Voorkom phishing: zo trap jij er niet in !

      Reacties uitgeschakeld voor Voorkom phishing: zo trap jij er niet in !

Uiteraard beschermt een goede virusscanner je pc, maar toch is een heel groot deel van computercriminaliteit niet gebaseerd virussen, maar op eenvoudige psychologie. Bij phishing maakt de crimineel in de eerste plaats gebruik van de menselijke zwakheden en onoplettendheid. Hoe wapen jij je tegen de oplichters die eeuwenoude technieken van misleiding in een nieuw jasje hebben gestoken?

Phishing is het vissen (hengelen) naar persoonsgegevens en inloggegevens van gebruikers. De oplichter stelt zich op als een vertrouwde organisatie om de gebruiker via misleiding gegevens en geld afhandig te maken. Dat gebeurt via e-mails en ook via berichten op sociale media. Deze berichten verwijzen je bijvoorbeeld naar een website die sprekend lijkt op een banksite. Wanneer je inlogt, komen je inloggegevens en wachtwoord echter terecht bij de fraudeur die met die informatie je bankrekening plundert. Sluwe fakemails, alarmerende telefoontjes van een zogenaamde Microsoft-helpdesk, overtuigende nepsites, valse winst- of kortingsbonnen van warenhuizen en psychologische trucs zijn het beproefde wapen van de cyberoplichter.

01 België-Nederland

Er is een opvallend historisch verschil tussen Nederland en België wanneer het gaat om deze vorm van internetcriminaliteit, volgens een onderzoek van Eurostat naar aanleiding van Safer Internet Day uit 2015. 20% van de Belgen gaf aan in dat jaar een virus of computerinfectie te hebben gehad. Nederland is op dit punt het beste jongetje van europa met 6%. Van de Belgen raakte 10% geld kwijt aan internetcriminelen, grotendeels door phishing, van de Nederlanders was dat 3%. In beide landen was ook nog 1% gedupeerd door Er is nog geen Europees rapport voor 2017. Febelfin, de federatie van Belgische banken, berekende al wel dat het aantal fraudegevallen in de eerste negen maanden van 2017 al vijfmaal hoger lag dan in 2015. De favoriete modus operandi van de oplichters blijft phishing. Volgens Febelfin leggen de fraudeurs zich nu vooral toe op kleinere bedragen om zo lang mogelijk onder de radar te blijven.

Voorkom phishing zo trap jij er niet in 01

01 Tien procent van de Belgen en drie procent van de Nederlanders verloor geld online doordat men inging op phishing-mailtjes.

02 Campagnes lonen

We verzekeren onze Belgische lezers dat dit geen cynische Belgenmop is. Hoe komt het dat België zo slecht scoort? Het heeft te maken een combinatie van twee vaststellingen. Eerst met de methodologie die Eurostat heeft gebruikt voor dit rapport: er werden mensen ondervraagd. Jan met de pet gelooft nog de mythe dat je een besmette computer herkent aan zijn traagheid, vreemde pop-ups, een pc die plots uitvalt. Terwijl cybercriminelen al tien jaar aantonen dat ze er baat hebben bij hebben om zo lang mogelijk ongemerkt gebruik te maken van een besmette computer. Kortom, mensen vragen naar hun ervaringen over iets waar zij weinig verstand van hebben, levert nooit een zuiver beeld op. In België meten de banken (Febelfin) ieder kwartaal de financiële schade, terwijl dit in de rest van de EU slechts ééns of tweemaal per jaar doet. Hierdoor weten de Belgen dat het goed gesteld is met de veiligheid van online bankieren, maar buiten de bank worden onze zuiderburen vaker beduveld. In bijna alle Europese landen lopen onophoudelijk bewustwordingscampagnes vanuit de overheid om het bewustzijn voor phishing en andere online gevaren aan te scherpen. In België is er eens in de zoveel jaar eens een korte campagne die bijna nooit door de overheid wordt gefinancierd, maar bijvoorbeeld door Febelfin.

Voorkom phishing zo trap jij er niet in 02

02 De Belgische overheid blijft in gebreke op vlak van voorlichting, de Nederlandse overheid is op dat vlak actiever.

Als emotie wint

Terwijl antiviruspakketten hun best doen om de domeinen en websites waar phishing-mails naartoe wijzen te blokkeren, blijft de eerste en beste verdedigingslinie het gezond verstand. Als emotie het wint van gezond boerenverstand, is het einde zoek. Het zegt genoeg dat in 2016 133 Nederlanders zich online lieten oplichten via datingadvertenties. Ze dokten samen 2,7 miljoen aan hun aspirant-liefdes, wat neerkomt op een gemiddelde van 20.000 euro per verliefde ziel (!). Sommigen betaalden niet meer dan honderd euro, maar een uitschieter joeg er 380.000 euro door. De meeste slachtoffers werden via Facebook benaderd.

03 Basic of spear

Grofweg zijn er twee vormen van phishing. Eerst is er de basic phishing, waarbij de oplichters dezelfde mail naar een grote groep mensen verzenden. Dit is de techniek van het hagelgeweer (spray-and-pray). Denk maar aan een nepbericht dat zogenaamd van de ABN AMRO komt, terwijl een heleboel van de bestemmelingen niet eens een rekening heeft bij die bank. De fraudeurs rekenen erop dat een deel van de ontvangers zich toch aangesproken zal voelen. De tweede vorm is het zogenaamde spearphishing, dat gaat veel doelgerichter te werk – vandaar de benaming die te vertalen is als vissen met de speer. Zo werden eind november aan de universiteit van Gent verschillende frauduleuze mails gestuurd die afkomstig leken van collega’s, doorgaans leidinggevenden. Zo’n mail komt veel sneller betrouwbaar over. Bij spearphishing let de oplichter op details. De logo’s kloppen, de opmaak is niet van echt te onderscheiden.

Voorkom phishing zo trap jij er niet in 03

03 Dit is een mooi voorbeeld van basic phishing, de situatie lijkt plausibel maar je wordt niet persoonlijk aangesproken.

Tijdbom

In de meeste gevallen combineren criminelen verschillende technieken, waarvan pas jaren later het effect merkbaar wordt. LinkedIn werd in 2012 gehackt, waarbij de accountgegevens van 167 miljoen gebruikers werden gestolen. Deze gelekte namen, mailadressen en wachtwoorden bleven lange tijd uit beeld. Pas in mei 2016 boden de hackers de dataset publiekelijk te koop aan. Fox-IT meldde in juni een phishing-campagne in Nederland die gepersonaliseerd was op basis van de gestolen LinkedIn-gegevens. In de e-mail wordt de ontvanger met zijn voor- en achternaam aangesproken in combinatie met beroepsgegevens, waardoor het bericht een authentieke indruk maakt. Het was in die phishing-campagne de bedoeling om de ontvanger een Word-document te laten openen waarin een kwaadaardig macroscript zat.

Voorkom phishing zo trap jij er niet in 04

In de bijlage van de phishing-campagne zat een onleesbaar Word-document met een verraderlijke macro.

04 Gewonnen

‘Win een cadeaubon ter waarde van 500 euro’ ‘Aldi geeft waardebonnen van 850 euro weg’ ‘Douwe Egberts trakteert op een maand gratis koffie.’ Dit soort berichten vormt een echte plaag. De warenhuisketens waarschuwen allemaal deze namaak-waardebonnen niet te openen. Soms staan er ook nog foto’s bij van zogenaamde winnaars.

Een variant is het zogenaamd mogen testen of uitproberen van producten, waarbij je ze daarna zou mogen houden. Je hoeft alleen nog maar te klikken op een link of een speciaal nummer te bellen. Wie op zo’n bericht klikt, loopt het risico dat via malware het bericht wordt doorgestuurd naar bijvoorbeeld alle WhatsApp-contactpersonen. De site die je via de link opent, lijkt op de officiële website van zo’n winkelketen en vraagt naar je gegevens.

05 Dure cadeautjes

Veel winacties proberen je wijs te maken dat je iets gewonnen hebt, maar je moet dit nog wel even bevestigen door te bellen met een betaalnummer en daar een code in te voeren. Op dit nummer houdt men je aan het (dure) lijntje met een eindeloze quiz. Bel dat nummer dus niet. En gebruik overigens ook nooit de afmeldlink op dit soort mails. De oplichters die dit soort berichten verzenden, weten door jouw afmelding dat je e-mailadres actief is en zullen alleen maar meer mail sturen. Soms helpt het om de afzender in je mailinstellingen te blokkeren. De spamfilters van Outlook of Thunderbird kunnen ook dergelijke mails onderscheppen. Wil je echt actie ondernemen tegen een bepaalde afzender, dan kun je een klacht indienen via www.spamklacht.nl.

Voorkom phishing zo trap jij er niet in 05

Van banken naar shops

Nederland behoort tot de belangrijkste hosters op vlak van phishing. 3% van alle aanvallen wereldwijd vertrekt vanuit hier, maar de overgrote meerderheid is niet alleen gericht op Nederland. De cybercriminelen maken graag gebruik van de erg brede hostingsector in Nederland om veel buitenlandse websites te hosten. Het 2017 Phishing Trends & Intelligence Report zoekt uit op welke servers de phishing-sites zijn gevestigd. Even zorgwekkend is het feit dat de daders de afgelopen maanden het werkterrein verleggen. Waar vroeger vooral banken in het vizier lagen bij phishing, zijn nu webshops, bezorgdiensten, energieleveranciers en telecomproviders aan de beurt.

Voorkom phishing zo trap jij er niet in 06

Phishing heeft zich verplaatst van de banken naar de shops.

06 Microsoft-helpdesk

En dan zijn er uiteraard de haast legendarisch geworden Microsoft-bellers, waar we ook al over schreven in Computer!Totaal 0102/2018. Deze cybercrime bestaat al sinds 2009, met steeds veranderende werkwijzen. Criminelen die meestal Engels met Indiaans accent spreken, doen zich voor als behulpzame helpdeskmedewerkers. “Er zijn problemen met uw computer. Wij willen die graag voor u oplossen.” Het is het begin van een oplichtingspoging die al veel mensen geld heeft gekost. Ze bespelen hun slachtoffer met een mengeling van autoriteit en bangmakerij. Ze vragen je de logboeken van de computer te openen. In deze logboeken staan allerlei meldingen over het functioneren van het systeem en gebruikte programma’s. De scammers vragen je te kijken naar de gele en rode meldingen. Alles wat daarin staat, kan een virus zijn volgens de medewerkers, terwijl er in werkelijkheid niets op dat vlak aan de hand is. Daarna vraagt de oplichter of hij de computer mag overnemen via bijvoorbeeld TeamViewer om de problemen te verhelpen. Op dat moment geef je de computer letterlijk in handen van een goed voorbereide crimineel. En voor zijn werkzaamheden eist de oplichter geld, bijvoorbeeld in de vorm van iTunes-tegoedkaarten. De werkelijkheid is dat dat Microsoft zijn klanten nooit belt. Je kunt dus het beste niet ingaan op de vragen maar direct ophangen.

Voorkom phishing zo trap jij er niet in 07

06 Word je gebeld en vraagt ‘Microsoft’ je de Logboeken te openen? Hang op!

Boetes

In het najaar van 2017 werd Nederland overspoeld door phishing-mails die afkomstig leken van het Centraal Justitieel Incassobureau (CJIB). De aanmaningen voor de openstaande boetes zagen er akelig echt uit. Alles is opgesteld in keurig ambtelijk Nederlands en zelfs de bedragen zijn geloofwaardig: van een paar tientjes tot enkele honderden euro’s. De toon is behoorlijk dwingend. Als er niet wordt betaald, zal het CJIB beslagleggen op de bankrekening of de gerechtsdeurwaarder inschakelen. Sommige van die berichten laten de overtreder betalen via iDeal en zelfs via Bitcoin. Zelfs het adres van de afzender noreply@cjib.nl lijkt een legitiem e-mailadres. De bal ging aan het rollen toen het echte CJIB tientallen betalingen ontving van mensen die helemaal geen overtreding hadden begaan. Blijkbaar stond het CJIB al het adresboek van hun internetbankieren door de betaling van eerdere boetes, en selecteerden mensen het CJIB dus bij het overmaken. Het CJIB heeft het geld teruggestort aan de gulle gevers, nadat is gekeken of er niet toevallig nog andere verkeersboetes openstonden.

07 Afweertips

Met een kritische instelling en gezond boerenverstand kom je heel ver. Maar toch kunnen deze tips helpen.

– Als een voorstel te mooi klinkt om waar te zijn, dan is het waarschijnlijk niet waar.

– Gebruik de 10seconden-regel. Voordat je op een link in de mail klikt, neem je tien seconden de tijd om na te denken of de mail wel echt is.

– Officiële instanties vragen je nooit via mail, sms of telefoon om je persoonlijke gegevens of wachtwoord in te voeren.

– Niet dat deze tip waterdicht is, maar let op de aanspreking. Bedrijven die je aanmanen om achterstallige facturen te betalen en die je niet eens bij naam aanspreken? Die vertrouwen we niet.

– Van officiële communicatie mag je verwachten het foutloos geschreven is. Zie je opvallende fouten in de tekst, wees dan alert. De tijd dat je een phishing-mail van ver kon herkennen aan gebrekkig Nederlands is voorbij, maar bij basic phishing komt het nog zeker wel voor.

– Controleer het adres van de afzender. Phishing-campagnes worden meestal lukraak verzonden naar zo veel mogelijk e-mailadressen.

– Controleer de links zonder erop te klikken. Ga met de muisaanwijzer boven de link hangen, zodat een preview verschijnt. Leidt die naar een betrouwbaar adres of niet? Vaak zie je in het begin van het internetadres al dat deze url niet officieel is. De mailadressen van de afzenders wijken af van het adres van de organisatie die de mail zou hebben verstuurd.

– Ga nooit via een link in een mail naar de website van je bank. Gebruik daarvoor het bekende webadres, bijvoorbeeld uit je eigen bladwijzers.

– Controleer of er een ‘s’ staat achter de ‘http’-adresregel van een shop- of banksite. De ‘s’ staat voor secure. Als een site met ‘https’ begint, is er sprake van een beveiligde verbinding. Dat zegt niet per se dat de website zelf veilig is, maar indien het er niet staat weet je dat dit níet de site van je bank is.

Voorkom phishing zo trap jij er niet in 08

07 Soms is het Nederlands zo belachelijk slecht, dat je van veraf al ziet dat het bericht nep is.