Dossier

Phishing: zo laat je oplichters bot vangen

03 juli 2019
fishing

03 juli 2019
Een mail waarin je bank om je gegevens vraagt, een sms met het verzoek op een link te klikken, een WhatsApp-bericht dat meldt dat je iets hebt gewonnen … Cybercriminelen proberen op verscheidene manieren naar je persoonlijke gegevens of geld te hengelen. Onze tips om je niet aan de phishing-haak te laten slaan.

Wat is phishing?

Phishing is een vorm van cybercriminaliteit waarbij het (potentiële) slachtoffer wordt benaderd via e-mail, sms, instant messaging, sociale media of telefoon. De oplichter doet zich daarbij voor als iemand anders. Dat kan je bank, energieleverancier of een technologiebedrijf zijn, maar evenzeer een vriend of familielid.

Het doel is om te “hengelen” (“phishing” in het Engels) naar gevoelige gegevens, zoals persoonlijke informatie, wachtwoorden, bank- of kredietkaartgegevens. Eens hij die gegevens heeft buitgemaakt krijgt de oplichter vrij spel: hij kan er bijvoorbeeld toegang mee krijgen tot belangrijke accounts van het slachtoffer, zijn geld of identiteit stelen.

Verscheidene vormen

Om die informatie te verkrijgen worden verscheidene middelen ingezet. E-mails zijn nog steeds het populairst, maar daar blijft het niet bij.

Via e-mail

Er bestaan verschillende varianten van de phishingmail: een waarschuwing omtrent je account, de vraag van je bank om je gegevens te bevestigen … De afzender lijkt betrouwbaar, maar is uit op je persoonlijke of financiële gegevens die hij laat invullen op een nagemaakte webpagina, of hij wil je toestel infecteren met malware door je een bijlage te doen openen.

Hieronder een voorbeeld van een phishingmail zogenaamd afkomstig van Apple. Kijk even mee naar het e-mailadres: support@rjmamasatim02-team.freshdesk.com; dit lijkt allesbehalve een officieel Apple-adres. Als we met ons muispijltje over de link (“verify your identity”) zweven, zien we de echte URL verschijnen: het is een verkorte link (https://t.co/dzjF8OKRbN) die niet naar de echte Apple-website gaat.

phishingmail apple

Via sms, WhatsApp of Facebook Messenger

Sms- of instant messaging-apps worden gebruikt voor “smishing”: je krijgt een sms, WhatsApp- of Facebook Messenger-bericht met daarin een waarschuwing (bv. “Ben jij dat in deze video?”) of aanbieding (bv. “Win een waardebon bij Lidl”), en het verzoek om op een link te klikken of een nummer te bellen. De link doet je malware installeren of leidt naar een nagemaakte webpagina waarop je je gegevens moet invullen. Het nummer leidt naar een fraudeur die zich bv. voordoet als een bedrijf en tracht je gegevens te achterhalen.

Hieronder een voorbeeld van zo’n vals sms’je. Het bericht is in het Nederlands, maar afkomstig van een Portugees nummer: verdacht. De link leidt niet naar een foto, wel naar een URL met malware, aldus onze check op www.virustotal.com.

smishing

Via telefoon

Phishing via de telefoon (“vishing”) werkt als volgt: oplichters proberen hun slachtoffer te overtuigen om geld over te schrijven of om persoonlijke, financiële of beveiligingsgegevens te delen. Klassiek voorbeeld: een “medewerker” van Microsoft of een ander technologiebedrijf belt je om een probleem met je pc te melden: je pc heeft een virus, werd gehackt, heeft niet de legale versie van Windows 10 enz.

Als “oplossing” laten ze je onder meer een programma downloaden of naar een bepaalde website surfen. Zo krijgt de oplichter toegang tot je computer en uiteindelijk wil hij je laten betalen om het probleem op te lossen. Het gaat dan om een bedrag van enkele euro’s dat je, vaak met behulp van je digipass, moet betalen. Jij denkt dat je een klein bedrag overschrijft, maar de oplichter zal erin slagen honderden tot zelfs duizenden euro’s buit te maken.

Via sociale media

Stel: je bent niet tevreden over een bedrijf en uit je ongenoegen op Facebook of Twitter. Het bedrijf heeft er baat bij snel te reageren want de post is zichtbaar voor iedereen. Maar… ook oplichters lezen mee. Ze maken een valse account aan en reageren dan op je klacht alsof ze de klantendienst zijn. Om geholpen te worden moet je op een (vaak verkorte) link klikken. Zo laten je ze malware installeren of je betaalgegevens invullen die ze dan op hun beurt kunnen misbruiken.

Hieronder een voorbeeld van phishing via Twitter. Een ontevreden klant stelt een vraag aan PayPal en krijgt antwoord van “@AskPayPal_Tech”. De officiële accounts van PayPal zijn echter “@PayPal” en “@AskPayPal”. De verkorte link gaat naar een valse loginpagina waar het slachtoffer wordt gevraagd haar gegevens in te vullen.

paypal twitter

Via Google Agenda

Bij deze methode sturen oplichters valse uitnodigingen naar Google Agenda-gebruikers. In die uitnodigingen staan phishing-links. Onder het voorwendsel dat je bv. een som geld hebt gewonnen proberen ze je te doen klikken. De bedoeling is om je persoonlijke of kredietkaartinformatie te laten invullen in een nagemaakt webformulier.

De oplichters maken hierbij misbruik van een instelling die standaard geactiveerd is in Google Agenda en die ervoor zorgt dat elke agenda-uitnodiging automatisch aan je agenda wordt toegevoegd. Om te verhinderen dat malafide uitnodigingen in je agenda komen te staan en je per ongeluk op links in die uitnodigingen klikt, schakel je die instelling dus beter uit.

Open Google Agenda in je browser en klik rechtsboven op het tandwiel en dan op Instellingen. Klik op Afspraakinstellingen. Bij Uitnodigingen automatisch toevoegen kies je Nee, alleen uitnodigingen weergeven waarop ik heb gereageerd. Onder Opties weergeven vink je Geweigerde afspraken weergeven uit.