Hoe bescherm je jezelf tegen phishing?
Phishing blijft een van de populairste wapens van cybercriminelen. Via allerlei trucjes en kanalen, van e-mail tot sociale media, proberen ze je geld of gegevens te stelen. Niet zelden spelen ze daarbij in op actuele gebeurtenissen. Safeonweb, het platform dat Belgische burgers en bedrijven informeert over cyberveiligheid en online dreigingen, krijgt dagelijks 26.000 meldingen van phishing. Waakzaamheid is dus absoluut nodig! Onze tips tegen deze valse hengelpraktijken.
Phishing is een vorm van cybercriminaliteit waarbij het potentiële slachtoffer wordt benaderd via e-mail, sms, instant messaging, sociale media of telefoon. De oplichter doet zich daarbij voor als iemand anders. Dat kan je bank, energieleverancier of een technologiebedrijf zijn, maar evenzeer een vriend of familielid.
Het doel is om te “hengelen” (“phishing” in het Engels) naar gevoelige gegevens, zoals persoonlijke informatie, wachtwoorden, bank- of kredietkaartgegevens. Eens hij die gegevens heeft buitgemaakt krijgt de oplichter vrij spel: hij kan er bijvoorbeeld toegang mee krijgen tot belangrijke accounts van het slachtoffer, zijn geld of identiteit stelen.
Welke vormen van phishing bestaan er?
Om die informatie te verkrijgen worden verscheidene middelen ingezet. Niet zelden spelen oplichters in op actuele gebeurtenissen. E-mails zijn nog steeds het populairst, maar daar blijft het niet bij.
Terug naar bovenPhishing via e-mail
Er bestaan verschillende varianten van de phishingmail: een waarschuwing omtrent je account, de vraag van je bank om je gegevens te bevestigen … De afzender lijkt betrouwbaar, maar is uit op je persoonlijke of financiële gegevens die hij laat invullen op een nagemaakte webpagina, of hij wil je toestel infecteren met malware door je een bijlage te doen openen.
Hieronder een voorbeeld van een phishingmail zogenaamd afkomstig van Apple. Kijk even mee naar het e-mailadres: support@rjmamasatim02-team.freshdesk.com; dit lijkt allesbehalve een officieel Apple-adres. Als we met ons muispijltje over de link (“verify your identity”) zweven, zien we de echte URL verschijnen: het is een verkorte link (https://t.co/dzjF8OKRbN) die niet naar de echte Apple-website gaat.
Phishing via sms, WhatsApp of Facebook Messenger
Sms- of instant messaging-apps worden gebruikt voor "smishing": je krijgt een sms, WhatsApp- of Facebook Messenger-bericht met daarin een waarschuwing (bijvoorbeeld "Ben jij dat in deze video?" of "Betaal nu of je rekening wordt geblokkeerd") of aanbieding (bijvoorbeeld "Win een waardebon bij Lidl"), en het verzoek om op een link te klikken of een nummer te bellen. De link doet je malware installeren of leidt naar een nagemaakte webpagina waarop je je (betaal)gegevens moet invullen. Het nummer leidt naar een fraudeur die zich bijvoorbeeld voordoet als een bedrijf en tracht je gegevens te achterhalen.
Hieronder een voorbeeld van zo’n vals sms’je waarbij de oplichter zich voordoet als een contactonderzoeker in het kader van de coronacrisis. Het officiële nummer is 8811. Dit bericht blijkt afkomstig van een ander nummer. En de link leidt naar een malafide URL, dat bevestigt ook onze check op www.virustotal.com.
Door je bang te maken wil deze sms je doen klikken op de link.
Of kijk eens naar onderstaand sms'je. Het bericht is in het Nederlands, maar afkomstig van een Portugees nummer: verdacht. De link leidt niet naar een foto, wel naar een URL met malware, aldus onze check op www.virustotal.com.
Deze sms speelt in op je nieuwsgierigheid om je te doen klikken.
Nog een populaire truc: een "bekende" contacteert je plots via WhatsApp en vraagt je met een smoesje om geld. Je krijgt een berichtje vanaf een onbekend nummer. De persoon zal beweren dat hij een nieuw nummer heeft. Om de een of andere reden heeft hij snel geld nodig, bijvoorbeeld om een openstaande rekening te betalen, en vraagt hij om dat even voor jou te betalen, want het moet snel gebeuren. Je krijgt de belofte dat je je geld zo snel mogelijk terugkrijgt. Als je die persoon probeert te bellen om verhaal te halen, zal die meestal niet opnemen en beweren dat er iets mis is met de verbinding of telefoon. Soms gaan de oplichters zelfs nog een stap verder en spelen ze kort het stemgeluid af van je contactpersoon. Dat halen ze via sociale media (bijvoorbeeld uit een story van je contact op Facebook of Instagram). Dit is zogenaamde hulpvraagfraude. Ga nooit in op zo'n verzoek!
Een typisch voorbeeld van "hulpvraagfraude" via WhatsApp.
Terug naar bovenPhishing via telefoon
Phishing via de telefoon (“vishing”) werkt als volgt: oplichters proberen hun slachtoffer te overtuigen om geld over te schrijven of om persoonlijke, financiële of beveiligingsgegevens te delen. Klassiek voorbeeld: een “medewerker” van Microsoft of een ander technologiebedrijf belt je om een probleem met je pc te melden: je pc heeft een virus, werd gehackt, heeft niet de legale versie van Windows 11 enz.
Als “oplossing” laten ze je onder meer een programma downloaden of naar een bepaalde website surfen. Zo krijgt de oplichter toegang tot je computer en uiteindelijk wil hij je laten betalen om het probleem op te lossen. Het gaat dan om een bedrag van enkele euro’s dat je, vaak met behulp van je digipass, moet betalen. Jij denkt dat je een klein bedrag overschrijft, maar de oplichter zal erin slagen honderden tot zelfs duizenden euro’s buit te maken.
Pas ook op voor mensen die beweren dat zij contact met je opnemen vanuit een officiële instantie omdat je bijvoorbeeld recht hebt op een premie. Hang meteen op. Geef in geen geval je bankgegevens door: geen enkele Belgische (RSZ, FOD, enz.) of Europese instantie zal je ooit opbellen om dergelijke gegevens te vragen.
Terug naar bovenPhishing via sociale media
Stel: je bent niet tevreden over een bedrijf en uit je ongenoegen op Facebook of Twitter. Het bedrijf heeft er baat bij snel te reageren want de post is zichtbaar voor iedereen. Maar… ook oplichters lezen mee. Ze maken een valse account aan en reageren dan op je klacht alsof ze de klantendienst zijn. Om geholpen te worden moet je op een (vaak verkorte) link klikken. Zo laten je ze malware installeren of je betaalgegevens invullen die ze dan op hun beurt kunnen misbruiken.
Hieronder een voorbeeld van phishing via Twitter. Een ontevreden klant stelt een vraag aan PayPal en krijgt antwoord van “@AskPayPal_Tech”. De officiële accounts van PayPal zijn echter “@PayPal” en “@AskPayPal”. De verkorte link gaat naar een valse loginpagina waar het slachtoffer wordt gevraagd haar gegevens in te vullen.
Een voorbeeld van phishing via Twitter: de oplichter geeft zich uit voor de helpdesk van PayPal.
Terug naar bovenCard phishing bij je thuis
Bij card phishing, ook bekend als card skimming, doen fraudeurs zich voor als bankmedewerkers of zelfs politieagenten en die rechtstreeks bij je thuis komen aanbellenom te proberen je bankkaart en pincode te stelen. Als ze die eenmaal hebben, hebben ze alles wat ze nodig hebben om frauduleuze overschrijvingen van je rekening te doen.
Hun aanpak begint meestal met een telefoontje of berichtje dat je kaart vervangen moet worden, vanwege een technisch probleem of omdat de kaart verlopen zou zijn. Ze staan er vaak op om snel te komen, soms zelfs tijdens het gesprek, en kunnen op ongebruikelijke tijdstippen opdagen, zoals 's ochtends vroeg, 's avonds laat of in het weekend.
In sommige gevallen gaan fraudeurs nog verder door hun slachtoffers ervan te overtuigen andere waardevolle spullen, zoals juwelen of contant geld, te overhandigen onder het voorwendsel dat ze deze veilig zouden bewaren.
De banksector meldde een aanzienlijke toename van dit soort fraude in 2024, dus het is van vitaal belang om waakzaam te blijven. Bedenk dat een legitieme bankmedewerker nooit bij je thuis zal komen om je bankkaart, pincode of waardevolle spullen op te halen, en ook niet bij je langs zal komen om een betalingsprobleem op te lossen. Bovendien zal je bank je nooit om je pincode vragen, via welk kanaal dan ook.
Terug naar bovenPhishing via valse uitnodigingen in Google Agenda
Bij deze methode sturen oplichters valse uitnodigingen naar Google Agenda-gebruikers. In die uitnodigingen staan phishing-links. Onder het voorwendsel dat je bijvoorbeeld een som geld hebt gewonnen proberen ze je te doen klikken. De bedoeling is om je persoonlijke of kredietkaartinformatie te laten invullen in een nagemaakt webformulier.
De oplichters maken hierbij misbruik van een instelling die standaard geactiveerd is in Google Agenda en die ervoor zorgt dat elke agenda-uitnodiging automatisch aan je agenda wordt toegevoegd. Om te verhinderen dat malafide uitnodigingen in je agenda komen te staan en je per ongeluk op links in die uitnodigingen klikt, schakel je die instelling dus beter uit.
Open Google Agenda in je browser en klik rechtsboven op het tandwiel en dan op Instellingen. Klik op Afspraakinstellingen. Bij Uitnodigingen toevoegen aan mijn agenda kies je wanneer ik op de uitnodiging in de e-mail reageer. Onder Opties bekijken vink je Geweigerde afspraken tonen uit.
Terug naar bovenPhishing via tweedehandswebsites
Als koper op een tweedehandssite ben je je er wellicht van bewust dat je moet opletten met aanbiedingen die te mooi om waar te zijn lijken. Je betaalt, maar ontvangt het artikel nooit, het artikel blijkt beschadigd of namaak te zijn. Voorzichtigheid is altijd geboden in die gevallen.
Minder bekend is dat je als verkoper op een tweedehandssite ook door kopers kunt worden opgelicht. Vaak begint het met een geïnteresseerde koper die vlak nadat je je zoekertje hebt geplaatst, laat weten dat hij interesse heeft en dat hij zelfs bereid is om boven de vraagprijs te bieden omdat hij het artikel absoluut wil hebben. Vervolgens zijn meerdere scenario's mogelijk:
- de zogenaamde koper vraagt je om een kleine som (€ 0,50 tot € 1) te storten als veiligheidsmaatregel om er zich van te vergewissen dat jouw rekeningnummer echt is vooraleer hij zijn betaling doet. Onder een vals voorwendsel zal hij ook vragen om je telefoonnummer door te geven.
- de zogenaamde koper vraagt je of hij kan betalen via een website of applicatie waarop je een account moet aanmaken om aan het geld te kunnen. Wanneer je dat account aanmaakt, zal je worden gevraagd om je bankrekening eraan te linken ofwel om ook weer een kleine som te storten.
- de zogenaamde koper blijkt in het buitenland te wonen en vraagt om een - mogelijk heel bekende - koerierdienst te gebruiken om het artikel te leveren. Daarna stuurt hij de link door van die koerierdienst. Die link is uiteraard vals en leidt naar de website van de oplichter. Op die website zal je dan worden gevraagd een account te creëren waarbij je ook weer een symbolische som moet overmaken of je bankgegevens invullen.
- de zogenaamde koper woont in het buitenland en stelt voor om via een bekende koerierdienst het artikel te betalen. Vervolgens ontvang je een mail die zogezegd afkomstig is van de koerierdienst met als boodschap dat de betaling goed is toegekomen en dat je het bedrag kunt recupereren zodra je een account hebt aangemaakt.
Wat deze vier scenario's gemeenschappelijk hebben is dat er wordt gevraagd om een kleine som te storten, maar onthoud goed dat je als verkoper helemaal niets moet betalen om een artikel te verkopen. Als de koper geld van je vraagt - hoe klein het bedrag ook - terwijl jij degene bent die geld moet ontvangen, heb je zeker met oplichters te maken. Wanneer je je bankrekeningnummer en telefoonnummer doorgeeft, kan de oplichter een bankapp installeren op zijn eigen smartphone en geld van je rekening halen. Net zoals wanneer je je bankgegevens ingeeft op een onbekende website of via een link die de oplichter je heeft doorgestuurd.
Terug naar bovenPhishing via QR-code
Deze vorm van phishing noemen we ook “quishing”. Oplichters sturen jou valse QR-codes via e-mail, sms of een WhatsApp-bericht. Ze doen alsof het bericht afkomstig is van een officiële instantie en vragen je bijvoorbeeld om via de code een openstaande rekening te betalen. Ook papieren brieven kunnen valse QR-codes bevatten.
Scan je zo’n QR-code, dan beland je op een malafide website. Op die manier kunnen je persoonlijke gegevens, zoals wachtwoorden, gestolen worden. Soms worden de codes ook gebruikt om malware te installeren op je toestel.
Ander voorbeeld: je biedt iets aan op een tweedehandssite en een geïnteresseerde koper contacteert je. Hij stelt voor om de betaling via zijn professionele rekening te doen. Om ze mogelijk te maken, vraagt hij om je rekeningnummer door te geven. Enkele minuten nadat je dat nummer hebt gegeven ontvang je een QR-code die je ter bevestiging moet scannen.
Alles ziet er betrouwbaar uit, de QR-code lijkt te leiden naar de mobiele app van de bank. Maar in werkelijkheid is het een portaal dat in handen is van de oplichter. Door daarop in te loggen geef je hem rechtstreeks toegang tot je rekeningen en kan hij er geld van afhalen. Bijgevolg merk je een paar uur later dat er grote sommen geld van je rekening zijn gedebiteerd.
We raden dan ook aan om zeer voorzichtig te zijn wanneer je een betalingsverzoek ontvangt waarvoor je een QR-code moet scannen. Een handmatige overschrijving is altijd veiliger omdat je je dan niet in een vervalste betaalomgeving bevindt. Blijf waakzaam en neem de tijd om alles grondig te controleren.
Nu je weet wat phishing is en welke vormen er bestaan, wil je ook weten hoe je je kan beschermen. Ontdek waarop je zelf kan letten in volgende artikels:
- Hoe kan ik phishing herkennen?
- Hoe kan ik mezelf beschermen tegen phishing?
- Phishing: enkele oplossingen
Wie is de afzender?
E-mail gekregen die afkomstig lijkt van een betrouwbare bron? Kijk altijd het e-mailadres na. Het deel dat volgt op @ zou moeten eindigen op de domeinnaam van de officiële website. Krijg je bv. een e-mail van de bank KBC, dan zou het e-mailadres moeten eindigen op “kbc.be”.
Krijg je een ongevraagde oproep, let dan dubbel op. Zeker als de beller je probeert te overtuigen een programma te downloaden, je financiële gegevens (bankkaartcode, wachtwoord voor online bankieren,de challenge-response codes van je digipass …) in te vullen op een website of telefonisch mee te delen.
Reageert een bedrijf op je vraag op sociale media, ga dan even na of het om het officiële account gaat: op Facebook of Twitter staat er bv. een blauw vinkje naast om aan te duiden dat de pagina “geverifieerd” en dus authentiek is.
Controleer bij twijfel de identiteit van de beller of afzender door het e-mailadres of telefoonnummer van de echte organisatie op te zoeken en hen rechtstreeks te contacteren.
Dringend verzoek?
Staat in de mail of het onderwerp dat je snel moet handelen, denk dan logisch na: kreeg je echt al een eerste aanmaning tot betaling? Is je account daadwerkelijk geblokkeerd? Cybercriminelen proberen je iets te laten doen door je angst aan te jagen. Of ze spelen in op de actualiteit waardoor je sneller geneigd bent om de e-mail te openen en op links in de e-mail te klikken.
Vraag naar persoonlijke info?
Wordt je gevraagd om persoonlijke informatie (kredietkaart- of andere betaalgegevens …) door te sturen, telefonisch mee te delen of in te vullen in bv. een webformulier? Nooit doen. Betrouwbare afzenders als je bank, overheidsinstanties of technologiebedrijven vragen nooit naar vertrouwelijke informatie via e-mail, bericht of telefoon.
Taalfauten?
Phishingberichten bevatten vaak spel- en grammaticafouten. Ontvang je e-mails of berichten in een andere taal dan je moedertaal, dan is dit ook een teken aan de wand. Zeker als je klant bent bij de afzender en die normaal gezien met jou in het Nederlands communiceert.
Waar gaat de link naartoe?
Controleer links: zweef er met je muispijltje over (computer) of druk er even op met je vinger (mobiel toestel) om de echte URL te zien. Gaat hij niet naar de officiële website, bevat hij speciale tekens (bv. µ in plaats van u) of is het een verkorte link, dan is hij waarschijnlijk vals. Een juist adres begint met de naam van de organisatie, gevolgd door een punt en dan “be”, “com” enz.: apple.com is bijvoorbeeld correct; login-apple.com is bijvoorbeeld vals. Typ bij twijfel zelf het bekende webadres in je browser.
Bijlage? Opgelet!
Bijlagen in een mail of bericht kunnen kwaadaardige software bevatten. Wanneer je die opent, wordt er malware op je toestel geïnstalleerd. Open dus nooit een bijlage van een afzender die je niet vertrouwt. Kijk zeker naar het bestandsformaat. Onder meer zip-, exe- en javascript (js)-bestanden zijn verdacht.
Let op de details
Oplichters zijn niet van gisteren. Om een nepmail of -bericht zo echt mogelijk te doen lijken voegen ze vaak allerlei details toe, zoals telefoonnummers en adresgegevens. Check of deze wel kloppen op de officiële website van de veronderstelde afzender.
Doe de phishing-test
De theorie is een zaak, maar hoe breng je het ervan af in de praktijk? Op Cybersimpel.be kun je testen hoe goed jij de valse van de betrouwbare e-mail weet te onderscheiden.
Treed proactief op en verklein zo de kans dat je het slachtoffer wordt van phishing.
- Houd waarschuwingen in de gaten. Je kunt onder meer de gratis app van Safeonweb downloaden. Die stuurt je meldingen over vormen van online oplichterij die de ronde doen in België en over concrete bedreigingen op jouw wifinetwerk.
- Deel je bankgegevens en andere persoonlijke informatie nooit zomaar met eender wie.
- Activeer spamfilters in je mailbox en stuur verdachte berichten door naar verdacht@safeonweb.be alvorens ze te verwijderen.
- Klik nooit zomaar op links of bijlagen in e-mails of (chat)berichten. Je kunt ze ook laten scannen door Virustotal.
- Gebruik unieke en sterke wachtwoorden voor elk van je accounts. Vind je dat te veel gedoe, gebruik dan een wachtwoordmanager. We helpen je een goede wachtwoordkluis te kiezen. Bescherm je accounts waar mogelijk met tweestapsverificatie. Zo kan een oplichter geen toegang krijgen tot je accounts, zelfs als hij je wachtwoord heeft kunnen bemachtigen.
- Reageer nooit op mails of berichten die van oplichters lijken te komen. Zo geef je het signaal dat je e-mailadres, telefoonnummer of account op sociale media actief is en dat ze je kunnen blijven bestoken.
- Scherm je profiel op sociale media zo goed mogelijk af zodat vreemden jou niet kunnen contacteren en geen gegevens of foto’s kunnen stelen om anderen op te lichten.
- Bescherm je computer met antivirussoftware en houd die up-to-date. Een antivirusprogramma heeft dikwijls antiphishing ingebouwd. Onze koopwijzer antivirus kan je het beste antivirusprogramma helpen kiezen.
- Check regelmatig je uitgavenstaat en meld verdachte transacties meteen aan je bank.
Help, ik heb geklikt!
- Heb je, nadat je op de link hebt geklikt, aanmeldgegevens ingevuld, zoals je login en wachtwoord, dan verander je best zo snel mogelijk dat wachtwoord bij alle online accounts waarvoor je datzelfde wachtwoord gebruikt. Zorg er in het vervolg bovendien voor dat je voor elk account een uniek en sterk wachtwoord gebruikt.
- Betaalinformatie doorgegeven? Contacteer meteen je bank en laat je kaart blokkeren via Card Stop (078 170 170). Dien ook klacht in bij de politie. Als je de e-mail nog niet hebt verwijderd, kan die als bewijsstuk dienen.
- Een verdachte bijlage of link geopend? Koppel meteen externe harde schijven los en verbreek je internetverbinding. Voer een volledige virusscan uit en scan je pc met Malwarebytes. Contacteer bij twijfel een hersteller, geavanceerde malware zoals ransomware wordt vaak niet herkend.
Phishers en fraudeurs worden steeds slimmer en de banken beschermen de consument niet voldoende tegen hen en hun slinkse praktijken. Wij, van Test Aankoop, hebben zeven voorstellen om beter te doen en willen de banken aanzetten die voorstellen ook uit te voeren.
Phishers doen zich vaak voor als je bank en laten je geloven dat je extra maatregelen moet nemen om de veiligheid van je account te verhogen. Niet dus: in werkelijkheid geef je phishers toegang tot je rekening die zo ook grote bedragen naar een andere rekening kunnen versluizen. Een extra vraag per mail, sms of melding in je bank-app of het bedrag en de bestemmeling klopt, voorkomt dat je je laat rollen. Hoe hoog de limiet van dat bedrag is, zou je zelf kunnen instellen.
Phishers manipuleren de boel zo dat ze je op een of andere manier geld laten overschrijven, vaak zonder dat je dat zelf beseft. Maar omdat het naar een rekeningnummer is waar je nog nooit naar hebt overgeschreven - en dus nieuw is - krijg je een waarschuwing of een melding van de bank per mail, sms of app-notificatie met de vraag of je wel zeker bent.
Als phishers er in slagen je geld te doen overschrijven naar een buitenlandse rekening, wordt het een een stuk moeilijker het ooit te recupereren. Een extra vraag per mail, sms of melding in je bank-app zou je dan op de hoogte brengen dat je centen de landsgrenzen over gaan. Maar niet zonder jouw bevestigde toestemming.
Als een phisher je naar zijn nep-banksite heeft gelokt en wil laten inloggen, zou er normaal een geheim woord verschijnen dat alleen jij en je bank kennen. De phisher kan dat woord nooit kennen en als het niet verschijnt, weet jij dat je (net niet) gerold wordt.
Phishers weten je zover te krijgen dat je denkt een overschrijving te doen naar vrienden of familie maar je stuurt het naar een rekening op hun naam, maar dat zie je niet. Als de bank er voor zorgt dat het IBAN-nummer altijd moet overeenkomen met de ingevulde naam, verliest de phisher hier zijn greep op je.
Als je niet zeker bent of een webshop wel betrouwbaar is, maar je wil er toch iets kopen met een kredietkaart? Dan zou je een virtuele 'single use'-kredietkaart kunnen aanmaken via je app die telkens voor eenmalig gebruik en voor een gelimiteerd bedrag is. Zo voorkom je dat je kredietkaart geplunderd kan worden.
Phishers kunnen je bankgegevens misschien wel stelen maar als ze die invoeren op een bankapp die niet de jouwe is, moeten ze eerst een code invoeren die gegenereerd wordt op de bankapplicatie van jouw toestel. Of ze moeten een kaartlezer en je bankkaart gebruiken. De phisher zal dus geen nieuwe applicatie kunnen installeren met jouw gegevens zonder je medeweten.