Cardstop, bpost en meer: zo bescherm je jezelf tegen phishing
Phishing is een soort van internetfraude, waarbij internetgebruikers overhaald worden om persoonlijke gegevens, pincodes, inloggegevens en creditcardinformatie te delen. Soms spreekt men ook over ‘smishing’, en dan gaat het specifiek over phishing via sms-berichten. Meestal gaat het om berichten die een bepaald soort urgentie opwekken: de criminelen willen namelijk dat je geen tijd neemt om na te denken, en dat je zo snel mogelijk reageert.
Dat kan om simpele zaken gaan, zoals een pakketje dat “tegengehouden werd” bij de post of een groot geldbedrag dat van je rekening werd afgeschreven. Zelf ontvingen we kort geleden het bericht dat er €1970,00 van onze afrekening werd afgeschreven. In datzelfde bericht stond ook een gsm-nummer, en de afzender stelt voor om daar “onmiddellijk” naar te bellen. Doe dat niet. Het is belangrijk dat je eerst en vooral het hoofd koel houdt, en dat je nergens zomaar op klikt of naar belt.
Cardstop
Als je je kaart wil laten blokkeren, moet je daarvoor bij het nummer 078 170 170 zijn. Nummers die beginnen met ‘04’ of ‘+324’ hebben niets te maken met Cardstop, en daar bel je dus ook best niet naartoe. Krijg je een sms’je dat zogezegd van Cardstop komt en staat daar een 04-nummer in? Dan weet je meteen dat het berichtje vals is.
In zeldzame gevallen kan het zijn dat je toch een legitiem sms-bericht ontvangt van Cardstop. Als je zo’n sms’je ontvangt, heeft Cardstop je kaart al lang geblokkeerd. Je zal de vraag krijgen om contact op te nemen met de klantendienst van Cardstop, op het nummer +32 (0)2 205 85 85. In het bericht staat ook een snelkoppelingscode die nodig is om jezelf te identificeren bij het spraaksysteem van Cardstop.
Belangrijk om te weten: medewerkers zullen je nooit ofte nimmer om je bankgegevens vragen per telefoon of via sms. Wordt die informatie toch gevraagd? Haak dan meteen af. Bovendien zal Cardstop je nooit proactief opbellen. Gebeurt dat toch? Ook dan leg je best de hoorn neer.
Bpost en andere postbedrijven
Nog een populaire manier waarop cybercriminelen aan phishing doen, is door postbedrijven te imiteren. De werkwijze is hier steeds hetzelfde: je ontvangt een bericht over een pakketje dat tegengehouden werd door de douane, en je moet betalen via een link om het los te krijgen.
Wat je ook doet: klik niet op de link in het bericht. In 90% van de gevallen gaat het om een poging tot phishing. Is er een pakketje onderweg en denk je dat het sms’je echt is? Dan nog kan je best niet op de link klikken. Best zorg je ervoor dat de bpost-app op je toestel geïnstalleerd staat: je zal dan melding krijgen als er iets betaald moet worden, en je kan dat dan meteen in de beveiligde app-omgeving doen. Een andere veilige optie is om naar het track-and-trace-systeem van bpost te surfen op de website track.bpost.cloud. Daar kan je de barcode van het pakket en je postcode ingeven. Moet er iets betaald worden? Dan zal je dat hier zien staan.
Goed om te weten: bpost ontvangt geen betalingen via bankoverschrijving of PayPal. Zie je die opties verschijnen? Maak dan dat je weg bent en voer geen betaalinformatie in. Twijfel je of een bericht echt is? Zoek dan de nummer van de klantendienst op op het internet, en ga daar verhaal halen. Als een bericht vals is, zal de medewerker je dat vrij snel kunnen vertellen.
URL’s controleren
Zie je ergens een link staan? Dan is het belangrijk om die link steeds te controleren. Niet alle URL’s zijn namelijk wat ze lijken. Zelf ontvingen we onlangs een phishingbericht in naam van bpost. Daarin stond een link die naar bpost leek te wijzen, maar die eigenlijk op een andere site uitkwam. Dit kan je zelf zien door de URL uiteen te halen. Het ‘.com’, ‘.nl’ of ‘.be’-gedeeltje van een URL heet een ‘Top Level Domain’ of TLD. Meteen daarvoor staat de zogenoemde ‘domeinnaam’. Daar moet je goed op letten vooraleer je ergens op klikt.
In ons bericht werden we naar bpostrk.glitch.me gestuurd. Zelf kan je heel snel zien dat het niet om de echte site gaat: je wordt namelijk naar een site bij ‘glitch.me’ gestuurd, en niet naar bpost.be. Soms zijn de verschillen kleiner en zijn ze heel moeilijk te zien. Bpost wordt dan Bp0st, met het cijfer nul in plaats van de letter ‘o’. Ook de kleine letter ‘l’ en hoofdletter ‘I’ kunnen voor problemen zorgen. Ook URL’s met typfouten, zoals microfost.com, mijd je best.
Anderen helpen beschermen
Denk je dat je een vals bericht hebt ontvangen? Dan kan je het best doorsturen naar Safeonweb, via het adres verdacht@safeonweb.be. Door het bericht hier te melden, help je andere internetgebruikers te beschermen. Ben je niet helemaal zeker of iets vals is? Dan neem je best het zekere voor het onzekere: klik nergens op, en stuur het bericht door naar Safeonweb. Je zal niet gestraft worden indien je vals alarm slaat. Nadien kan je best het bericht verwijderen.
Ontvang je het phishingbericht op je werk? Stuur het dan eerst nog even door naar de ICT-dienst in het bedrijf. Niet om die meneren en mevrouwen in de val te doen trappen, maar wel zodat zij de dreiging kunnen inschatten en, indien nodig, berichten kunnen tegenhouden en de rest van de organisatie kunnen waarschuwen.
Jezelf beschermen
Een gewaarschuwd man (of vrouw) is er twee waard. Het is dus een goed idee om jezelf op de hoogte te houden van eventuele phisingpogingen die de ronde doen. Dat kan door de Safeonweb-app voor Android of iOS op je toestel te installeren. Ontvang je die informatie liever op de pc? Dan kan je naar https://www.safeonweb.be/index.php/nl/actueel surfen: alle waarschuwingen worden namelijk ook daar gepubliceerd.
Soms glipt er toch een poging tot phishing door de mazen van het net, en komt die in jouw inbox terecht. Belangrijk is om steeds rustig te blijven en niet overhaast actie te ondernemen: “haast en spoed is zelden goed”, en die uitspraak is hier absoluut van toepassing. Klik ook nooit zomaar op links en geef je informatie niet zomaar prijs via berichtendiensten.