Phishing: criminelen die naar je persoonlijke gegevens hengelen via mails, berichten of zelfs de telefoon. Er is al vaak voor gewaarschuwd, maar toch worden ieder jaar nog vele duizenden mensen het slachtoffer. Plus helpt je daarom phishing beter te herkennen aan de hand van een voorbeeld.
Vissen
Phishing is een Engels woord dat je kan vertalen als vissen. Dat dekt de lading van de criminele activiteit die het beschrijft goed. De oplichters die phishing gebruiken proberen aan je persoonlijke informatie te komen, in het bijzonder je bank- of creditcardgegevens. Daarvoor gooien ze een hengel met aas uit. De hengel was vroeger meestal een valse e-mail, maar later kwamen daar ook allerlei soorten berichten bij, zoals sms-jes en appjes op WhatsApp. De meest geslepen phishers deinzen er niet voor terug om je op te bellen en zich voor te doen als medewerker van een bank of ander bedrijf en op die manier aan je informatie te komen.
In alle gevallen is het de bedoeling een potentieel slachtoffer voor de gek te houden, door die wijs te maken dat een legitiem bedrijf dringend zijn of haar gegevens nodig heeft. Dit is het aas. Het gaat dan bijna altijd om inloggegevens voor een account, zodat de oplichter daarmee vervolgens zoveel mogelijk geld kan overmaken naar een eigen rekening
Phishing via mail
Een phishing mail is een valse e-mail die eruit ziet als een legitieme e-mail. Bijvoorbeeld van een bank of creditcardmaatschappij. Je wordt -bijna altijd zeer dringend- met een smoes verzocht op een link of knop in de mail te klikken, of een QR-code te scannen. Meestal om je gegevens opnieuw op te geven in verband met een controle of een noodgeval.
Je komt zo op een phishing website, die lijkt op een echte website van het in de mail genoemde bedrijf. Zo’n website is vrij makkelijk oppervlakkig na te maken met behulp van de juiste kleuren, teksten en afbeeldingen. Als je op die website je gegevens intypt, worden die doorgestuurd naar de oplichter achter de phishing mail. Die probeert dan je informatie of je geld te stelen.
Regelmatig worden ook sms-jes of berichten op sociale media gebruikt om slachtoffers te verleiden. Soms probeert de oplichter je zo naar een valse website te lokken. Het enige verschil is dat de tekst in het bericht korter is dan in een phishing mail. In andere gevallen probeert een crimineel te doen alsof het een bekende is, bijvoorbeeld een dochter of zoon, die zogenaamd een nieuwe telefoon of nieuw nummer heeft. Het vriendelijke verzoek is of je dan een berichtje terug kan sturen. De bedoeling daarvan is dan een gesprek aan te knopen en je geld af te troggelen.
Phishing herkennen
Welke phishinghengel ook wordt gebruikt… Als je geen klant bent bij het bedrijf waarvan de mail of het bericht zogenaamd afkomstig is, weet je meteen al dat het niet zuiver op de graat is. Hetzelfde geldt als je wordt aangesproken door een dochter of zoon die je niet hebt.
Helaas is het niet altijd direct zo duidelijk dat het om phishing gaat. Daarom is het belangrijk om te weten waar je een phishing bericht aan herkent. Hieronder staat een voorbeeld van een echte phishing mail. Die gaan we eens van dichtbij bekijken.
Geachte klant,
Wij willen je in kennis stellen over een belangrijke verandering met betrekking tot de nieuwe identificatievereisten in Nederland. Sinds 2024 april zijn wij onafwendbaar om ons te houden aan reeds ingebrachte wetten omtrent kapitale adviesdiensten. Hierom dwingen wij al onze gebruikers om zich nog een keer te registreren.
Het is onvermijdelijk dat je jouw identiteit opnieuw valideert. Zonder deze verificatieproces is het gebruikelijk dat we limieten moeten opleggen aan je gebruikersprofiel, wat we uiteraard willen vermijden. om dit te voltooien moet u hierbeneden de richtlijnen opvolgen
Scan de QR code met de camera van uw telefoon. We comprehenderen dat dit voor jou als klant wellicht last opbrengt, maar het is fundamenteel om te voldoen aan de protocollen. Als u niet binnen 48 uur de identiteitsverificatie uitvoert riskeert u om een geldstraf te krijgen van 72,56 euro.
Met vriendelijke groet
Taalfouten
Veel phishing mails en -berichten vallen op door de bijzondere spelling en grammatica. En vooral dan door het flinke aantal fouten en vreemde woordgebruik. In de voorbeeldmail staan bijvoorbeeld deze teksten:
- Sinds 2024 april zijn wij onafwendbaar om ons te houden aan reeds ingebrachte wetten omtrent kapitale adviesdiensten.
- Zonder deze verificatieproces moet u hierbeneden
Ieder gewoon bedrijf zorgt ervoor dat dit soort fouten niet in een mail naar klanten staan.
Daarnaast is in het voorbeeld van de phishing mail ook opvallend hoe overdreven het taalgebruik is:
We comprehenderen dat dit voor jou als klant wellicht last opbrengt, maar het is fundamenteel om te voldoen aan de protocollen.
Dit komt gewoonlijk doordat deze mails met een programma zijn vertaald vanuit het Engels of andere taal en de criminelen erachter geen Nederlands schrijven en spreken.
Tikkende klok
Phishers houden ervan om hun potentiële slachtoffers te manipuleren door ze bang te maken en stress te geven. Een van de gebruikte methoden daarvoor is een strakke deadline opleggen. Het liefst moet je zo snel mogelijk actie ondernemen, zodat je niet goed nadenkt en ook niet controleert of alles in de mail wel klopt.
Als u niet binnen 48 uur de identiteitsverificatie uitvoert riskeert u om een geldstraf te krijgen van 72,56 euro.
Straf
Om je nog meer onder druk te zetten, dreigt de phisher ook met vervelende of ernstige gevolgen als je niet doet wat in de mail staat.
Als u niet binnen 48 uur de identiteitsverificatie uitvoert riskeert u om een geldstraf te krijgen van 72,56 euro.
Bij verschillende oplichtingsmails van het voorbeeld was het bedrag overigens iedere keer weer anders, dus duidelijk willekeurig gekozen.
Een ander populair dreigement is het afsluiten van je account, bijvoorbeeld bij je bank, als je niet meteen actie onderneemt. De gedachte dat je dan niet meer bij je geld kan komen, kan voldoende zijn voor sommige mensen om de instructies in de mail op te volgen.
Fout mailadres
Bij de meeste gevallen van phishing zijn de daders nogal lui. Ze doen weinig moeite om 100% overtuigend over te komen. Behalve aan een slecht geschreven mail kun je dat ook zien aan het mailadres en de link van de website waar je op moet klikken.
Bovenaan de mail kun je het mailadres zien waar vanaf deze is gestuurd. Authentieke mailadressen van bedrijven hebben standaard de naam van dat bedrijf in de e-mail staan. Bijvoorbeeld info@banknaam.nl. Bij de meeste phishing mails staat hier een ander mailadres, soms van een ander bedrijf met een bekende naam of gewoon een volledig namaak mailadres. Gewoonlijk wordt alleen de naam die voor het mailadres staat aangepast, om te doen alsof de mail echt van een specifiek bedrijf komt. Er staat dan bijvoorbeeld: info.banknaam met daarachter een vals mailadres, zoals in de phishing mail van het voorbeeld: <contact@galuppyinfo.com>
Ook de link naar een website waar je in de mail op moet klikken, is meestal niet overtuigend. De naam van die link kan aan de oppervlakte echt lijken, maar als je je muiswijzer er boven houdt -let wel op dat je niet klikt- zie je in je mailprogramma het bijbehorende echte adres bij die link. Deze verwijst door naar een phishing website, eventueel via een omweggetje. Bij een QR-code kun je helaas niet zo snel en veilig zien waar die naar verwijst. Het is altijd het beste die niet te scannen als je het niet vertrouwt.
Hou er rekening mee dat sommige oplichters wel degelijk hun uiterste best doen om de gegevens in de mail zo echt mogelijk te laten lijken. Met behulp van bepaalde trucs kunnen ze dan het mailadres en het webadres wel legitiem laten lijken. Deze techniek wordt spoofing genoemd. Ga er dus nooit vanuit dat een mail met echt lijkende adresgegevens geen phishingmail zal zijn.
Contact leggen
Wat phishing betreft is het belangrijk dit te onthouden: banken, creditcardmaatschappijen en andere bedrijven zullen nooit contact met je opnemen om te vragen je inloggegevens of andere accountgegevens -opnieuw- in te voeren. Om wat voor reden dan ook. Niet via een e-mail, niet via een sms, niet met een WhatsApp-bericht of door je op te bellen. Reageer hier nooit op en hang meteen op wanneer je hierover gebeld wordt.
Als je toch nog twijfelt, kun je zelf direct contact opnemen met de bank of ander bedrijf. Ga daarvoor naar de website, met een link die je bijvoorbeeld in je papieren correspondentie hebt staan. Of zoek hiervoor op de naam van het bedrijf via Google en ga zo naar de website. De officiële website staat meestal al direct boven in de zoekresultaten. Klik niet op een link in de verdachte e-mail of ander bericht en scan geen QR-code om naar de website te gaan.
Op de officiële website vind je de echte adresgegevens terug waarmee je contact kan opnemen met het bedrijf.
Let erop dat controleren of een naam van een zogenaamde medewerker voorkomt op de website van een bedrijf of instantie geen enkele zekerheid biedt. Als jij de naam van een bepaalde medewerker kan vinden, kan een oplichter dat ook.
Meer phishing informatie
Een goede plek om te controleren of je een phishing bericht hebt ontvangen, is de website van de zogenaamde afzender. Bijvoorbeeld: je krijgt een verdachte mail van Visa over je creditkaart. Surf dan zelf naar de echte website van Visa met de tips van Contact leggen.
Zoek vervolgens met behulp van het zoekvak op die website naar phishing. Bij veel bedrijven, zeker financiële, vind je zo een aparte pagina met nieuwe- en oude phishing berichten, die in naam van dat bedrijf verzonden zijn. Je zal dan al meestal snel de phishing mail tegenkomen die jij ontvangen hebt. Ook staan er op de pagina vaak instructies over hoe je hiermee het beste kan omgaan.
Let er wel op dat wanneer ‘jouw’ phishing mail niet op zo’n pagina staat, dat niet betekent dat het geen phishing mail is. Niet alle mails en berichten worden genoemd op een bedrijfspagina over phishing.
Extra controle
Echte phishing mails raken vaak snel bekend omdat ze op grote schaal verspreid worden. Hou de media in de gaten voor berichten hierover of zoek met een zoekmachine als Google op de titel of een deel van de inhoud van de mail. Als het gaat om oplichtingsmails in combinatie met bekende banken en andere bedrijven, verschijnen hier regelmatig berichten over in de media. Dit biedt overigens geen 100% zekerheid dat de e-mail die je ontving wel legitiem is. Blijf altijd op je hoede.