Facebookbericht phishing

Wanneer je hoort dat een vriend in de problemen zit, zul je willen helpen. Cybercriminelen maken hier misbruik van door een mate van urgentie te creëren: Petra zit vast op haar vakantieadres en moet zo snel mogelijk naar huis zien te komen. Als Truus haar hulp aanbiedt, krijgt ze het bankrekeningnummer van de oplichter toegestuurd. Ook is het mogelijk dat de oplichter vraagt om geld over te maken via Paypal, Western Union, Moneygram of zelfs Bitcoin. Gaat Truus hierop in, dan stuurt ze haar geld zo naar de crimineel toe.

In sommige gevallen brengen criminelen het hele vriendennetwerk van de gehackte account in kaart door berichten uit het verleden te lezen. Al deze informatie gebruiken ze vervolgens om hun phishingpoging nog oprechter te laten lijken.

Krijg je zelf een berichtje via e-mail, Facebook of een ander socialmediaplatform waarin een vriend om geld vraagt? Wees dan altijd voorzichtig en neem contact met de persoon op door bijvoorbeeld te bellen. Zo kun je controleren of hij of zij écht in de problemen zit.

Phishing per telefoon

Smartphone met OorSoms vindt phishing telefonisch plaats. Als criminelen informatie over een slachtoffer hebben na een online phishingpoging, kunnen ze overgaan tot het opbellen van dit slachtoffer. Ze hebben dan bijvoorbeeld al toegang tot een bankrekening en proberen telefonisch andere informatie te bemachtigen. Als het slachtoffer meewerkt, maken ze onbewust een bedrag over aan de oplichters. Dit gaat als volgt:

  1. De crimineel is via internetbankieren ingelogd op de rekening van het slachtoffer en maakt een bedrag over naar zijn eigen rekening.
  2. De crimineel belt het slachtoffer, doet zich voor als bankmedewerker, en vraagt het slachtoffer de TAN-code door te geven, die ze hebben ontvangen (bijvoorbeeld via sms).
  3. Als het slachtoffer de code doorgeeft (die eigenlijk ter verificatie van de betaling is), gebruikt de crimineel die om de overschrijving naar zijn eigen rekening te voltooien.

Phishingcriminelen doen zich ook vaak voor als medewerker van Windows of de fabrikant van je computer of smartphone. Ze beweren een technisch probleem voor je op te willen lossen. In plaats daarvan laten ze je inloggen op een gevaarlijke website, waardoor zij toegang tot je computer en persoonlijke informatie krijgen. In sommige gevallen wordt er zelfs ransomware op je apparaat geïnstalleerd. Dit betekent dat al je bestanden versleuteld en gegijzeld worden: je kunt er niet meer bij, tenzij je een geldbedrag betaalt. Ben je slachtoffer van ransomware? Neem dan direct contact op met de politie.

Mocht je gebeld worden door een medewerker van een bank of bedrijf, geef dan nooit zomaar belangrijke informatie zoals adresgegevens of bankrekeninginformatie door. Zorg dat je altijd de juiste, officiële telefoonnummers van een bedrijf gebruikt en controleer of je daadwerkelijk een vertegenwoordiger van het bedrijf aan de lijn hebt.

Phishing in Nederland: een groot probleem

Hacker met laptopCybercrime en phishing komen helaas veel voor. In 2017 werden er in Nederland naar schatting dagelijks zo’n 50.000 phishing-e-mails verstuurd. Dit betekent niet dat er net zoveel slachtoffers waren: slechts een enkeling zal daadwerkelijk in de val trappen. Alsnog gaat het hier om flinke bedragen. In 2018 kostte phishing Nederlanders in totaal zo’n 862.000 euro. In 2019 was het alleen maar erger: binnen tien maanden liep het bedrag al op tot meer dan een miljoen euro.

Overigens stopt dit probleem niet bij de Nederlandse grenzen. Ook in de rest van de wereld zijn deze neppe e-mails een ware epidemie. Er komen geregeld nieuwsberichten en berichten van officiële instanties naar buiten waarin wordt gewaarschuwd voor phishing. Het nadeel is dat de combinatie van slimme trucjes die constant vernieuwen en emotionele manipulatie er samen voor zorgen dat mensen toch in de phishingval trappen. Als een e-mail van je bank afkomstig lijkt en dreigt met een boete als je niet snel actie onderneemt, kan het voelen alsof er maar één oplossing is: doen wat het bericht van je vraagt. Dus hoe weet je nu zeker dat je te maken hebt met phishing?

Hoe herken je phishing?

Ontvang je een e-mail, sms of ander bericht van een officiële instantie of een vriend die geld vraagt? Denk dan altijd even twee keer na. Of het nu de rijksoverheid, belastingdienst, een webshop, incassobureau, verzekeraar, bank of website zoals Marktplaats is, mogelijk zit er een crimineel achter die uit is op jouw gegevens en geld. Hier volgen een aantal tips die je helpen een phishing-e-mail te herkennen.

Tip 1: Let op de aanhef, het taalgebruik en spel- en taalfouten

Wat is de aanhef van de e-mail? Omdat phishing-e-mails in grote aantallen tegelijk worden verstuurd, ontbreekt vaak een persoonlijke groet aan het begin. Ook taalfouten zijn een slecht voorteken. Veel phishingbendes zitten in het buitenland en zijn de Nederlandse taal niet machtig. Zelfs Nederlandse oplichters hebben soms moeite een goedlopende zin te formuleren. Als een bericht dus begint met “beste heer/mevrouw” en vervolgens erg moeilijk te lezen is vanwege spelfouten en verkeerd taalgebruik, heb je dus waarschijnlijk te maken met phishing.

Een andere tactiek die veel phishingberichten hanteren, is het creëren van urgentie. Zie je woorden zoals “DRINGEND”, “URGENT”, “BELANGRIJK” of “LAATSTE HERINNERING” in de titel of tekst van het bericht? Wees dan extra op je hoede.

Helaas zijn er ook phishingberichten die in perfect Nederlands geschreven zijn en dus niet zo gemakkelijk zijn te herkennen. Daarom is het verstandig eerst onze andere tips te lezen om een beter idee te krijgen van de daadwerkelijke afkomst van het bericht.

Tip 2: Controleer de afzender

Lijst met VergrootglasControleer altijd de afzender van een bericht. Oplichters proberen de e-mailadressen die ze gebruiken vaak zo betrouwbaar mogelijk te laten lijken. De kans is bij een phishing-e-mail dus groot dat de afzender iets is in de trant van INGbank_@outlook.com of ABNAmroNederland@gmail.com. Vertrouw dit niet. Veel bedrijven en banken hebben de naam van hun organisatie in de e-mailextensie (het gedeelte na ‘@’) staan. Wij gebruiken zelf bijvoorbeeld het adres info@vpngids.nl. Check altijd goed of de afzender van het bericht een betrouwbaar e-mailadres heeft dat eventueel ook staat vernoemd op officiële websites van het bedrijf. E-mailadressen die bestaan uit een willekeurige reeks cijfers en letters zijn vrijwel nooit te vertrouwen.

Overigens kan een phishingbericht soms wél een betrouwbare afzender hebben. Soms lijkt een e-mail zelfs vanuit jouw eigen e-mailadres te zijn gestuurd. Dit wordt “e-mail spoofing” genoemd en komt veel voor bij zowel phishing als business email compromise (BEC). Trap er niet in. Neem voor de zekerheid contact op met de afzender via de contactinformatie op hun officiële website.

Tip 3: Deel niet zomaar persoonlijke gegevens

Wanneer een e-mail, sms of ander bericht vraagt naar jouw persoonlijke gegevens, bijvoorbeeld inloggegevens, is dit mogelijk een slecht teken. Deel je gegevens nooit zomaar met de afzenders van zo’n bericht en bekijk of je het bedrijf op een andere manier kunt bereiken om te verifiëren dat je met echte medewerkers in een authentieke, veilige omgeving aan het communiceren bent. Banken, overheden en veel andere officiële instanties zullen overigens zelden telefonisch of via e-mail om jouw persoonlijke gegevens vragen. Gebeurt dit wel, wees dan te allen tijden op je hoede.

Tip 4: Let op verdachte bijlagen

Een simpele klik op een bijlage in een phishingbericht kan al zorgen dat er een keylogger of Trojan horse op je computer wordt geïnstalleerd. Open alleen bestanden die je 100% vertrouwt en waarvan je verwachtte ze toegestuurd te krijgen. Twijfel je? Let dan goed op het type bestand dat in de bijlage zit ingesloten. Als het bestand bijvoorbeeld eindigt op .exe of .zip, is het wellicht niet te vertrouwen. Ook PDF-bestanden kunnen schadelijke inhoud bevatten. Hier volgen enkele verdachte bestandstypen die vaak meegezonden worden in een phishingmail. Houd er rekening mee dat deze lijst niet volledig is: er zijn nog veel meer typen die mogelijk niet te vertrouwen zijn.

  • .bat (Batch)
  • .com (command file)
  • .cpl (Control Panel)
  • .docm (Microsoft Word met macro’s)
  • .exe (Windows Executable bestand)
  • .jar (Java)
  • .js (JavaScript)
  • .pif (Programma Informatie bestand)
  • .pptm (Microsoft PowerPoint met macro’s)
  • .ps1 (Windows PowerShell)
  • .scr (Screensaver-bestand)
  • .vbs (Visual Basic Script)
  • .wsf (Windows Script File)
  • .xlsm (Microsoft Excel met macro’s)
  • .zip (gecomprimeerd)

Als je wilt controleren of de bijlage waar jij je zorgen over maakt, een van deze bestandstypen is, let dan op de laatste letters achter de naam van het bestand, dus na de punt.

Let ook altijd goed op de rest van de naam van het bestand. Als een document bijvoorbeeld “betaaloverzichtPDF.exe” heet, is het waarschijnlijk een gevaarlijk bestand. Op het eerste gezicht lijkt dit misschien een simpel .pdf-bestand van een betaaloverzicht, maar eigenlijk is het een .exe-bestand dat wellicht een nieuw programma (zoals een virus of spyware) op je computer installeert.

Malware LaptopLinks in phishingberichten zijn ontzettend gevaarlijk. Zie je een link in een e-mail en vertrouw je het niet helemaal? Klik er dan niet op. Soms lijkt een link ongevaarlijk, maar is het tegenovergestelde waar. Dit kun je gemakkelijk checken. Laat je muis over de link zweven (zonder te klikken!) en controleer linksonder in je browser naar welke website de link verwijst. Is dit een website die je niet herkent of niet vertrouwt? Dan heb je hoogstwaarschijnlijk te maken met phishing. Klik er niet op. Het adres kan overigens ook lijken op een betrouwbare website, dus kijk altijd of alles wel goed gespeld is en het domein klopt (belastingdienst.nl/info in plaats van belastingdienst.nl.moneytransfer.nl/info, bijvoorbeeld). Pas met je smartphone en tablet trouwens ook op dat je niet per ongeluk op een link klikt voordat je deze hebt gecontroleerd.

E-mails van de overheid bevatten overigens nooit links. In plaats daarvan vertellen ze je naar welke website je moet gaan. Een voorbeeld is: “Ga naar MijnOverheid om je ongelezen berichten te lezen”. Hier staat geen link bij, dus moet je zelf naar de juiste website navigeren. Als je een bericht van de overheid krijgt waar wel een direct link in staat, heb je te maken met phishing.

Tip 6: Blijf op de hoogte

Technologie en cybercrime ontwikkelen zich constant. Er zijn steeds weer nieuwe manieren om jezelf te beschermen tegen phishing en andere vormen van online misdaad. Tegelijkertijd vinden oplichters steeds nieuwe manieren om slachtoffers te maken. Daarom is het belangrijk om op de hoogte te blijven van phishing en alles wat daarbij komt kijken. Als je dit artikel leest, ben je al goed bezig. Houd ook onze nieuwssectie in de gaten, voor het geval er nieuwe waarschuwingen naar buiten komen van landelijke of internationale phishingaanvallen.

Tip 7: Volg je intuïtie

Heb je het gevoel dat er iets niet klopt? Ga dan altijd af op dit instinct. Het is beter om één keer te voorzichtig te zijn, dan één keer te roekeloos. Als je twijfelt, neem dan contact op met de organisatie waar het bericht dat je hebt ontvangen afkomstig van zou moeten zijn. Doe dit altijd via een telefoonnummer of e-mailadres dat je volledig vertrouwt. Deze zou je bijvoorbeeld via hun officiële website kunnen vinden. Neem ook altijd contact met een organisatie op als je vermoedt dat er in hun naam nepberichten worden verstuurd.

Hoe houd je phishingberichten op afstand?

Als het op phishing aankomt, sta je er gelukkig niet alleen voor. Er zijn veel manieren om een phishing-e-mail te herkennen, maar natuurlijk is het nog handiger als je ze überhaupt niet tegenkomt. Hier zijn een aantal maatregelen die je kunt nemen om phishing tegen te houden.

  • Gebruik tweestapsverificatie op al je accounts: door in te stellen dat je altijd met twee stappen in moet loggen (bijvoorbeeld met een verificatiecode per sms), verklein je de kans dat cybercriminelen volledige toegang tot je accounts krijgen.
  • Stel je spamfilter goed in: je e-mailprovider heeft instellingen waarmee spam uit je gewone inbox geweerd kan worden. Hoewel dit niet alle mogelijke phishing-e-mails tegen zal houden, kunnen instellingen met verhoogde veiligheid zorgen dat je minder snel een kwaadaardige e-mail tussen je belangrijke berichten tegenkomt. Als je dit doet, zorg er dan wel voor dat belangrijke e-mailadressen op een ‘whitelist’ staan, zodat die berichten niet per ongeluk in je spamfolder terechtkomen.
  • Geef je gegevens online alleen door op beveiligde websites: je kunt in je adresbalk zien of de verbinding tussen jou en de website die je bezoekt, beveiligd is. Er staat dan een slotje naast de URL en ‘https://’ (waarbij de ‘s’ het belangrijkst is) in de link. Mist dit? Vul dan op die pagina nooit persoonlijke gegevens in. Veel phishingwebsites gebruiken ondertussen ook HTTPS-beveiliging, dus zal deze truc niet alle pogingen tot oplichting voorkomen. Alsnog is het belangrijk om te controleren. Meer informatie over HTTPS vind je in dit artikel.
  • Zorg dat je weet hoe je veilig kunt internetten: onze 8 simpele stappen om veilig online te gaan, helpen je hierbij.

Werken als geldezel: per ongeluk crimineel

Zak met geld en pijl naar beneden op ComputerschermSoms werken er wel honderden mensen mee aan één phishingaanval. Het grootste deel van deze groep bestaat uit zogenaamde ‘geldezels’. Dit zijn mensen (vaak jongeren, zoals studenten en scholieren) die hun bankrekening tijdelijk beschikbaar stellen voor het phishinggeld. Zo kan het gestolen geld snel en gemakkelijk van rekening naar rekening worden geloodst, zodat het moeilijk is de geldstroom te herleiden naar de daadwerkelijke crimineel. De geldezels krijgen als compensatie een klein deel van het phishingbedrag.

De geldezels worden vaak door een ‘herder’ gerekruteerd. Dit gebeurt online met vacatures die legaal lijken, maar dat eigenlijk niet zijn. Ook kan een herder gesprekken op schoolpleinen en publieke plekken aanknopen, waarbij ze mensen vertellen hoe ze snel en gemakkelijk geld kunnen verdienen. Veel geldezels denken dat hun werkzaamheden legitiem zijn, maar ondertussen zijn ze medeplichtig aan cybercriminaliteit.

Geldezels lopen een groter risico om door de politie gevonden te worden dan de crimineel die de aanval heeft georganiseerd. Het pad dat het gestolen geld afgaat, gaat immers eerst langs alle rekeningen van de geldezels. We raden je dan ook aan om ver van dit soort praktijken weg te blijven. Als iemand je een baan aanbiedt die van je vergt dat je je bankrekening ter beschikking stelt, weet dan dat dit niets goeds kan betekenen.

Slachtoffer van phishing? Dit kun je doen!

Ben je slachtoffer geworden van phishing? Onderneem dan de volgende stappen:

  • Neem direct contact op met je bank om je rekening te laten blokkeren. Zo kan de crimineel geen verdere financiële schade aanrichten.
  • Maak melding bij de politie door te bellen met 0900-8844 en een afspraak te maken bij je lokale politiebureau.
  • Ga naar Fraudehelpdesk.nl en meld de fraude tevens hier.
  • Informeer de instantie of persoon uit wiens naam de oplichting heeft plaatsgevonden. Zij kunnen vervolgens actie ondernemen om hun klanten op de hoogte te stellen en verdere oplichting tegen te werken.
  • Informeer je (online) vriendenkring over de oplichting. Wellicht gebruikt de crimineel jouw gegevens om meer slachtoffers te maken.

Conclusie

Phishing is een geniepige vorm van online criminaliteit die veel problemen kan veroorzaken. Het aanklikken van een kwaadaardige link kan al nare gevolgen hebben. Om te zorgen dat je hier zelf geen slachtoffer van wordt, is het belangrijk goed geïnformeerd te blijven. Weet hoe je een phishingbericht herkent en wat je vooral wel en niet moet doen als je een verdachte e-mail ontvangt. Houd phishingberichten op afstand door je apparaten goed in te stellen. Gaat het toch fout? Neem dan contact op met de juiste instanties en onderneem stappen om de schade te beperken.

Cybersecurity analist
David is cybersecurity analist en een van de oprichters van VPNgids.nl. Geïnteresseerd in het fenomeen van de ‘digitale identiteit’, met speciale aandacht voor het recht op privacy en bescherming van persoonsgegevens.

Meer artikelen uit het ‘Cybercrime’ dossier

Reacties
Plaats een reactie
3
Reacties
  1. Kan iemand al gegevens aan je ontfutselen, enkel door telefonisch contact met je te hebben? Dus je wordt gebeld en iemand vertelt een verhaal, zonder dat je antwoorden geeft?

    • Op het moment dat je gebeld wordt, is er een kans dat er reeds gegevens van je verzameld zijn. Worden er concrete rekeningnummers genoemd door de oplichters, dan is het zaak direct de bank te contacteren, een malwarescan te draaien en wachtwoorden te veranderen.

    • Mijn teksten op computer zijn gekort internet bankieren doe ik niet.

Een reactie plaatsen