Hoe werkt phishing en wat betekent phishing?
Criminelen proberen internetgebruikers op te lichten door met een geloofwaardig verhaal te komen, vaak met de complete vormgeving van een legitiem bedrijf, op een internetpagina. Een bekende truc is het vragen om het wijzigen van een wachtwoord. Oplichters sturen dan een e-mail met: ‘Je wachtwoord is verlopen. Wijzig het nu.’ Dat klinkt plausibel, dus klikken veel mensen. Daarom is phishing zo effectief en gevaarlijk.
Een andere truc is het aanzetten tot het doen van bankzaken. Denk maar aan de mailtjes die je zogenaamd krijgt van het Centraal Justitieel Incasso Bureau (CJIB), dat er nog een boete openstaat en het geld moet worden overgemaakt. Sommige phishers gebruiken zelfs malware (schadelijke software) om ook mee te kunnen kijken op de computer van het slachtoffer. Malware verwijderen is een lastig klusje, als je er eenmaal mee besmet bent. Daarnaast loggen ze je IP om te zien waar je je bevindt.
Hoe weet je of iets phishing is?
- Een bericht zet je aan iets te doen, omdat je anders niet van een actie profiteert;
- Het probeert je bang te maken. Als je iets niet doet, zullen er nare gevolgen zijn (zoals het blokkeren van je bankrekening);
- Er zijn bijlagen. Zelden sturen bedrijven nog e-mails of nieuwsbrieven met bijlagen. Open ze daarom nooit;
- Het lijkt niet alsof het echt van deze afzender is. Bijvoorbeeld omdat de stijl niet klopt, of omdat het te mooi lijkt om waard te zijn;
- Het ziet er gewoon slecht uit. Slecht Nederlands, rare lettertypes, wazige logo’s en overal hoofdletters verklikken al dat het oplichting is.
Soorten phishing
De verschillende soorten phishing-aanvallen variëren van klassieke phishingscams via e-mail tot meer inventieve methodes zoals spearphishing en smishing. Dit zijn de meestgebruikte vormen van phishing:
Spear phishing
Spear phishing aanvallen zijn aanvallen die zijn gericht op een specifiek individu. Voordat de aanvaller een phishingbericht stuurt, doet hij eerst onderzoek naar het doelwit. De aanvaller doet zich vaak voor als een oude vriend of een collega.
Whaling
Bij whaling doet de aanvaller alsof deze een hooggeplaatst lid van een bedrijf is, zoals een grootaandeelhouder of de directeur. De aanvaller moet er veel moeite voor doen, omdat ze lastiger na te doen zijn, maar de winsten zijn ook groter, als het lukt. Ze proberen geld of vertrouwelijke informatie afhandig te maken van medewerkers van bedrijven.
Clone phishing
Een hacker houdt de mailbox van een slachtoffer in de gaten en bekijkt wat voor soort e-mails er binnenkomen. Daarvan maakt de aanvaller een kloon. In plaats van een legitieme link te gebruiken, verwijst de link door naar een nepwebsite. De oorspronkelijke e-mail (en diens bijlagen) kunnen erg sterk worden nagemaakt. Daardoor klikken mensen snel, omdat het allemaal lijkt te kloppen.
Smishing en vishing
Tegenwoordig worden veel aanvallen ook telefonisch uitgevoerd. Je kunt te maken krijgen met een phishing sms, terechtkomen op een phishingsite of een phishing telefoon krijgen. Bij smishing ontvangt het slachtoffer een sms met een link naar een nepwebsite. In een recente zwendel met FedEx en Amazon gebruikten criminelen de echte voornamen van slachtoffers en lieten ze hen weten dat ze de afleveringsvoorkeuren voor hun pakketten moesten instellen. Dat soort berichten zijn niet ongebruikelijk, dus trappen mensen erin. Uiteindelijk werden ze omgeleid naar een nep-Amazon, waar om creditcardgegevens werd gevraagd. Bingo voor de phishers.
Bij vishing maakt de aanvaller je wijs dat er iets ergs staat te gebeuren. Dat iemand je creditcard misbruikt, of dat je nog een openstaande boete hebt. Vaak nemen emoties dan de overhand, waardoor mensen opgelicht worden.
Hoe bescherm je jezelf tegen phishing?
- Gebruik een VPN, zodat alle data versleuteld wordt en hetgeen je invult op een nepsite onbruikbaar wordt. Sommige VPN’s hebben ook ingebouwde filters tegen phishing;
- Gebruik spamfilters en browser filters. NordVPN’s Threat Protection Pro-functie zorgt er bijvoorbeeld voor dat je minder snel op malicieuze links zal klikken. Voordat je een website bezoekt, kijkt Threat Protection Pro eerst of het wel een legitieme site is;
- Leer om phishing te herkennen. Met een beetje oefening kun je phishing mails leren spotten. Een manager die opeens ‘Hartelijke groeten’ onder zijn e-mail zet, terwijl deze dat anders niet doet, kan wijzen op phishing;
- Check het website-adres en vul deze manueel in. Klik niet zomaar op links. Kijk ook of er ‘https’ voor staat en er een groen slotje voorstaat. Is de link goed gespeld? Dit zijn de belangrijkste indicatoren. Als je ook maar een beetje twijfelt, kun je het best de site verlaten en de dienst bellen die zogenaamd het bericht heeft verstuurd;
- Blijf koel. Laat je niet zomaar in de luren leggen. Een bankmedewerker die je ‘s avonds laat vertelt dat er iets raars met je bankrekening aan de hand is? Vertel de medewerker dat je wilt dat alles wordt geblokkeerd. Geef nooit je gebruikersnaam en wachtwoord, onder welke omstandigheden dan ook.