Wat is phishing?
Phishing is een vorm van cybercriminaliteit waarbij het potentiële slachtoffer wordt benaderd via e-mail, sms, instant messaging, sociale media of telefoon. De oplichter doet zich daarbij voor als iemand anders. Dat kan je bank, energieleverancier of een technologiebedrijf zijn, maar evenzeer een vriend of familielid.
Het doel is om te “hengelen” (“phishing” in het Engels) naar gevoelige gegevens, zoals persoonlijke informatie, wachtwoorden, bank- of kredietkaartgegevens. Eens hij die gegevens heeft buitgemaakt krijgt de oplichter vrij spel: hij kan er bijvoorbeeld toegang mee krijgen tot belangrijke accounts van het slachtoffer, zijn geld of identiteit stelen.
Welke vormen van phishing bestaan er?
Om die informatie te verkrijgen worden verscheidene middelen ingezet. Niet zelden spelen oplichters in op actuele gebeurtenissen, zoals de coronacrisis. E-mails zijn nog steeds het populairst, maar daar blijft het niet bij.
Phishing via e-mail
Er bestaan verschillende varianten van de phishingmail: een waarschuwing omtrent je account, de vraag van je bank om je gegevens te bevestigen … De afzender lijkt betrouwbaar, maar is uit op je persoonlijke of financiële gegevens die hij laat invullen op een nagemaakte webpagina, of hij wil je toestel infecteren met malware door je een bijlage te doen openen.
Hieronder een voorbeeld van een phishingmail zogenaamd afkomstig van Apple. Kijk even mee naar het e-mailadres: support@rjmamasatim02-team.freshdesk.com; dit lijkt allesbehalve een officieel Apple-adres. Als we met ons muispijltje over de link (“verify your identity”) zweven, zien we de echte URL verschijnen: het is een verkorte link (https://t.co/dzjF8OKRbN) die niet naar de echte Apple-website gaat.
Phishing via sms, WhatsApp of Facebook Messenger
Sms- of instant messaging-apps worden gebruikt voor “smishing“: je krijgt een sms, WhatsApp- of Facebook Messenger-bericht met daarin een waarschuwing (bijvoorbeeld “Ben jij dat in deze video?” of “Betaal nu of je rekening wordt geblokkeerd”) of aanbieding (bijvoorbeeld “Win een waardebon bij Lidl”), en het verzoek om op een link te klikken of een nummer te bellen. De link doet je malware installeren of leidt naar een nagemaakte webpagina waarop je je (betaal)gegevens moet invullen. Het nummer leidt naar een fraudeur die zich bijvoorbeeld voordoet als een bedrijf en tracht je gegevens te achterhalen.
Hieronder een voorbeeld van zo’n vals sms’je waarbij de oplichter zich voordoet als een contactonderzoeker in het kader van de coronacrisis. Het officiële nummer is 8811. Dit bericht blijkt afkomstig van een ander nummer. En de link leidt naar een malafide URL, dat bevestigt ook onze check op www.virustotal.com.
Door je bang te maken wil deze sms je doen klikken op de link.
Of kijk eens naar onderstaand sms’je. Het bericht is in het Nederlands, maar afkomstig van een Portugees nummer: verdacht. De link leidt niet naar een foto, wel naar een URL met malware, aldus onze check op www.virustotal.com.
Deze sms speelt in op je nieuwsgierigheid om je te doen klikken.
Nog een populaire truc: een “bekende” contacteert je plots via WhatsApp en vraagt je met een smoesje om geld. Je krijgt een berichtje vanaf een onbekend nummer. De persoon zal beweren dat hij een nieuw nummer heeft. Om de een of andere reden heeft hij snel geld nodig, bijvoorbeeld om een openstaande rekening te betalen, en vraagt hij om dat even voor jou te betalen, want het moet snel gebeuren. Je krijgt de belofte dat je je geld zo snel mogelijk terugkrijgt. Als je die persoon probeert te bellen om verhaal te halen, zal die meestal niet opnemen en beweren dat er iets mis is met de verbinding of telefoon. Soms gaan de oplichters zelfs nog een stap verder en spelen ze kort het stemgeluid af van je contactpersoon. Dat halen ze via sociale media (bijvoorbeeld uit een story van je contact op Facebook of Instagram). Dit is zogenaamde hulpvraagfraude. Ga nooit in op zo’n verzoek!
Een typisch voorbeeld van “hulpvraagfraude” via WhatsApp.
Phishing via telefoon
Phishing via de telefoon (“vishing”) werkt als volgt: oplichters proberen hun slachtoffer te overtuigen om geld over te schrijven of om persoonlijke, financiële of beveiligingsgegevens te delen. Klassiek voorbeeld: een “medewerker” van Microsoft of een ander technologiebedrijf belt je om een probleem met je pc te melden: je pc heeft een virus, werd gehackt, heeft niet de legale versie van Windows 10 enz.
Als “oplossing” laten ze je onder meer een programma downloaden of naar een bepaalde website surfen. Zo krijgt de oplichter toegang tot je computer en uiteindelijk wil hij je laten betalen om het probleem op te lossen. Het gaat dan om een bedrag van enkele euro’s dat je, vaak met behulp van je digipass, moet betalen. Jij denkt dat je een klein bedrag overschrijft, maar de oplichter zal erin slagen honderden tot zelfs duizenden euro’s buit te maken.
Pas ook op voor mensen die beweren dat zij contact met je opnemen vanuit een officiële instantie omdat je bijvoorbeeld recht hebt op een premie in het kader van de coronacrisis. Hang meteen op. Geef in geen geval je bankgegevens door: geen enkele Belgische (RSZ, FOD, enz.) of Europese instantie zal je ooit opbellen om dergelijke gegevens te vragen.
Phishing via sociale media
Stel: je bent niet tevreden over een bedrijf en uit je ongenoegen op Facebook of Twitter. Het bedrijf heeft er baat bij snel te reageren want de post is zichtbaar voor iedereen. Maar… ook oplichters lezen mee. Ze maken een valse account aan en reageren dan op je klacht alsof ze de klantendienst zijn. Om geholpen te worden moet je op een (vaak verkorte) link klikken. Zo laten je ze malware installeren of je betaalgegevens invullen die ze dan op hun beurt kunnen misbruiken.
Hieronder een voorbeeld van phishing via Twitter. Een ontevreden klant stelt een vraag aan PayPal en krijgt antwoord van “@AskPayPal_Tech”. De officiële accounts van PayPal zijn echter “@PayPal” en “@AskPayPal”. De verkorte link gaat naar een valse loginpagina waar het slachtoffer wordt gevraagd haar gegevens in te vullen.
Een voorbeeld van phishing via Twitter: de oplichter geeft zich uit voor de helpdesk van PayPal.
Phishing via valse uitnodigingen in Google Agenda
Bij deze methode sturen oplichters valse uitnodigingen naar Google Agenda-gebruikers. In die uitnodigingen staan phishing-links. Onder het voorwendsel dat je bijvoorbeeld een som geld hebt gewonnen proberen ze je te doen klikken. De bedoeling is om je persoonlijke of kredietkaartinformatie te laten invullen in een nagemaakt webformulier.
De oplichters maken hierbij misbruik van een instelling die standaard geactiveerd is in Google Agenda en die ervoor zorgt dat elke agenda-uitnodiging automatisch aan je agenda wordt toegevoegd. Om te verhinderen dat malafide uitnodigingen in je agenda komen te staan en je per ongeluk op links in die uitnodigingen klikt, schakel je die instelling dus beter uit.
Open Google Agenda in je browser en klik rechtsboven op het tandwiel en dan op Instellingen. Klik op Afspraakinstellingen. Bij Uitnodigingen automatisch toevoegen kies je Nee, alleen uitnodigingen weergeven waarop ik heb gereageerd. Onder Opties weergeven vink je Geweigerde afspraken weergeven uit.
Phishing via QR-code
Deze vorm van oplichterij werkt als volgt: je biedt iets aan op een tweedehandssite en een geïnteresseerde koper contacteert je. Hij stelt voor om de betaling via zijn professionele rekening te doen. Om ze mogelijk te maken, vraagt hij om je rekeningnummer door te geven. Enkele minuten nadat je dat nummer hebt gegeven ontvang je een QR-code die je ter bevestiging moet scannen.
Alles ziet er betrouwbaar uit, de QR-code lijkt te leiden naar de mobiele app van de bank. Maar in werkelijkheid is het een portaal dat in handen is van de oplichter. Door daarop in te loggen geef je hem rechtstreeks toegang tot je rekeningen en kan hij er geld van afhalen. Bijgevolg merk je een paar uur later dat er grote sommen geld van je rekening zijn gedebiteerd.
We raden dan ook aan om zeer voorzichtig te zijn wanneer je een betalingsverzoek ontvangt waarvoor je een QR-code moet scannen. Een handmatige overschrijving is altijd veiliger omdat je je dan niet in een vervalste betaalomgeving bevindt. Blijf waakzaam en neem de tijd om alles grondig te controleren.