Phishing is een vorm van internetfraude. Het doel is om mensen op te lichten en geld of gevoelige gegevens afhandig te maken. Dit gebeurt door ze te lokken naar een valse website. Dit is een kopie van een legitieme website. Criminelen willen nietsvermoedende internetgebruikers daar in laten loggen met hun inlognaam, wachtwoord en creditcardnummer.
Inhoud
Criminelen proberen internetgebruikers op te lichten door met een geloofwaardig verhaal te komen, vaak met de complete vormgeving van een legitiem bedrijf, op een internetpagina. Een bekende truc is het vragen om het wijzigen van een wachtwoord. Oplichters sturen dan een e-mail met: ‘Je wachtwoord is verlopen. Wijzig het nu.’ Dat klinkt plausibel, dus klikken veel mensen. Daarom is phishing zo effectief en gevaarlijk.
Een andere truc is het aanzetten tot het doen van bankzaken. Denk maar aan de mailtjes die je zogenaamd krijgt van het Centraal Justitieel Incasso Bureau (CJIB), dat er nog een boete openstaat en het geld moet worden overgemaakt. Sommige phishers gebruiken zelfs malware (schadelijke software) om ook mee te kunnen kijken op de computer van het slachtoffer. Malware verwijderen is een lastig klusje, als je er eenmaal mee besmet bent. Daarnaast loggen ze je IP om te zien waar je je bevindt.
De verschillende soorten phishing-aanvallen variëren van klassieke phishingscams via e-mail tot meer inventieve methodes zoals spearphishing en smishing. Dit zijn de meestgebruikte vormen van phishing:
Spear phishing aanvallen zijn aanvallen die zijn gericht op een specifiek individu. Voordat de aanvaller een phishingbericht stuurt, doet hij eerst onderzoek naar het doelwit. De aanvaller doet zich vaak voor als een oude vriend of een collega.
Bij whaling doet de aanvaller alsof deze een hooggeplaatst lid van een bedrijf is, zoals een grootaandeelhouder of de directeur. De aanvaller moet er veel moeite voor doen, omdat ze lastiger na te doen zijn, maar de winsten zijn ook groter, als het lukt. Ze proberen geld of vertrouwelijke informatie afhandig te maken van medewerkers van bedrijven.
Een hacker houdt de mailbox van een slachtoffer in de gaten en bekijkt wat voor soort e-mails er binnenkomen. Daarvan maakt de aanvaller een kloon. In plaats van een legitieme link te gebruiken, verwijst de link door naar een nepwebsite. De oorspronkelijke e-mail (en diens bijlagen) kunnen erg sterk worden nagemaakt. Daardoor klikken mensen snel, omdat het allemaal lijkt te kloppen.
Tegenwoordig worden veel aanvallen ook telefonisch uitgevoerd. Je kunt te maken krijgen met een phishing sms, terechtkomen op een phishingsite of een phishing telefoon krijgen. Bij smishing ontvangt het slachtoffer een sms met een link naar een nepwebsite. In een recente zwendel met FedEx en Amazon gebruikten criminelen de echte voornamen van slachtoffers en lieten ze hen weten dat ze de afleveringsvoorkeuren voor hun pakketten moesten instellen. Dat soort berichten zijn niet ongebruikelijk, dus trappen mensen erin. Uiteindelijk werden ze omgeleid naar een nep-Amazon, waar om creditcardgegevens werd gevraagd. Bingo voor de phishers.
Bij vishing maakt de aanvaller je wijs dat er iets ergs staat te gebeuren. Dat iemand je creditcard misbruikt, of dat je nog een openstaande boete hebt. Vaak nemen emoties dan de overhand, waardoor mensen opgelicht worden.