Phishing is tegenwoordig redelijk bekend – helemaal als je een e-mailadres hebt. Dan heb je namelijk vast wel eens spam gehad van een rijke Nigeriaanse prins die tijdelijk wat geld nodig heeft, maar je echt terug gaat betalen of ben je gecontacteerd door dyslectische bankmedewerkers.
Cybercriminelen zitten echter niet stil en die dyslectische bankmedewerker is ingeruild voor een welbespraakte jongeman die zelfs even belt dat je bankpas vernieuwd moet worden. En die Nigeriaanse prins? Hij stuurt geen mail meer, maar bereikt je via WhatsApp en is tegenwoordig je zoon of dochter die met spoed geld nodig heeft gehad.
Die phishing tactieken werken nog altijd uitstekend. Uit onderzoek is gebleken dat er in 2021 voor 62,5 miljoen euro schade is gemaakt door fraude bij betalingsverkeer. Hierbij ging het ook over schade van andere fraudulente cybercriminaliteit, maar het geeft een beeld dat het zeker niet alleen maar om weerloze ouderen gaat. Ook ondernemers worden nog voor de gek gehouden door de vele soorten phishing.
Phishing verandert dus nog altijd continu én blijft effectief en daarom moeten we samen op blijven letten. En als één van onze eigen cyberexperts, ethische hacker Rik van Duijn, namens Zolder dan ook nog in één van Nederlands grootste podcasts over cybercriminaliteit zit om over phishing te praten dan snap je dat wij je graag weer even bijpraten.
Wat is phishing?
Phishing is elke vorm van cybercriminaliteit waarbij een crimineel zich voordoet als een legitieme bron om je gevoelige gegevens afhandig te maken, zoals creditcard of inloggegevens. Met die data hopen ze je vervolgens te bestelen.
We zouden je hier ook een langere uitleg kunnen geven, maar geven daarvoor veel liever het podium aan Rik van Duijn. Hij werd als cyberexpert uitgenodigd om bij de podcast ‘Ik weet je wachtwoord’ van techjournalist Daniël Verlaan te praten over phishing. Hij legt bijvoorbeeld uit hoe cybercriminelen zogeheten phishingpanels gebruiken om mensen tot wel enkele tonnen aan geld afhandig te maken.
Wat kun je doen tegen phishing?
Bij phishing is het belangrijk om te onthouden dat het tegenwoordig dus niet alleen meer de slecht geschreven e-mails zijn waarmee mensen je proberen op te lichten.
Er zijn meerdere soorten phishing:
- Phishing via e-mail: Tegenwoordig lijken de mailtjes steeds meer op een origineel mailtje van bijvoorbeeld je bank.
- Vishing (Voice phishing): Je wordt gebeld door de cybercrimineel die zich voordoet als een legitieme bron. Oplichters die zich voordoen als bankmedewerkers maakten vorig jaar het grootste deel uit van de 65,2 miljoen euro schade: maar liefst 76 procent.
- Smishing (SMS phishing): Je krijgt een SMS’je of WhatsApp-bericht van een oplichter die zich voordoet als iemand die je kent. Vooral de truc waarbij iemand zich voordoet als één van je kinderen die met spoed geld nodig heeft is bekend.
- Social media phishing: Hierbij kan een oplichter bijvoorbeeld de inlogpagina van Instagram namaken. Als ze jou hier kunnen laten inloggen hebben ze je gegevens en kunnen ze op je account. Soms proberen ze met deze data ook op andere platformen, of je bank, in te loggen. Andere keren zullen ze via jouw account je vrienden en familie proberen op te lichten.
Elke mogelijke vorm van communicatie wordt dus wel gebruikt om jou te proberen op te lichten. Gelukkig is er, na al dit slechte nieuws, nog wat goed nieuws over: met gezond verstand en een oplettend oog trap je niet zomaar in phishing aanvallen.
Hoe phishing te voorkomen?
Phishing voorkomen kan in het begin voelen als een flinke opgave, helemaal omdat oplichters zoveel technieken gebruiken. Toch is het iets wat snel een tweede natuur wordt; een gezonde hoeveelheid argwaan als het gaat om online transacties wordt uiteindelijk normaal.
Hiervoor helpen we je graag met de vragen die je jezelf kan stellen, voor je ingaat op een verzoek van een schijnbaar legitieme bron. We gaan er hierbij vanuit dat het om communicatie omtrent werk gaat.
Afzender
Intern
- Is de verzender iemand met wie ik normaal communiceer?
- Is deze mail logisch van deze persoon, of past het niet bij jouw of zijn/haar verantwoordelijkheden?
Extern
- Komt de mail van een betrouwbare bron, of is het een vreemd domein (zoals rabobank-mail.com)?
- Is dit iemand die ik persoonlijk ken, of anders iemand waar een bekende van mij voor kan instaan?
- Heb je ooit eerder contact gehad met deze bron?
Ontvanger
- Ben ik de enige ontvanger of is het aan een hele lijst met mensen gestuurd, die ik niet herken?
- Is de lijst met ontvangers vreemd, bijvoorbeeld omdat alle mailadressen met dezelfde letter beginnen?
Links
- Gaan links echt naar de goede website? Controleer dit door met je muis over de link te gaan, dan krijg je de URL te zien.
- Is de naam van de website correct gespeld en gaat hij naar een .nl of .com of andere logische optie?
Inhoud
- Neemt deze persoon contact op met correct taalgebruik?
- Gaat de inhoud van dit bericht erover dat ik binnen een bepaalde tijd actie moet ondernemen?
- Is het soort bericht logisch voor de persoon die dit stuurt?
Bijlagen
- Is de bijlage logisch en heeft deze persoon je wel eens eerder iets gestuurd?
- Is het een normaal bestandstype, zoals een .txt (en bijvoorbeeld geen .exe)?
Onderwerp
- Is het onderwerp logisch en past het bij de afzender?
- Is het onderwerp een reactie op een bericht dat ik nooit heb gestuurd?
Tijd
- Is dit bericht op een logische tijd gestuurd?
Wanneer je ervoor zorgt dat je dit soort vragen gebruikt om altijd op je hoede te zijn dan krijg je er al snel gevoel voor. Waar je eerst misschien echt alle links moet controleren zul je na verloop van tijd voelen dat er iets niet helemaal klopt en pas daarna een vragenlijst als deze in je hoofd nalopen.
En vergeet natuurlijk niet om dieper op dit onderwerp in te duiken door de podcastaflevering ‘Nederlands Phishingland’ met onze cyberexpert Rik van Duijn te luisteren. Er komt zelfs een ex-oplichter aan het woord die toegeeft maandelijks een jaarsalaris bij elkaar gestolen te hebben. Een luistertip.