Het is geen nieuw fenomeen, maar phishing herkennen wordt steeds lastiger. Daarom geven wij je de nodige informatie, zodat jij phishing meteen in de kiem smoort, zonder gevoelige data te delen. Het is ons allemaal wel eens overkomen. Je krijgt plots een e-mail waarin staat dat je zo snel mogelijk het wachtwoord moet resetten van een account waarvan je niet wist dat die bestond. Als je dat niet doet, wordt je account geblokkeerd. Of je krijgt uit het niets een e-mail met de trackingcode voor een pakketje dat je blijkbaar hebt besteld, ook al weet je dat zelf niet.
Nog eentje om het af leren: je krijgt een sms ‘van de overheid’ waarin staat dat je 156,78 euro belastingen terugtrekt, ook al kan je je herinneren dat je brief met de berekening vermeldde dat je extra moest betalen. In het beste geval herken je deze berichten en ben je nu blij dat je er nooit op bent ingegaan. In het slechtste geval herken je deze berichten maar al te goed omdat je er wél ooit op bent ingegaan, want dit zijn stuk voor stuk voorbeelden van phishing. Tot welke groep je ook behoort, we gaan in dit artikel dieper in op phishing, hoe je het kan herkennen en wat je kan ondernemen als je toch het slachtoffer wordt van een phishingmail.
Wat is phishing?
Om te beginnen, moeten we definiëren wat er wel en niet onder de noemer van phishing valt. Wikipedia geeft de volgende definitie voor phishing in het algemeen: “Phishing is een vorm van internetfraude. Het bestaat uit het oplichten van mensen door ze te lokken naar een valse (bank)website, die een kopie is van de echte website, om ze daar – nietsvermoedend – te laten inloggen met hun inlognaam en wachtwoord of hun creditcardnummer. Hierdoor krijgt de fraudeur de beschikking over deze gegevens, met alle gevolgen van dien. De fraudeur doet zich hierbij voor als een vertrouwde instantie, zoals een bank. De meeste vormen van phishing gebeuren via e-mail. De slachtoffers worden hierbij met een e-mail naar deze valse website gelokt. De mail bevat een link naar de (valse) website met het verzoek om zogenaamd “de inloggegevens te controleren”.
Cybercriminelen die je benaderen met een phishingmail willen altijd maar één ding en dat is jouw geld, liefst zoveel mogelijk. Er zijn drie grote categorieën waarin we phishing kunnen onderverdelen. De eerste categorie wordt meteen duidelijk uit de definitie hierboven. Je krijgt een mail van je bank of andere betaalwebsite die je gebruikt (zoals PayPal) en wordt gevraagd om je account te verifiëren met al je gegevens. Die gegevens geef je dan eigenlijk aan een cybercrimineel die vervolgens alles kan doen met je geld. Een tweede manier hebben we vermeld in de inleiding. Dan krijg je een bericht waarin staat dat je een bepaald bedrag moet overschrijven om dramatisch gevolg X of Y te voorkomen. In dit scenario doet de cybercrimineel zich meestal voor als de overheid. Het toeval wil dat communicatie vanuit de Vlaamse/Belgische overheid niet enorm duidelijk is, waardoor het erg moeilijk is om dit soort phishing te herkennen. Daarover volgt later meer.
Deze vorm van phishing is in zekere zin de minst erge, aangezien het hier gaat om een eenmalige betaling op de rekening van de cybercrimineel. Je betaalgegevens blijven hier meestal in je eigen handen. Het bedrag dat je hebt overgeschreven, zie je nooit meer terug, maar je weet wel dat het bij die ene geldsom zal blijven. De derde manier kan je zien als een soort subcategorie van de tweede, maar we willen hem voor de zekerheid afzonderlijk vermelden. Dit wordt soms ook wel ‘spear phishing’ genoemd, aangezien het een gerichtere vorm is. Hier gaan cybercriminelen via sociale media en dergelijke op zoek naar je persoonlijke interesses. Ben je iemand die graag rondtrekt met de elektrische fiets en een hele Instagram-account heeft met honderden fietsfoto’s? Dan kan een cybercrimineel je benaderen met een tijdelijk, exclusief en niet te kloppen aanbod voor een revolutionaire elektrische fiets die je leven beter zal maken. Het vervelende is alleen dat die fiets nooit geleverd zal worden en dat hij waarschijnlijk niet eens bestaat. Toch heb je wel je zuurverdiende geld overgeschreven naar de rekening van de cybercrimineel…
Het verschil tussen phishing en ransomware
Voor we dieper ingaan op hoe je phishing kan herkennen, maken we eerst een duidelijk onderscheid tussen phishing en ransomware. Zo wordt ransomware vaak gezien als een vorm van phishing, terwijl de gevolgen van ransomware vaak aanzienlijk erger zijn. Bij phishing ben je gewoonlijk de controle over een specifieke betaalaccount kwijt, terwijl je laptop, pc of smartphone zelf gewoon blijven werken. Ransomware is daarentegen een vorm van malware die je hele systeem infecteert met virussen. Een phishingmail stuurt je (bijna) altijd naar een betaalomgeving op een fake website die moet lijken op de echte website van bijvoorbeeld je bank. Ransomware is letterlijk een virus dat je op allerlei manieren kan binnenhalen. Soms krijg je namelijk mails van een hacker die zich voordoet als je bank of de overheid. In de bijlage van die mail zit dan bijvoorbeeld een bestand met een openstaande rekening die je moet betalen. Wanneer je dat bestand downloadt en opent, wordt er echter een soort virus op je computer of smartphone geïnstalleerd. Daarmee kan de hacker bepaalde bestanden of je hele systeem blokkeren. Om opnieuw toegang te krijgen, vraagt hij een bepaalde som losgeld (oftewel een ransom in het Engels, vandaar de naam). Pas als jij betaalt, krijg je de controle terug.
Dat laatste is echter geen garantie en daar ligt het grote extra gevaar van ransomware. Bij phishing betaal je een som geld omdat je niet doorhebt dat een cybercrimineel zich voordoet als bijvoorbeeld je bank of de overheid. Hij heeft op geen enkele manier controle over je pc en zit ook niet ‘in’ je pc. Vandaar dat we bij phishing spreken over cybercriminelen en niet over hackers, aangezien ze geen malware op je systeem installeren. Bij ransomware is er geen garantie dat de hacker zich aan zijn woord houdt nadat jij hebt betaald. Zelfs als het lijkt alsof je pc weer werkt zoals ervoor, kan de hacker nog steeds een achterdeurtje voor zichzelf installeren. Op die manier kan hij op eender welk moment opnieuw alles blokkeren voor jou en weer losgeld vragen.
Hoe phishing herkennen
Nu we weten wanneer iets phishing is en wanneer niet, komen we aan bij het belangrijkste onderdeel, met name phishing herkennen. Hoe goed cybercriminelen ook zijn geworden met hun phishingberichten, er zijn nog steeds enkele duidelijke manieren om ze te herkennen.
Controleer de afzender en het e-mailadres
Een eerste eenvoudige manier om phishing te herkennen in een e-mail is de afzender. De afzender bestaat uit twee delen, een naam en een mailadres. Afhankelijk van het mailprogramma dat je gebruikt, zie je aanvankelijk alleen de naam. Die is heel makkelijk na te bootsen, want iedereen kan een mailaccount aanmaken onder eender welke naam. Het mailadres zelf kan je daarentegen nooit identiek namaken. Soms kan je heel duidelijk herkennen dat het om phishing gaat als het mailadres er ongeveer zo uitziet: fj468sfq43@gmail.com. Soms doen ze echter een heel goede poging om het mailadres na te bootsen. Zo ziet support@kbcbelgium.be er bijvoorbeeld realistisch uit, terwijl dat absoluut niet de klantendienst van KBC is. Dit kan je meestal nagaan door naar de website van de instantie te gaan en te kijken hoe hun mailadressen eindigen. Het deel na de @ is namelijk altijd een unieke domeinnaam die niemand buiten dat bedrijf kan gebruiken.
Let op de taal van het bericht
Bij sms-berichten kan je de bovenstaande tip natuurlijk niet toepassen. Deze tweede tip kan je zowel op sms’en als e-mails toepassen. Communicatie gebeurt namelijk altijd in de taal die jij hebt ingesteld in je account. Staat je PayPal in het Nederlands, dan krijg je al hun mails en sms’en in het Nederlands. Dit is van toepassing op elk account dat je hebt, van iets onschuldigs als Twitter en Facebook, tot de account bij je bank. Krijg je plots een sms in het Frans die zegt dat je te weinig belastingen hebt betaald en dat je binnen de 48 uur moet betalen, dan mag je die meteen verwijderen. Ben je niet meer zeker in welke taal je account staat? Dan kan je gewoon even inloggen om dit te controleren. Doe dit wel door in je browser naar de website te surfen en natuurlijk niet via de link in de mail die wellicht phishing is. Als het bericht ten slotte wel in het Nederlands is, loont het om de spelling en grammatica te controleren. Dit soort berichten zijn gewoonlijk niet foutloos op dat vlak. PayPal of de overheid zullen bijvoorbeeld nooit zoiets sturen: “Van wege problemen met je acount wordt je verzocht uw gegevens te verifieren.”
Wazige of foutieve afbeeldingen
Afbeeldingen kunnen bovendien veel prijsgeven. Ten eerste is er de kwaliteit van de afbeelding. Als je zelfs zonder leesbril het aantal pixels in de afbeelding kan tellen, is het wellicht phishing. Dit geldt trouwens zowel voor afbeeldingen in de e-mail als op de nagemaakte webpagina die naar je betaalinformatie vraagt. Bij logo’s kan er nog iets anders wijzen op phishing. Sommige bedrijven hebben door de jaren heen verschillende logo’s gehad en het gebeurt soms dat phishingberichten een oude versie gebruiken. Als je bijvoorbeeld een mail krijgt die zogezegd van BNP Paribas Fortis komt en je ziet daarin het logo van de oude Fortis-bank, dan mag die rechtstreeks naar de prullenbak.
Kijk goed naar de URL
Als je tot slot toch op een link in een mail of sms hebt geklikt, let dan goed op elk detail van de webpagina die geopend wordt, in het bijzonder op de URL. Net zoals cybercriminelen de domeinnaam in het e-mailadres niet kunnen nabootsen, kunnen ze de officiële website ook niet nabootsen. Krijg je bijvoorbeeld een phishingbericht dat zich voordoet als KBC, dan zal die link nooit uitkomen op https://kbc.be. Soms kom je terecht op een gelijkaardig domein, zoals https://kbcbelgium.be en soms op een volledig ander domein, zoals https://ikdoeaanphishing.com. Ben je niet zeker wat het officiële domein is? Doe dan hetzelfde als bij de eerste tip en surf even naar de website. Het deel voor de .com (of .be, .nl, etc.) is het hoofddomein.
Je bent het slachtoffer van phishing, wat nu?
Heb je dit artikel te laat gelezen en ben je ingegaan op een phishingbericht, dan moet je in sommige gevallen meteen actie ondernemen om verdere negatieve gevolgen te voorkomen. We zeggen er wel bij dat de kans minimaal is dat je je geld ooit gaat terugzien. Je kan naar de politie stappen en aangifte doen, maar aangezien de fysieke locatie van de cybercrimineel bijna onmogelijk te achterhalen is, staan zij ook machteloos. We beginnen met het slechte nieuws. Dat is voor slachtoffers van spear phishing of mensen die een bepaald bedrag hebben overgeschreven naar een rekening. Hier moet je enorm snel zijn als je je geld niet kwijt wil zijn en dan bedoelen we binnen de 24 uur. In sommige gevallen kan je bank de overschrijving namelijk annuleren, zodat het geld op jouw rekening blijft staan. Zodra je een bankafschrift hebt van de overschrijving, is het jammer genoeg te laat en kan je bank er niets meer aan doen. Ook bij spear phishing, kan een consumentenorganisatie niets doen. Het enige dat de ECC kan doen, is een mail sturen en daarin eisen dat het geld wordt teruggestort. Zij hebben helaas geen enkele autoriteit om hier juridische actie te ondernemen.
Als je tot slot je betaalgegevens hebt doorgegeven via een phishingbericht, moet je zo snel mogelijk die rekening laten blokkeren. Dit kan door contact op te nemen met je bank of betaalprovider. In sommige gevallen kan je zelf in je account rekeningen blokkeren, maar we raden hier toch aan om telefonisch contact op te nemen. Zo kan je aangeven dat je het slachtoffer van phishing bent, zodat de klantendienst alle nodige maatregelen kan nemen om te voorkomen dat jouw rekening geplunderd wordt.