Cybercriminelen weten maar al te goed hoe ze je kunnen manipuleren om hen belangrijke gegevens te verstrekken. De kans dat je in een phishingval trapt, is meteen een stuk lager als je de trucs kent.

Iedereen met wat surfervaring onder de gordel weet dat het wereldwijde web verre van een ongerept paradijs is. In de kieren van het internet liggen cybercriminelen op de loer die het gemunt hebben op je geld of je computer. Het overgrote deel van de computercriminaliteit is niet gebaseerd op geavanceerde computervirussen of straffe programmeerstaaltjes, maar maakt gebruik van de zwakheden of onoplettendheid van slachtoffers om een buit binnen te halen.

Bij phishing poseert een oplichter zich online als een vertrouwd persoon of bedrijf met de bedoeling je gegevens of geld afhandig te maken. E-mail is voor phishers een geliefd instrument om je te misleiden, al kom je ze ook tegen op sociale media of via digitale advertenties. Internetfraude is geen marginaal probleem. Integendeel, statistieken wijzen erop dat het probleem juist in omvang toeneemt. Je antivirus kan je maar in beperkte mate helpen om oplichtingspogingen te blokkeren. Het komt erop aan om alert te blijven en om de onregelmatigheden te spotten die een phishingpoging ontmaskeren.

Belgisch probleem

Volgens Europese cijfers verloor 10 procent van de Belgen in 2015 geld op het internet door cybercriminaliteit, waarmee ons land zich tot de slechtste leerling van de klas kroonde in de EU. Negentig procent van de slachtoffers zou zich door een misleidend bericht in de luren hebben laten leggen. Vergeleken met gegevens uit 2010 is dat percentage van geldverlies vervijfvoudigd. De stijging is deels te verklaren door het feit dat phishing zich voordien niet echt op het Nederlandse taalgebied richtte, maar aangezien in Nederland het aantal slachtoffers op slechts 3 procent lag in 2015, kan dat niet de volledige verklaring zijn. Wat ook de oorzaak is van het grote aantal Belgische slachtoffers: ellende met internetfraude valt in heel wat gevallen te vermijden door een gezonde dosis achterdocht aan de dag te leggen en met een getraind oog een bericht te analyseren.

Vorm en inhoud

Je kan de kenmerken die je vertellen of je te maken hebt met misleidende e-mail opdelen in twee grote groepen: de vormelijke signalen en de inhoudelijke signalen. Je mag deze niet zien als een set van vaste eigenschappen die je bij elke phishingpoging zal tegenkomen: meestal is het een samenspel van wisselende factoren waardoor je een boodschap als een fraudepoging kan identificeren. Denk bij de vormelijke eigenschappen aan onder andere de lay-out, het taalgebruik en de gebruikte URL’s in een bericht. Onwaarheden in de tekst, onverwachte positieve of negatieve boodschappen en vragen naar gevoelige gegevens zijn te rekenen tot inhoudelijke signalen die je argwaan moeten wekken.

Bij voorbaat verdacht

Wil je het op veilig spelen, dan zou je elk ontvangen bericht dat naar geld of belangrijke informatie vraagt aan een grondige inspectie moeten onderwerpen. Eveneens moet je vermijden dat je op een bijlage of link klikt vooraleer je zeker weet dat het om een betrouwbare boodschap gaat. Cybercriminelen proberen je te manipuleren om onbezonnen dingen te doen, en ze zijn daarbij niet te verlegen om je emoties te misbruiken. Elk onverwacht bericht dat jou meldt dat je geld moet betalen, of integendeel dat je een prijs hebt gewonnen, is bij voorbaat verdacht. Daarnaast zijn er ook bepaalde zinssneden die als een rode lap op een stier je argwaan moeten wekken. Officiële diensten zullen je nooit met een e-mail vragen om een wachtwoord of pincode door te geven. Hetzelfde geldt voor je bankinformatie.

Taalgebruik

Ondanks het feit dat online oplichters zich steeds meer van goed Nederlands bedienen om je om de tuin te leiden, is het taalgebruik nog altijd tekenend om een frauduleus bericht te ontmaskeren. Vergissen is menselijk en een taalfout kan iedereen overkomen. Als de tekst die je aankrijgt echter geen voldoende voor dictee zou halen, dan moet er een interne alarmbel afgaan. Dat geldt uiteraard ook voor Engelstalige teksten. Als voorbeeld kan ik een mail aanhalen die ik zelf onlangs ontving en die overduidelijk een phishingmail was. De titel van het bericht was al niet meteen een parel van Nederlandse woordkunst: “Afgezien dag informatie”. Het bericht zelf meldde het volgende: “Het is tot op heden gebleken dat uw creditcard rekening geupdate dient te worden. Ten gevolge hiervan, hebben wij uw creditcard rekening beperkt totdat u uw creditcard gegevens volledig update en bevestigt.” Qua spelling kan deze tekst er nog juist mee door, maar het is het onhandige woordgebruik dat weggeeft dat het hier om een gefingeerd bericht gaat. Tel daar nog eens bij op dat de tekst helemaal niet professioneel geformatteerd was, en de conclusie is snel getrokken.

URL

De geniepigste berichten zijn diegenen die in perfect Nederlands zijn opgesteld en er op het eerste zicht legitiem uitzien. Dan moet je je tot de details wenden om na te gaan of je met een authentieke digitale brief te maken hebt of niet. Staat er een link in de mail vermeld, zweef dan met je muis over de URL om deze te controleren. Wanneer je muis op de link staat, verschijnt er links onderaan op je scherm de effectieve bestemming van de hyperlink. Als dit niet overeenkomt met de URL die in de mail vermeld staat, dan is er iets niet in de haak. Klik nooit op links in verdachte mails. Als je het webadres toch wilt bezoeken, tik het dan handmatig over in de adresbalk van je browser. Kom je op een website terecht die er authentiek uitziet, bekijk dan ook eens de andere pagina’s van de site. Cybercriminelen zullen bijna nooit een volledige website (na)bouwen.

Contact

[related_article id=”169804″]

Ben je er niet helemaal zeker van dat je iets als phishing moet beschouwen of niet, dan kan je voor de zekerheid contact opnemen met de organisatie of persoon in kwestie. Een telefoontje, een bericht via sociale media of een eigen e-mail zouden de verwarring definitief moeten wegnemen over de authenticiteit van een e-mail. Worden er contactgegevens in het verdachte bericht vermeld, kijk dan eerst na of deze overeenstemmen met de officiële informatie die je via openbare bronnen kan raadplegen. Voor bedrijven is dat relatief eenvoudig, bij personen ligt het iets moeilijker.

Preventief

Voorkomen dat een oplichter e-mails naar je adres stuurt, is onmogelijk, maar je kan wel enkele acties ondernemen om ervoor te zorgen dat dit zo weinig mogelijk gebeurt. Zorg ervoor dat er te allen tijde een antivirus op je computer actief is, zodat malware en ander software-onkruid geen kans heeft om mee te kijken met wat je op je computer uitvoert. Wees ook bedacht over je eigen gedrag. Is je e-mailadres te vinden op een publieke online pagina? Durf je het al eens aan een minder betrouwbare dienst door te geven om mee te doen aan een wedstrijd of om een ander voordeel te verkrijgen? Het zijn acties die ertoe kunnen bijdragen dat je gegevens in de verkeerde handen terecht komen. Maar zoals gezegd: zelfs als je je e-mailadres alleen aan je beste vrienden toevertrouwt, kan het nog zijn dat je met phishing geconfronteerd wordt. Een mailadres is ook gewoon te raden. Je gezond verstand gebruiken, blijft cruciaal. Ben je slachtoffer geworden van phishing, breng dan zo snel mogelijk je bank op de hoogte en pas wachtwoorden aan als deze bij de buit behoren.