Achtergrond

Phishing: als een vis aan de haak

Helaas is het internet één grote visvijver voor criminelen die uit zijn op onze persoonlijke gegevens. In dit artikel leggen we uit hoe je hen daartoe de kans niet geeft.

De cijfers liegen er niet om: het internet is een gevaarlijke plaats om ten prooi te vallen aan fraudeurs. In 2019 kreeg het Centrum van Cybersecurity Belgium al meer dan 1 miljoen meldingen van phishing-pogingen binnen. Uit recent onderzoek van Febelfin bleek dan weer dat vooral jongeren hier zeer vatbaar voor zijn, en dat zelfs 1 op de 10 jongeren zich bereid zou tonen vrijwillig mee te werken aan phishing.

Het toont dat de problematiek van phishing en andere vormen van internetfraude er één is waar niet genoeg aandacht aan kan besteed worden. Het internet is een open en toegankelijk medium, maar die vrijheid houdt ook heel wat risico’s in waar te veel surfers zich nog niet van bewust zijn. Dat maakt hen een makkelijk doelwit voor mensen met slechte bedoelingen. Met allerhande slimme trucs proberen ze ons vertrouwen te winnen zodat we hen onze eigen gegevens zomaar geven. Je inloggegevens en je kredietkaartgegevens zijn geen zaken die je onbekenden als een kerstcadeau moet geven.

Verschillende vormen

We staan eerst even stil bij de verschillende vormen die internetfraude kan aannemen. Phishing blijft de meest voorkomende vorm. Criminelen nemen dan de gedaante aan van een bank of een andere instelling en zullen je via een inloglink om de tuin leiden. Tegenwoordig zijn de criminelen meer dan slim genoeg om verschillende media uit te proberen, maar e-mail blijft toch hun favoriete kanaal omdat het sneller een indruk van betrouwbaarheid opwekt dan bijvoorbeeld Whatsapp.

Bovendien maakt het huidige e-mailprotocol het ook mogelijk om in eender welke naam of hoedanigheid een mailadres aan te maken. De afzender van een mailadres wordt niet geverifieerd, en bij het aanmaken van een account is er nauwelijks controle. Het aanmaken van een vals mailadres wordt in vaktermen ‘spoofing’ genoemd. In theorie is het zelfs mogelijk dat je een e-mail van jezelf krijgt. Ik zou zonder problemen mezelf kunnen voordoen als Belfius, KBC of een andere bank en vanuit een vals mailadres je een mail sturen. Daarin waarschuw ik je dan dat je dringend moet inloggen op je account, en voeg ik een link toe in de mail. Log je je dan in via die valse link, dan heb ik zo toegang tot je accountgegevens, en mogelijk ook kredietkaartgegevens als ik die zou gevraagd hebben. Je kan je de mogelijke gevolgen daarvan wel inbeelden.

Er zijn nog andere vormen, zoals het proberen installeren van malware of ransomware. Waar phishing het nog wat subtieler probeert aan te pakken, kiest deze vorm van fraude resoluut voor de aanval. Hier probeert men echt schade aan te brengen aan je computer, in een poging om je te chanteren. Je systemen worden pas hersteld vanaf je een borgsom betaalt. De dreiging hoeft nog niet eens echt te zijn. Veel criminelen spelen blufpoker en proberen je bang te maken dat zij je computer gehackt hebben.

Valse mails herkennen

Omdat het online vaak moeilijk wordt om onderscheid te maken tussen wat nep en echt is, kunnen de volgende tips je daarbij op weg helpen. In elke phishing-mail moeten fraudeurs informatie prijsgeven die je tegen hen kan gebruiken. Het eerste is het mailadres waarmee de mail verzonden is. Wees er wel bewust van dat criminelen niet van gisteren zijn en mailadressen zo betrouwbaar mogelijk zullen maken. De verschillen zijn vaak erg subtiel, zoals een ‘o’ door een ‘0’ vervangen.

Daarnaast moet je ook altijd de link controleren. Open nooit een link die je niet helemaal vertrouwt! Je cursor boven de link houden opent de statusbalk, die je wat meer info over de link en de afzender geeft (deze functie is niet mogelijk op een smartphone!). Net als bij mailadressen zijn de links zo goed mogelijk nagemaakt. Toch kan als je de link grondig onderzoekt de verschillen er wel tijdig uithalen. Een link bestaat uit de domeinnaam en -extensie voor de schuine streep. Bij de meeste instellingen is dit de naam van het bedrijf en dan meteen de domeinextensie. Een extra woord ertussen is vaak al een indicatie dat er iets mis is. Bij twijfel typ je de link van de afzender die wordt nagebootst gewoon even in een ander tabblad om naar verschillen te zoeken.

Onderneem actie!

Is je argwaan gewekt? Onderneem dan ook actie! Breng de instelling in kwestie ervan op de hoogte dat hun naam en eer misbruikt worden. De mail kan je ook doorsturen naar het meldpunt verdacht@safeonweb.be. Verwijder de mail zo snel mogelijk wanneer dit gebeurd is en antwoord er zeker niet op.

Het kan zeker voorvallen dat je alarmbel te laat is afgegaan en het kwaad al geschied is. Je bent lang niet de eerste en zeker niet de laatste die dit overkomt. Ook dan moet je zo snel mogelijk actie ondernemen! In geval van een aanval met malware verbreek je best zo snel mogelijk je internetverbinding zodat de download gestopt wordt. Maak regelmatig back-ups van je bestanden zodat je ze achteraf kan herstellen en investeer in een goede antivirusscanner.

Gelukkig zijn veel accounts tegenwoordig al beveiligd met een 2FA-systeem die extra bescherming bieden. Als je deze optie krijgt, maak hier dan altijd gebruik van. Want als jouw inloggegevens toch onderschept worden, dan kunnen kwaadwilligen hier niets mee doen omdat ze de tweede beveiligende factor niet in handen hebben. Dat kan een sms, tijdelijk paswoord of push-melding zijn.

Wanneer je in een phishing-net verstrikt bent geraakt, verander dan je wachtwoord en inloggegevens van de desbetreffende site(s). Controleer best ook nog maar eens andere accounts of je daar niet hetzelfde wachtwoord hebt gebruikt. In geval van het stelen van kredietkaartgegevens, laat je onmiddellijk via Cardstop (070 344 344) je kaart blokkeren, en doe je er ook geen kwaad mee dit aan de politie te melden. Indien er phishing-mails in jouw naam worden verstuurd, verwittig je netwerk daar dan ook van de mail niet te openen. Check regelmatig ook de website https://haveibeenpwned.com/ om te controleren of er een inbreuk op je mailaccount heeft plaatsgevonden.

De strijd tegen phishing zal ook na het schrijven van dit artikel nog lang niet gestreden zijn. Maar we hopen dat deze handleiding je kan helpen te voorkomen dat je als een vis aan de haak wordt geslagen.

Beveiligingcybercriminaliteitfraudephishingzakelijk

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken