In het AI-tijdperk wordt phishing steeds geloofwaardig en moeilijker te herkennen. Wij geven je de nodige tips om jezelf (en je gegevens) veilig te houden.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Phishing herkennen: zo blijf je veilig
Phishing is een vorm van digitale oplichting die al jaren meegaat en steeds geavanceerder wordt. Enkele jaren geleden kon je phishing nog duidelijk herkennen, maar met de komst van AI hebben cybercriminelen meer middelen om jou in de val te lokken en aan de haal te gaan met je data en geld. Toch zijn er nog altijd bepaalde vuistregels die je kan toepassen waar zelfs AI niet tegenop kan. In feite heeft iedereen al eens te maken gehad met phishing. Meestal gebeurt dit via e-mail of sms, maar het kan ook een telefoongesprek zijn of bericht op sociale media. Het einddoel is altijd hetzelfde: de persoon wil jouw data. Dit kunnen bankgegevens, adresgegevens of inloggegevens zijn. In het geval van phishing geef je deze ook altijd zelf en worden ze in principe niet ‘gestolen’.
Wat is phishing precies?
Hierboven legden we al kort uit wat phishing is. We gaan er eerst nog wat dieper op in, want niet elke vorm van cybercriminaliteit is phishing. Op de website van de Vlaamse overheid wordt het als volgt omschreven: “Phishing is een vorm van internetfraude waarbij u valse berichten ontvangt waarbij geprobeerd wordt om inloggegevens, creditcardinformatie, pincodes of andere persoonlijke gegevens te achterhalen.” Het belangrijkste woord staat hier helemaal achteraan en is achterhalen. De cybercrimineel heeft namelijk nog geen gevoelige gegevens in handen (naast je telefoonnummer of e-mailadres). Hun doel is dan ook jou overtuigen om die gegevens vrijwillig aan hen te geven en je loopt pas gevaar zodra je dat doet. Iemand die aan phishing doet, is niet per se een hacker, omdat die persoon aanvankelijk geen toegang heeft tot jouw gegevens. Je wordt hier niet gehackt, aangezien je zelf je gegevens ter beschikking stelt.
Als je echter een wachtwoord deelt en die persoon vervolgens inlogt op jouw accounts, dan ben je wel gehackt. We kunnen phishing grofweg opdelen in verschillende categorieën. Een veelvoorkomende vorm van phishing zijn mails van je bank of betaalwebsites die je gebruikt (zoals PayPal of Klarna). Vaak spreken die mails over een betaling (over het algemeen hoge bedragen van meer dan 100 euro) die je hebt goedgekeurd, maar die helemaal niet echt is. In de mails wordt dan meestal gevraagd om in te loggen of te bellen naar het opgegeven nummer als je deze betaling niet hebt goedgekeurd. Op die manier willen ze jou angst aanjagen en contact laten opnemen, want niemand wil natuurlijk dat er plots 500 euro van zijn rekening verdwijnt. Je gegevens geef je dan eigenlijk aan een cybercrimineel en die kan vervolgens inloggen op je account met alle gevolgen van dien. Als je dat wachtwoord daarnaast gebruikt op andere websites, zijn die accounts ook in gevaar. Het is daarom slim om een wachtwoordmanager te gebruiken die verschillende wachtwoorden voor elk account aanmaakt en veilig opslaat.
Een andere manier van phishing richt zich op eenmalige betalingen. In dit geval probeert de crimineel je te overtuigen om een bedrag over te schrijven op zijn rekeningnummer. Ook dit kan op verschillende manieren. Dit gebeurt geregeld in de vorm van sms’en of mails die melden dat er een openstaand bedrag is dat betaald moet worden. De crimineel doet zich dan bijvoorbeeld voor als je energie-, internet- of waterleverancier en dreigt om de dienst af te sluiten als dat bedrag niet tijdig wordt betaald. Soms imiteren ze ook de overheid en zeggen ze dat je te weinig belastingen hebt betaald. Je betaalgegevens blijven hier meestal in je eigen handen. Het bedrag dat je hebt overgeschreven, zie je daarentegen wellicht nooit meer terug.
Het omgekeerde kan trouwens ook: dan staat er dat je geld terug kan krijgen van de overheid of je energieleverancier, maar dan moet je wel eerst alle betaalgegevens delen of een klein bedrag storten zodat ze “zeker weten dat dit je echte rekeningnummer is”. Dan is er nog ‘spear phishing’. Dit kan je zien als op maat gemaakte phishing. Hier gaan de aanvallers eerst informatie over je verzamelen via sociale media. Ze gaan op zoek naar je interesses, familie, vrienden en meer. Daarna krijg je een gepersonaliseerde mail waar ze zich soms voordoen als een vriend, familielid of collega. Zien ze dat een familielid een verre reis maakt? Dan kunnen ze bijvoorbeeld in hun naam mailen en zeggen dat ze dringend geld nodig hebben om terug naar huis te kunnen komen.
Phishing is geen ransomware
Twee vormen van cybercriminaliteit die door elkaar gehaald worden, zijn phishing en ransomware. Hoewel ze op elkaar lijken, zijn de gevolgen van ransomware veel ernstiger. Bij phishing ben je in het ergste geval de controle over een betaalaccount kwijt en moet je misschien een rekening laten blokkeren. Ransomware is een vorm van malware die je hele pc of smartphone overneemt. Dit is een virus dat je op verschillende manieren kan krijgen. De hacker kan bijvoorbeeld een mail sturen waarin staat dat je iets hebt gewonnen en dat je het bestand in de bijlage moet downloaden om je prijs te claimen. Dit bestand bevat echter een virus waarmee de hacker toegang krijgt tot je pc en alles kan blokkeren. Om weer toegang te krijgen, moet je losgeld betalen (ransom in het Engels). Zodra jij betaalt, krijg je zogezegd de controle terug. De ‘zogezegd’ is hier cruciaal, want dat laatste is geen garantie. Daar zit het grote gevaar van ransomware. Bij phishing voer je een betaling uit omdat je niet doorhebt dat een cybercrimineel zich voordoet iemand anders. Bij ransomware is er geen garantie dat de hacker zich aan hun woord houdt nadat jij hebt betaald. Op die manier kan die op eender welk moment opnieuw alles blokkeren en weer losgeld vragen.
Zo kan je phishing herkennen
Nu je weet wat phishing is, gaan we je leren hoe je het kan herkennen. Zoals we al hebben aangegeven, is dat in de praktijk voldoende om het te voorkomen. Als je ziet dat een mail of sms phishing is, moet je het gewoon negeren en verwijderen.
In welke taal staat het bericht?
Dit is eigenlijk een universele tip: als het bericht niet in het Nederlands staat, moet je je meteen vragen beginnen stellen. Communicatie vanuit de overheid, je energieleverancier en dergelijke is vrijwel altijd in het Nederlands. Soms kan je in je account aangeven in welke taal je mails wil ontvangen en als je niet zeker bent wat je hier hebt ingesteld, kan je gewoon even inloggen om dit te controleren. De communicatie is (in het beste geval) ook altijd correct Nederlands. Het tweede onderdeel waarop je moet letten, is dan ook de spelling en grammatica. Zodra je een spelfout ziet, moet er ook een belletje rinkelen. Vaak gaat het mis bij ‘vreemde’ tekens, zoals een trema. Een phishing-bericht heeft het bijvoorbeeld vaak over ‘verifieren’ in plaats van ‘verifiëren’.
E-mailadressen en telefoonnummers controleren
Is het bericht in de juiste taal en is alles correct geschreven? Kijk dan meteen naar de afzender. Bij telefoonnummers moet je vooral op de landcode letten. Als dit niet +32 is (of +31 voor Nederlandse lezers), dan voorspelt dat weinig goeds. In de screenshot zie je bijvoorbeeld een sms met +233 vooraan en dat is de landcode van Ghana. Dit bericht mag meteen in de vuilnisbak. Bij e-mailadressen kan je hetzelfde doen. Let hier vooral op het eigenlijke mailadres, want de naam van de afzender kan je makkelijk aanpassen en echt doen lijken. Het deel na de @ is hier het belangrijkste, aangezien bedrijven hier hun geregistreerde domein gebruiken. Cybercriminelen kunnen echter heel geloofwaardig overkomen en vinden allerlei trucjes hiervoor. Zo worden er mails verstuurd waarin Microsoft wordt geïmiteerd, waarbij @rnicrosoft.com wordt gebruikt. Wanneer je een R e N naast elkaar type, lijkt dit namelijk snel op de letter M. Ga bij twijfel altijd kijken op de website van het bedrijf wat hun echte e-maildomein is. Aan het andere uiteinde heb je de mails van afzenders als 5280029@rmutr.ac.th die zich voordoen als McAfee. Ook die mogen meteen in de prullenbak.
Links controleren vóór je erop klikt
Bij bijna elke poging tot phishing moet je uiteindelijk gegevens invoeren op een website. Dit is een ander onderdeel dat de aanvallers moeten namaken en waar veel fout kan gaan. De URL geeft hier veel prijs. Zodra een bedrijf een websitedomein registreert, kan niemand anders dit gebruiken. De website van ING België is bijvoorbeeld www.ing.be en cybercriminelen kunnen dan kiezen voor www.ing-belgium.be of www.ing-belgie.com om je op het foute spoor te brengen. Naar deze website surfen, kan meestal geen kwaad, dus raak niet in paniek als je de link hebt open geklikt. Je loopt pas gevaar wanneer je gegevens invoert op deze fake website. Twijfel je over het officiële domein? Surf dan gewoon zelf even naar de website en kijk wat er in de adresbalk staat.
Slechte afbeeldingen
Ten slotte kan je nog kijken naar de afbeeldingen. Als je zogezegd een mail van DHL hebt waarin staat dat je moet betalen om je pakket te kunnen ontvangen, maar er staat nergens een DHL-logo, dan is dit phishing. Soms zijn de afbeeldingen ook van een heel lage kwaliteit of slecht bewerkt. Denk aan een willekeurig busje waarop dan het woord ‘POST’ is getypt. De mail van de Efteling ziet er bijvoorbeeld heel geloofwaardig uit, maar de afbeelding bovenaan met Pardoes en Pardijn is zwaar overbelicht.
Wat doe je als je in de val bent getrapt?
Hoe sneller je erbij bent, hoe groter je kans op succes. Betalingen kan je namelijk nog laten annuleren binnen de 24 uur. Als het geld al van je rekening is, is de kans klein dat het je nog terug krijgt, zelfs als je naar de politie gaat.
Heb je geen geld overgeschreven, maar je persoonlijk gegevens (zoals het kaart- en CVC-nummer van je VISA) doorgegeven, dan moet je zo snel mogelijk die rekening laten blokkeren. Dit kan door contact op te nemen met je bank of betaalprovider.
Volg Clickx op Google Nieuws om onze nieuwste artikels in je feed te krijgen. Vergeet niet om op ‘Volgen’ te klikken.
Abonneer op Clickx
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
