Wat is phishing?

Ethereum

ETH

Meer crypto

Kennisbank

Phishing is een online aanvalstechniek waarbij criminelen zich voordoen als betrouwbare afzenders en gaan vissen naar gevoelige gegevens. Oplichters proberen op deze manier geld of informatie te stelen.

Iedereen heeft wel gehoord van phishing en de meesten van ons hebben er ook soms mee te maken. Het is een steeds vaker voorkomend fenomeen en de technieken worden steeds lastiger te doorzien.

Het woord phishing is verzonnen als alternatief voor fishing, dat meestal legaal is!

Het eerste bekende geval van phishing betreft AOL in 1996, waarbij de term phishing uitgevonden is. De daders visten naar wachtwoorden, zodat ze aan betaalgegevens konden komen van klanten van AOL.

Phishing kun je vrijwel altijd herkennen. In deze les gaan we je vertellen wat phishing is en wat je er tegen kunt doen.

Hoe herken je phishing?

Als oplichters gaan vissen of hengelen naar gevoelige informatie, zijn er altijd wel overeenkomstige signalen te vinden. De meest voor de hand liggende overeenkomst is het vragen naar informatie die je eigenlijk niemand zou moeten geven.

Als je gevraagd wordt om je logingegevens van een account waar geld op staat moeten er alarmbellen gaan rinkelen. Gegevens van je bank, de plek waar je jouw crypto bewaart of je Google account waar je wachtwoorden op staan zul je altijd geheim moeten houden. Wie om deze gegevens vraagt is vrijwel altijd een scammer.

Psychologische manipulate

Je herkent phishing ook aan de psychologische trucs die oplichters gebruiken. Zodra je het gevoel krijgt dat je emotioneel gemanipuleerd wordt, is dat meestal ook zo. Met een techniek die social engineering wordt genoemd, proberen ze je zo geloofwaardig mogelijk in de val te laten lopen. Ze spelen via social engineering in op bekende zwakheden van mensen.

Ze beloven je van alles, maken je bang of spelen in op je hebzucht en nieuwsgierigheid. Ook proberen ze te vissen naar je onwetendheid en geven ze je een gevoel van urgentie. Verder kunnen ze zich voordoen als mensen die je kent of zich beroepen op autoriteit, zoals politie of deurwaarder.

Red flags

De boodschap zelf kan ook aanwijzingen bevatten. Als er spelfouten in staan is dat een red flag. Wanneer hij algemeen gericht is, zoals “geachte klant”, weet de afzender jouw naam dus niet. Heb je opeens een prijs gewonnen in een loterij waar je niet eens aan meedoet? Logica kan je ook snel alarmeren. De “I Love You” scam, waarin gerefereerd werd aan je gevoelens, kennen de meesten ook wel.

De afzender bij phishing mails is meestal een afgeleide van de bekende afzender van een officiële organisatie. Iedereen kent wel het mailadres van een helpdesk, zoals [email protected] of [email protected]. Als je adressen ziet die hiervan afwijken, weet je dat het fout zit. Zo is een e-mailadres als [email protected] natuurlijk geen officieel adres. Ook [email protected] is nogal verdacht. Laat staan van die hele lange adressen die je vaak bij spam en phishing ziet.

Welke vormen van phishing zijn er?

Phishing komt in steeds meer vormen voor, want criminelen zoeken steeds naar nieuwe manieren om geld op te halen waar ze niet voor hoeven te werken. We zullen de meest voorkomende vormen de revue laten passeren.

Veruit de meest voorkomende vorm van phishing is e-mail phishing. Er is een steeds groeiende hoeveelheid mails in je inbox die bestaat uit spam en phishing. Spam is irritant, maar onschuldig. Phishing mails kunnen je echter zwaar in de problemen brengen als je klikt op een link in een mail. Vaak wordt gebruikgemaakt van e-mail spoofing (foppen), waardoor het lijkt alsof de mail komt van iemand of een bedrijf dat je kent.
URL spoofing. Via allerlei trucjes wordt de URL van een website verborgen gehouden of als betrouwbaar gepresenteerd. Zo kun je een URL in een link verkorten, zodat je niet de volledige link kunt zien, tenzij je de muis langer op de link houdt. Een andere truc is de link verbergen onder een knop, zoals “klik hier”. Ook kunnen domeinnamen veranderd worden, zodat ze lijken op de juiste. Zo kun je een ander lettertype gebruiken, een gelijkende naam verzinnen of buitenlandse tekens gebruiken. Zet je belangrijkste URL’s daarom bij je favorieten, zodat ze je niet kunnen foppen.
Malware phishing. Meestal zit deze malware verstopt in de bijlage van een mailtje. De afzender probeert de bijlage zo betrouwbaar of onschuldig mogelijk te laten lijken en je zo te verleiden om te kijken wat er in staat. Zodra je de bijlage opent, wordt het programma stiekem uitgevoerd en krijg je last van virussen, hacken, of kunnen de scammers meekijken naar wat je allemaal intypt en doet via “keyloggers”.
Vishing. Dit is een phishing methode waarbij aanvallers je telefonisch over te halen tot actie. Bekende praktijken zijn social engineering technieken, waarbij de beste manipulatoren worden ingezet om je onder druk te zetten. Professionals kunnen in korte tijd achterhalen wat je zwakke punten zijn en hier genadeloos op inspelen. Vaak weten ze ook van alles van je via social media, zoals je sociale netwerk of waar je geld hebt staan. Een andere vorm van vishing is je voordoen als een bekende of geliefde en je geld proberen af te troggelen. Ook helpdesk fraude hoort hierbij, ze vragen je dan bijvoorbeeld naar je “seed phrase” of “private keys”, zodat ze je wallet leeg kunnen halen.
Spear phishing of whaling. Dit is een aanval die gericht is op een individu, vaak grote vissen (whale). Meestal betreft het hoge functionarissen of rijke mensen die met heel specifieke eisen of links bestookt worden. Vaak hebben de aanvallers flink wat informatie over een individu ingewonnen, voordat ze tot actie over gaan.
Smishing. Dit is een samentrekking van SMS en phishing. Via een SMS proberen aanvallers je te overtuigen dat de afzender betrouwbaar is. Zodra je overtuigd bent, komen de trucjes.
Quishing. Dit is phishing met behulp van QR-codes. Zodra je de QR-code gebruikt, begint het vissen.
Whatsapp phishing. Dit wordt ook wel hulpvraag fraude genoemd. Een oplichter doet zich voor als dat familielid of die vriend van je en beweert dat hij in allerlei problemen zit en dat de oplossing hiervoor is dat jij je beurs moet trekken.
Clone phishing. Hierbij worden precieze kopieën van mails of websites gemaakt, waardoor ze heel geloofwaardig zijn. Je moet dan heel goed opletten of de afzender of naam van de website wel klopt.
Factuur phishing. Je krijgt een factuur van de overheid of een deurwaarder die er officieel uitziet en moet betalen, want anders! Vaak krijg je een heel korte tijd om te beslissen en kom je in de problemen als je niet betaalt. Pure bangmakerij, maar het is bewezen dat het werkt.
Phishing met gedeelde documenten. De oplichters hebben een melding van Dropbox of OneDrive zo goed nagemaakt, dat je denkt dat het echt is. Zodra je op de link klikt en inlogt, hebben ze je gegevens.
App phishing. Tegenwoordig vragen apps of ze toegang mogen krijgen tot AL je informatie op je telefoon. Dat is al griezelig, maar als je een onbekende app downloadt die uitsluitend gemaakt is om jouw informatie te stelen, hebben ze toegang tot alles waar je toestemming voor hebt gegeven. Download dan ook alleen maar officiële apps uit de App Store. Denk ook na of je een site als TikTok wel toegang tot je telefoon wilt bieden.
Pop-up phishing. Deze lijkt wel uit de oude doos, maar komt nog steeds voor. Pas op als er een pop-up verschijnt op een onbekende of onbetrouwbare site. Voor je het weet ben je een Trojaans Paard je woonkamer in aan het slepen of andere malware aan het installeren.
Zoekmachine phishing. Fraudeurs kopen hierbij posities in een zoekmachine. Als je klikt op hun link begint het phishing proces. Vermijd de gesponsorde links bovenaan.
Cat phishing. Hierbij doen aanvallers zich voor als iemand die romantisch geïnteresseerd is via een datingsite en dergelijke. Het doel is vrijwel altijd geld af te troggelen voor verzonnen dingen.
Nigeriaanse phishing. Je hebt opeens een erfenis gekregen van een Nigeriaanse prins! Het enige wat je hoeft te doen is klikken op die link en je wordt rijk. Right!

Welke gevolgen heeft phishing?

Phishing heeft zowel voor particulieren als bedrijven nare gevolgen. We gaan eerst de gevolgen voor particulieren onderzoeken:

Financiële schade

Als je slachtoffer wordt van phishing kun je grote financiële schade lijden. Je bankrekening kan worden geplunderd, je cryptocurrency kan worden gestolen en je kunt zelf geld overmaken naar fraudeurs.

Emotionele schade

Na een phishingaanval kun je het vertrouwen in bedrijven en anderen verliezen. Je kunt de online wereld gaan wantrouwen, stress en paranoia ontwikkelen en je kunt je onveilig gaan voelen. Het kan soms lang duren voordat je emotioneel en financieel hersteld bent.

Geïnfecteerde apparaten

Door malware of spyware te installeren kun je jouw apparaten niet meer vertrouwen. In het ergste geval moet je de computer of telefoon helemaal opnieuw installeren, waardoor je veel tijd kwijt bent. Dit kan voor grote ergernis zorgen.

Diefstal van je identiteit

Als scammers toegang hebben tot je accounts, kunnen ze zich voordoen als jou en niet alleen geld stelen, maar ook anderen oplichten in jouw naam. Ze kunnen ook in webwinkels allerlei goederen bestellen en jou ervoor laten betalen.

Bedrijven worden ook geconfronteerd met de gevolgen van phishing:

Financiële schade

Als medewerkers niet goed opletten bij phishing aanvallen, kan dit grote gevolgen hebben voor hun hele netwerk. Als een virus of andere malware de organisatie binnenkomt, kan dit het hele systeem ondermijnen. Om zoiets op te lossen kost heel veel tijd en geld.

Een ander aspect van phishing is de financiële schade die een bedrijf oploopt doordat er phishingmails rondgaan die verstuurd zijn in naam van dat bedrijf. Particulieren hebben dan de neiging om jouw bedrijf te gaan mijden.

Imagoschade

Als een bedrijf gehackt is en de gegevens van hun klanten “op straat” komen te liggen, kan het imago van een bedrijf ernstig geschaad worden. Klanten kunnen besluiten om geen zaken meer te doen met je bedrijf. Cybersecurity wordt steeds belangrijker.

Productiviteitsverlies

Phishing kan de operaties vertragen of zelfs stilleggen.

Voorbeelden van phishing

Er zijn in de loop van de tijd allerlei phishing scams verzonnen. We zullen een aantal voorbeelden noemen, zodat je ook weet hoe zoiets eruit ziet:

Post scams. Dit heb je zelf misschien eens meegemaakt. Ze kunnen er zo uitzien:

_{Bron: PostNL}

De phishing link staat onder “Klik hier”. Van deze soort gaan er allerlei over het internet.

WhatsApp scams:

_{Bron: PostNL}

Zo’n verzendlabel kun je hier helemaal niet kopen!

Smishing:

_{Bron: PostNL}

Bitvavo phishing mail:

_{Bron: Bitvavo}

Factuur scam:

_{Bron: Ipadleren.be}

Urgentie phishing:

_{Bron: Ipadleren.be}

Update pushing:

_{Bron: Ipadleren.be}

Je ziet vooral bepaalde dingen steeds terugkomen als je naar deze phishing scams kijkt. Het gaat om bedrijven die je kent. Je wordt meestal bang gemaakt dat je account wordt gesloten, je een hoge rekening krijgt of dat je iets moet “verifiëren”, zodat je gebruik kunt blijven maken van een service.

Ook zie je dat de oplichters zo goed mogelijk de interface van die bedrijven hebben nagemaakt, om het geheel een vleugje geloofwaardigheid te geven. In elk bericht komt een link voor, waarop je moet klikken volgens de scammers.

Hoe kom je van phishing af?

We zullen in het kort een aantal scenario’s met je doornemen en wat je ertegen kunt doen:

Spoofing. Stel iemand anders doet het voorkomen dat mensen gebeld worden met jouw telefoonnummer. Dit noemen ze spoofen, je fopt een ander en diegene denkt dat jij belt. Je kunt al je contacten bellen of een SMS sturen dat jouw telefoonnummer gebruikt wordt door een spoofer. Je kunt ook afspreken dat als je belt de ander jou terug belt, zodat zeker is dat ze met jou bellen. In het uiterste geval kun je een ander nummer nemen.
Als je gebeld wordt door een officieel klinkend opgenomen stuk tekst, proberen ze je allerlei gegevens te ontfutselen door een zogenaamde official, zoals een agent, je te laten ondervragen, zodat je gevoelige informatie mededeelt. Dit is te herkennen aan beschuldigingen van misdaden en dergelijke. Ben je slachtoffer, dan kun je met de fraudehelpdesk van de Rijksoverheid overleggen wat te doen.
Ben je slachtoffer van een datalek, dan kun je gaan kijken of jouw e-mailadres of accounts ook onderdeel waren van het lek op de site van Haveibeenpwned. Hier kun je weinig tegen doen, behalve sterke wachtwoorden gebruiken voor je belangrijkste accounts en 2FA aanzetten. Als een kopie van je ID bewijs openbaar is geworden, kun je contact opnemen met Centraal Meldpunt Identiteitsfraude.
Nep koeriers na verkoop op een handelswebsite kun je rapporteren bij de fraudehelpdesk en aangifte doen bij het handelsplatform.
Ben je gehackt, probeer dan eerst een virus- of malware-scanner te draaien. Kom je er dan nog niet van af, dan is het tijd voor drastische maatregelen. Een compleet nieuwe installatie is dan aan de orde, want een hacker kan vrijwel alles zien wat je doet. Je ontkoppelt de internetkabel en installeert een nieuwe Windows(versie). Nadat je de Windows Firewall hebt aangezet, steek je de internetkabel weer in de PC. Bij een mobiel zet je alles terug naar de fabrieksstand.
Ben je slachtoffer van helpdesk fraude, dan kun je de autoriteiten inlichten als je geld kwijt bent. Ook als je gevoelige gegevens hebt gedeeld, kun je maar beter “safe than sorry” zijn. Overigens word je vrijwel nooit gebeld door een helpdesk, jij moet hen bellen. “Don’t call us, we’ll call you” is dus verleden tijd!
Bankmedewerkers bellen jou nooit en dus moet je heel erg op je hoede zijn als ze dat toch lijken te doen. Als je erin bent getrapt en geld hebt overgemaakt of je logingegevens medegedeeld moet je snel actie ondernemen en je account laten blokkeren. Verder is het een goed idee om in dat geval de autoriteiten in te lichten.
Als je gegevens hebt ingevuld na het klikken op een link en je denkt dat het een phishing link was, zul je er over moeten nadenken hoe erg het was. Gaat het om je gaming account, dan kan het weinig kwaad. Gaat het om je Google of bank account, dan is dat een heel andere zaak. Is het ernstig, laat het de bank of Google weten, zodat je stappen kunt ondernemen om de schade te beperken of te voorkomen.
Ben je gebeld of gemaild in naam van een bedrijf dan kun je dit melden bij dat bedrijf.
Staat jouw probleem hier niet bij, dan kun je nog altijd je probleem melden bij de Fraudehelpdesk als particulier.

Voorkomen is beter dan genezen

Over het algemeen kun je stellen dat je beter kunt voorkomen dan genezen. Phishing is dus iets dat je moet proberen te voorkomen in plaats van genezen. Vaak zie je dat pogingen om te vissen vanzelf opdrogen als je nooit klikt en je de mails gewoon weggooit. Je wordt dan niet meer of minder vaak lastig gevallen. Zet altijd 2FA aan bij belangrijke accounts, als die mogelijkheid er is.

Iets wat je niet moet doen is proberen er vanaf te komen door te klikken op “unsubscribe”. Als je dat doet, weten de afzenders dat je de mails leest en heb je kans dat je e-mailadres doorgegeven wordt aan een batterij oplichters die samen aan phishing en spamming doet, waardoor je nog meer mails krijgt. Bovendien klik je dan op een link.

Phishing is een normaal onderdeel van internetten en mailen geworden. Je kunt weinig doen tegen het krijgen van phishing mails, behalve zo min mogelijk je gegevens achterlaten op verdachte of rare websites. Ze moeten je adres immers ergens vandaan halen.