Als u vandaag nog een e-mail ontvangt waarin wordt beweerd dat u de loterij heeft gewonnen of geld heeft geërfd van een lang verloren familielid. Misschien lijkt het te mooi om waar te zijn. Het is slim om achterdochtig te zijn: het is waarschijnlijk een phishing-zwendel. Bij phishing proberen cybercriminelen u te misleiden zodat u persoonlijke gegevens prijsgeeft of malware downloadt door frauduleuze berichten te verzenden die afkomstig lijken te zijn van een gerenommeerd bedrijf of een gerenommeerde website.
U heeft waarschijnlijk al eerder van phishing gehoord, maar kent u alle sluwe manieren waarop oplichters hun slachtoffers proberen binnen te halen? In dit artikel onderzoeken we de verschillende phishing-technieken die oplichters gebruiken en geven we voorbeelden uit de praktijk, zodat u deze kwaadaardige berichten beter kunt herkennen en vermijden.
Wat is phishing?
Phishing is een cyberaanval waarbij oplichters e-mail of kwaadaardige websites gebruiken om uw persoonlijke gegevens, zoals wachtwoorden, rekeningnummers of creditcardnummers, te stelen. De oplichters vermommen zichzelf als een legitiem bedrijf of een legitieme website om u te misleiden zodat u gevoelige gegevens verstrekt.
Zodra oplichters uw gegevens hebben, kunnen ze toegang krijgen tot uw accounts, aankopen doen in uw naam of identiteitsdiefstal plegen. Phishing-fraude is steeds geavanceerder geworden, dus het is belangrijk om alert te zijn.
Veelvoorkomende tekenen van een phishing-e-mail of -bericht zijn onder meer:
- Wij verzoeken u dringend om snel te handelen of direct informatie te verstrekken
- Slechte grammatica- of spelfouten
- Een ongelooflijke aanbieding, deal of beloning
- Het adres van een afzender dat niet overeenkomt met de bedrijfsnaam
Legitieme bedrijven zullen nooit via e-mail om gevoelige gegevens vragen. Als er iets niet klopt, kunt u het bericht het beste verwijderen.
Enkele bekende phishing-technieken zijn onder meer:
- Speervissen: Gerichte aanval gericht op een specifieke persoon of bedrijf. Oplichters gebruiken persoonlijke informatie om vertrouwen te winnen.
- Walvisvangst: Spearphishing gericht op leidinggevenden op hoog niveau of ‘grote vissen’. Oplichters doen zich voor als collega of klant om bedrijfsgegevens of geld te stelen.
- Smishing: Phishing via sms in plaats van e-mail. Berichten lijken afkomstig te zijn van banken, vervoerders of bezorgbedrijven om rekeningnummers of eenmalige wachtwoorden te verkrijgen.
- Vishing: Phishing via de telefoon. Oplichters doen zich voor als technische ondersteuning, bankvertegenwoordigers of overheidsinstanties om mensen te misleiden zodat ze toegang krijgen tot hun account of geld overmaken.
Algemene phishing-technieken en aanvalsvectoren
Phishers gebruiken slimme technieken om u te misleiden zodat u uw persoonlijke gegevens aan hen verstrekt. Wees op uw hoede voor deze veel voorkomende phishing-aanvalsvectoren:
1. E-mails
De meest voorkomende phishing-tactiek zijn frauduleuze e-mails die zich voordoen als afkomstig van een legitiem bedrijf. In deze e-mails wordt vaak beweerd dat er een probleem is met uw account- of betalingsgegevens, waardoor u wordt gevraagd op een link te klikken of een bijlage te downloaden. Klik nooit op links en download nooit bijlagen van ongevraagde e-mails.
2. Sms-berichten
Phishing-sms’jes, of ‘smishing’, beweren dat er een probleem is met een bezorging of met uw bankrekening, zodat u op een link klikt of een nummer belt. Net als bij e-mails: klik nooit op links en bel nooit nummers uit ongevraagde sms-berichten.
3. Telefoongesprekken
“Vishing” maakt gebruik van telefoontjes van fraudeurs die zich voordoen als vertegenwoordigers van uw bank, creditcardmaatschappij of technologieleveranciers. Ze kunnen beweren dat er frauduleuze activiteiten op uw account plaatsvinden of dat uw account is gecompromitteerd om u te misleiden zodat u hen uw gegevens of toegang tot uw account geeft. Geef nooit gevoelige gegevens of accounttoegang via de telefoon aan ongevraagde bellers.
4. Schadelijke websites
Phishingsites zijn frauduleuze websites die zijn gemaakt om legitieme sites te imiteren om uw inloggegevens of accountgegevens te stelen. Controleer de URL nogmaals om er zeker van te zijn dat dit de juiste website is en dat deze een veilige HTTPS-verbinding gebruikt voordat u gevoelige gegevens invoert.
5. Openbare Wi-Fi-netwerken
Openbare netwerken zijn een uitstekende plek voor ‘man-in-the-middle’-aanvallen waarbij phishers in het netwerkverkeer snuffelen om uw gegevens te stelen. Voer nooit bank-, winkel- of andere activiteiten uit waarvoor persoonlijke gegevens nodig zijn via openbare Wi-Fi.
Voorbeelden van phishing-fraude uit de echte wereld
Phishing-scams zijn er in alle soorten en maten, maar hier zijn enkele veelvoorkomende voorbeelden uit de praktijk waar u op moet letten:
1. E-mail van een “Nigeriaanse prins”
Dit is een klassieke oplichterij waarbij u een e-mail ontvangt waarin wordt beweerd dat een Nigeriaanse prins of andere functionaris hulp nodig heeft bij het verkrijgen van toegang tot zijn fortuin, en dit met u zal delen als u geld of toegang tot uw account verstrekt. Verwijder deze e-mails onmiddellijk.
2. “Je hebt een prijs gewonnen!”
Je krijgt een spannend bericht dat je een wedstrijd of loterij hebt gewonnen waaraan je nog nooit hebt deelgenomen. Om uw prijs te claimen, hoeft u alleen vooraf belastingen of kosten te betalen. Trap er niet in; bij legitieme sweepstakes wordt u niet gevraagd te betalen om winsten te ontvangen.
3. Valse factuur of rekening
U ontvangt een e-mail met een factuur of rekening voor een product of dienst die u nooit hebt gekocht. De oplichters hopen dat u betaalt zonder te verifiëren. Controleer nogmaals bij het bedrijf dat de rekening zogenaamd heeft verzonden voordat u geld verzendt.
4. “Uw account is gehackt”
U ontvangt een dringend bericht waarin wordt beweerd dat er vanaf een onbekend apparaat is ingelogd op uw sociale media, e-mail of ander account. In het bericht wordt u gevraagd op een link te klikken om uw identiteit te verifiëren en uw account opnieuw te beveiligen. Klik niet: dit is een oplichterij om uw inloggegevens te stelen.
5. Een baanaanbieding uit het niets
Je ontvangt een bericht waarin je een baan wordt aangeboden, vaak met een flink salaris en flexibele uren. Om aan de slag te gaan, hoeft u alleen maar persoonlijke gegevens op te geven, zoals uw burgerservicenummer, of vooraf een bedrag te betalen voor materialen of training. Dit is fraude: legitieme bedrijven nemen niet op deze manier mensen aan en vragen niet meteen om gevoelige gegevens.
Door waakzaam te blijven en de tekenen van fraude te leren herkennen, kunt u voorkomen dat u slachtoffer wordt. Onthoud: als iets te mooi klinkt om waar te zijn, is het dat waarschijnlijk ook. Vertrouw bij twijfel op uw instinct.
Wat is walvisphishing?
Walvisphishing richt zich op spraakmakende slachtoffers zoals beroemdheden, politici en bedrijfsleiders. Omdat deze ‘walvissen’ vaak toegang hebben tot gevoelige gegevens en grote financiële middelen, zijn ze lucratieve doelwitten voor phishing-fraude.
Aanvallers verzamelen persoonlijke informatie over de walvis uit openbare bronnen om een op maat gemaakte phishing-e-mail te maken. Ze kunnen bijvoorbeeld het familielid van het doelwit bij naam noemen of naar een hobby of interesse verwijzen om legitiemer over te komen. Bij deze zeer gepersonaliseerde phishing-e-mails is de kans groter dat de ontvanger denkt dat het bericht echt is.
Enkele voorbeelden van walvisphishing-technieken zijn:
- E-mails die afkomstig lijken te zijn van de bank, adviseur of accountant van het doelwit en waarin om toegang tot een privéaccount of overboekingen wordt verzocht.
- Spear phishing-e-mails met kwaadaardige bijlagen of links die zijn afgestemd op de interesses van de ontvanger.
- Nabootsing van familieleden of vrienden die noodgeld of accounttoegang nodig hebben.
- Het targeten van persoonlijke of zakelijke accounts met als doel het overnemen van accounts of het installeren van spyware.
Hoe kunt u phishing-aanvallen identificeren en vermijden?
Phishing-aanvallen worden steeds geavanceerder, maar er zijn een paar veelbetekenende signalen die u kunnen helpen deze te identificeren.
1. Verdachte afzender
Als een e-mail beweert afkomstig te zijn van een bedrijf waarmee u zaken doet, maar het adres van de afzender ziet er niet uit, dan is dat een waarschuwingssignaal. Legitieme bedrijven veranderen hun e-maildomeinnamen niet vaak. Wees op uw hoede voor berichten van gratis e-maildiensten zoals Gmail of Yahoo namens een gerenommeerd bedrijf. Bel het bedrijf rechtstreeks om dit te verifiëren.
2. Druk om snel te handelen
Phishers willen dat u actie onderneemt voordat u tijd heeft om de beweringen van het bericht te verifiëren. Berichten waarin wordt aangedrongen dat u onmiddellijk op een link moet klikken of een bijlage moet downloaden, zijn waarschijnlijk phishing-pogingen. Legitieme bedrijven zetten u niet onder druk om beveiligingsmaatregelen te omzeilen.
3. Links en bijlagen
Klik nooit op links en download nooit bijlagen van ongevraagde berichten. Zelfs als het bericht er authentiek uitziet, kunnen phishing-links malware installeren of uw persoonlijke gegevens stelen. Voer in plaats daarvan handmatig de website-URL van het bedrijf in uw browser in of voer een zoekopdracht op internet uit om hun officiële website te vinden.
4. Verzoeken om persoonlijke informatie
Legitieme bedrijven vragen niet via e-mail om gevoelige gegevens zoals wachtwoorden, burgerservicenummers of bankrekeningnummers. Als er in een bericht om dit soort informatie wordt gevraagd, is er waarschijnlijk sprake van phishing.
5. Spelling- en grammaticafouten
Hoewel dit niet altijd het geval is, bevatten phishing-e-mails vaak spelling-, grammatica- en interpunctiefouten. Gerenommeerde bedrijven beschikken doorgaans over professionele copywriters en redacteuren die foutloze communicatie verzorgen. Een slechte schrijfkwaliteit kan duiden op een poging tot amateurphishing.
Bescherm uzelf en uw organisatie tegen walvisphishing
Helaas worden phishing-aanvallen steeds geavanceerder. Hoewel individuen en organisaties het risico niet kunnen elimineren, zijn er verschillende stappen die u kunt nemen om uw kwetsbaarheid te verminderen.
1. Wees wantrouwend tegenover ongevraagde verzoeken
Verstrek nooit gevoelige informatie als reactie op een ongevraagd telefoontje, e-mail of sms. Legitieme bedrijven zullen niet uit het niets om wachtwoorden, burgerservicenummers, creditcardnummers, enz. vragen. Neem bij twijfel rechtstreeks contact op met het bedrijf in plaats van op de links te klikken of de nummers in het bericht te bellen.
2. Doe het rustiger aan en wees op uw hoede voor urgentie
Oplichters proberen vaak een gevoel van urgentie te creëren om mensen snel te laten handelen voordat ze nadenken. Doe een stapje terug en overweeg objectief de logica van het verzoek voordat u reageert of ergens op klikt. Vraag uzelf af of het zinvol is dat het bedrijf of de persoon om die informatie vraagt of onmiddellijke actie eist.
3. Controleer links en spelling nogmaals
Controleer zorgvuldig het e-mailadres van de afzender en de URL’s in berichten op kleine spelfouten of andere tekenen van spoofing voordat u erop klikt. Schadelijke links kunnen erg op echte links lijken. Het is het beste om webadressen handmatig in uw browser te typen in plaats van op links in ongevraagde e-mails te klikken.
4. Gebruik sterke wachtwoorden en tweefactorauthenticatie
Zorg ervoor dat al uw accounts, vooral e-mail, bankzaken en sociale media, sterke, unieke wachtwoorden hebben. Schakel waar mogelijk tweefactorauthenticatie in om een extra beveiligingslaag toe te voegen. Tweefactorauthenticatie helpt voorkomen dat aanvallers toegang krijgen tot uw accounts, zelfs als ze uw wachtwoord verkrijgen.
5. Blijf waakzaam en volg training
Cybercriminelen ontwikkelen voortdurend nieuwe technieken, dus individuen en organisaties moeten op de hoogte blijven van de nieuwste phishing-trends en best practices. Zorg voor regelmatige cybersecurity-bewustzijnstrainingen voor al het personeel, vooral degenen met toegang tot gevoelige gegevens of accounts. Met voorlichting en waakzaamheid kunnen we allemaal ons steentje bijdragen om de phishers te dwarsbomen.
Conclusie
Dus daar heb je het, nu weet je wat phishing-aanvallen zijn en hoe je ze kunt herkennen. Laat oplichters u niet misleiden om gevoelige informatie op te geven of malware te downloaden. Blijf waakzaam, denk na voordat u klikt en vertrouw op uw instinct.
Als er iets niet klopt aan een e-mail of sms, is dat waarschijnlijk ook zo. Verwijder alles wat verdacht is en voer zeker nooit wachtwoorden of rekeningnummers in en stuur geen geld. Je bent te slim om voor phishing-zwendel te trappen en door deze informatie met vrienden en familie te delen, kun je anderen helpen inenten.