Phishing: hoe bescherm je je persoonlijke data?
Het Centrum voor Cybersecurity Belgium (CBC) lanceerde vorig jaar in oktober een grootschalige campagne om ‘phishing’ tegen te gaan en ook recent verschijnen er steeds meer meldingen van uitgebreide pogingen om je gegevens te stelen. Maar wat is phishing nu eigenlijk? En belangrijker, hoe voorkom je er slachtoffer van te worden?
Aan de haak
Phishing is vandaag de dag één van de grootste bedreigingen op het internet. Enkel in België alleen al worden duizenden mensen jaarlijks slachtoffer van deze vorm van internetfraude. Nu meer en meer diensten online worden aangeboden, wordt de vijver waarin fraudeurs kunnen vissen, enkel en alleen maar groter. Dat het probleem volop in de lift zit, blijkt uit cijfers die het CCB bekend maakte. In de eerste 9 maanden van 2019 kregen zij 1 miljoen meldingen binnen van verdachte links of websites. In heel 2018 waren dat er nog 648.000.
Cybercriminelen zijn maar op één ding uit: je persoonlijke gegevens. Dit kunnen wachtwoorden zijn van mailaccounts of sociale media-accounts. Eens ze je wachtwoord bekomen hebben, kunnen ze je account hacken en kunnen al je persoonlijke informatie en berichten zomaar in verkeerde handen vallen. In de meeste gevallen zijn het je creditcardgegevens waar fraudeurs interesse in hebben. Via allerlei listige trucks proberen ze deze te bekomen. Dit heeft vele personen en bedrijven al grote sommen geld gekost.
Een veel gebruikte methode is het nabootsen van een URL, bijvoorbeeld de URL van een bank. Dat wordt in vaktermen ‘URL-spoofing’ genoemd. Die valse URL wordt dan vaak via mail verstuurd en dienen dus als het lokaas. Zulke phishingmails bevatten dan een oproep dat je je dringend moet inloggen, omdat bijvoorbeeld je accountgegevens in gevaar zijn. Oh, de ironie… Het is niet altijd gemakkelijk om zo’n valse URL te ontdekken omdat de verschillen hem in miniscule details zitten. Ook de lay-out van de website wordt exact nagebootst. Volgens het CCB worden fraudeurs ook steeds creatiever en gaan ze mee met de tijd. Nieuwe media zoals Messenger en Whatsapp worden evengoed gebruikt om phishing-links door te sturen. Cybercriminelen vinden tegenwoordig zelfs manieren om via smartspeakers aan je gegevens te komen. Wees dus overal en altijd op je hoede!
Bekende voorvallen
Het gevaar van phishing loert al om de hoek sinds het internet bestaat. Het eerste geval dateert van 1996. Sindsdien hebben er zich nog talloze massale phishing-incidenten voorgedaan, waar duizenden tot soms zelfs miljoenen mensen in één keer slachtoffer werden. Grote sportevenementen zoals een WK voetbal zijn niet enkel voor sportliefhebbers, maar ook voor fraudeurs een absoluut hoogtepunt. Het is dan ook geen verwondering dat veel fans in een wanhoopspoging om aan tickets te komen de verkeerde links aan klikten. Er zijn geen exacte cijfers bekend van hoeveel valse tickets of hotelovernachtingen er uiteindelijk verkocht zijn voor het WK 2018 in Rusland. De wereldvoetbalbond FIFA moest wel ingrijpen en fans uitdrukkelijk waarschuwen om enkel tickets via het officiële kanaal van FIFA te kopen.
Wellicht één van de grootste phishing incidenten die ooit plaatsvond, was ‘Operation Phish Phry’ in 2009. De fraudeurs sloegen er in om via zulke valse mails voor maar liefst 1,5 miljard dollar te stelen van Amerikaanse burgers. Uiteindelijk werden meer dan 100 mensen binnen en buiten Amerika opgepakt.
Ook in België hebben we een historie met phishing-incidenten. In 2016 werd de bank Crelan slachtoffer van fraude. De criminelen wisten de inloggegevens van de CEO en andere hooggeplaatsten binnen de financiële afdeling te bekomen. De schade zou volgens schattingen zijn opgelopen tot 70 miljoen euro. Al deze incidenten tonen aan hoe groot de gevolgen van phishing kunnen zijn. Toch mogen de vele mensen die dagelijks slachtoffer worden van fraude op kleinere schaal ook niet zomaar onder de mat geveegd worden.
Verwante vormen van internetfraude
Er zijn nog heel wat andere technieken die door cybercriminelen toegepast worden voor illegaal geldgewin. Een voorbeeld daarvan is ‘pharming’. Bij pharming gaan fraudeurs je niet rechtstreeks benaderen, maar je via een omweg naar hun malafide website leiden. Ze plegen dan een aanval op de DNS-server van een website. Deze koppelen ze dan aan hun eigen IP-adres, zodat je bij het intypen van de domeinnaam naar hun website wordt geleid. Wanneer je als surfer doorhebt dat je op de verkeerde website zit, is het eigenlijk al te laat. Veel DNS-servers zijn kwetsbaar voor zulke aanvallen. Daarom investeren banken veel in het extra beveiligen van hun DNS-domeinen.
Een laatste manier dat we kort bespreken is ‘skimming’. Deze vorm van fraude richt zich op het illegaal kopiëren van bankkaarten om zo aan de pincode te komen. Ook het vervalsen van QR-codes op facturen valt hieronder om via mobiele betaalapplicaties aan je bankkaartgegevens te komen. Het is onder andere voor dit fenomeen te bestrijden dat bankkaarten tegenwoordig zijn uitgerust met een microchip.
Wat kan je doen?
Je bewust zijn dat de dreiging van phishing achter elke muisklik kan loeren is een goede eerste stap. Daarnaast zijn er nog heel wat goede tips die CCB geeft. Een kijkje nemen op de website www.safeonweb.be is zeker een aanrader. Phishinglinks zitten meestal verpakt in spammails. Er zijn maatregelen die je kan nemen om de kans te verkleinen dat je mailbox vol met ongewenste spammails komt te zitten. Hou je mailadres privé en plaats het niet onnodig openbaar op het internet. Fraudeurs schuimen voortdurend het internet af op zoek naar contactgegevens van nieuwe potentiële slachtoffers. Denk daarom ook goed na vooraleer je je inschrijft voor een nieuwsbrief. Doe dit enkel wanneer het echt noodzakelijk is en je de afzender voor de volle 100% vertrouwt. Toch zal je misschien niet helemaal kunnen voorkomen dat een ongewenste mail toch naar je verzonden wordt. Gelukkig zijn de meeste mailapplicaties al wel uitgerust met een aparte spamfolder. Als een mail hierin belandt, dan moet er automatisch een alarmlicht afgaan. CCB raad te allen tijde aan zulke mails niet te openen en ze meteen te verwijderen. Ga er zeker niet mee in interactie. Door er op te reageren of ze door te sturen, laat je zien dat je mailadres actief is en zal je nog meer spam ontvangen. Datzelfde gebeurt als je je expliciet afmeldt voor mails ontvangen.
Daarnaast zijn er nog andere handige trucjes om valse mails van authentieke te onderscheiden. Er zijn heel wat typische karakteristieken waar phishingmails vaak aan voldoen. De afzender zal je nooit persoonlijk aanspreken, maar altijd als ‘beste klant’ bijvoorbeeld. Vraag je ook altijd af of de instelling die de afzender probeert na te boosten wel een ‘reden’ heeft om contact met je op te nemen. Kijk ook goed naar de vraag die gesteld wordt. Vaak zal de afzender je uitdrukkelijk verzoeken om je account te verifiëren door in te loggen. Ze dreigen dan met ernstige gevolgen als je dit niet doet. Weet dat een officiële instantie nooit via mail of sms/Whatsapp om je persoonlijke gegevens zou vragen.
Controleer daarom ook altijd goed het mailadres van de afzender en de link die de mail bevat op (meestal erg subtiele) verschillen. Zit er in de domeinnaam nog een woord tussen de naam van de organisatie en de domeinextensie (.be, .com), dan is dat hoogstwaarschijnlijk een valse link. Taal- en spelfouten zijn wellicht het meest eenvoudig te detecteren kenmerk, al zijn fraudeurs doorgaans wel voldoende professioneel om deze te voorkomen.
Heb je één van deze kenmerken kunnen aanvinken? Dan kan je niet voorzichtig genoeg zijn. Klik nooit, en het woord ‘nooit’ willen we extra benadrukken, op een link die je niet vertrouwt. Verwittig zeker de instelling van wie de mail komt. Banken en overheidsinstellingen hebben er ook baat bij te weten dat hun naam en credibiliteit misbruikt worden. Het is ook te adviseren de mail of link via het mailadres verdacht@safeonweb.be door te sturen naar het CCB zodat zij verdachte links kunnen verwijderen. Indien er echt sprake zou zijn van het stelen van gegevens, doe dan zeker aangifte bij de politie en laat in geval van bankkaartgegevens deze onmiddellijk blokkeren.
Sociale media
Gelukkig zijn de grote socialemediabedrijven zich er ook wel van bewust dat hun platformen vatbaar zijn voor phishing-pogingen. Daarom bouwen zij ook enkele functionaliteiten in die de veiligheid van je account verhogen. Facebook heeft bijvoorbeeld ook zijn eigen meldingspunt voor verdachte mails. Dat mailadres is phish@fb.com. In het helpcentrum van Facebook vind je ook enkele handige maatregelen die je kan nemen om je account betere te beveiligingen, naast enkele tips om te controleren of een mail van Facebook ook authentiek is. Instagram kreeg er recent een nieuwe functie bij die je kan inschakelen om de beveiliging van je account te verbeteren. Via die functie controleert Instagram voor jou welke mails authentiek zijn en welke niet. De functie wordt in het menu ‘Security’ aangezet. Controleer zeker voor alle sociale media-accounts die je hebt wat zij doen om je account te beschermen tegen fraudepraktijken.
Het valt helaas niet te verwachten dat phishing een dreiging is die van de ene dag op de andere zal uitdoven. Het internet is nu eenmaal het medium dat onze maatschappij aanstuurt. Dat maakt het ook de place to be voor zij die slechte intenties hebben. Hopelijk heeft dit artikel je hier meer bewust van kunnen maken. Een beter bewustzijn zal automatisch leiden tot meer voorzichtigheid. En die is nodig als je niet als een vis aan de haak wil geslagen worden.