Hoe weet je of de mail van je bank niet van cybercriminelen komt? Met deze tips van cybercrime expert Wouter Parent trap jij niet in de val.
Phishing mails vaak niet van echt te onderscheiden
De tijd dat een phishingmail gekenmerkt werd door gebrekkig Nederlands of Engels is voorbij. Waar je vroeger een mail nog kon herkennen aan spelfouten en slechte grammatica, is een phishingmail tegenwoordig bijna niet meer van echt te onderscheiden. "Het zijn nu serieuze jongens, ze investeren veel tijd en geld in het maken van deze malafide mails", aldus Wouter.
Wat is phishing?
Er zijn grofweg twee soorten phishing:
De eerste vorm is het schieten met hagel waarbij dezelfde mail naar een grote groep met mensen wordt gestuurd. "Denk bij voorbeeld aan een bericht dat zogenaamd van de ABN AMRO komt, maar ook gestuurd wordt naar mensen die helemaal geen rekening bij die bank hebben. Ze mikken er dan op dat in elk geval een deel van de ontvangers er toch in zal trappen", vertelt Wouter.
De tweede vorm is het zogenaamde spear fishing. Hierbij wordt een mail gestuurd naar mensen waarvoor het aannemelijk is dat ze een mail van die partij ontvangen. Dit was ook het geval bij het schandaal van Google Docs, waarbij specifiek de mensen die daar al een account hadden een phishingmail ontvingen. "Bij spearfishing wordt aan alles gedacht, de logo's kloppen, de opmaak is bijna niet van echt te onderscheiden, de juiste gebruikers worden benaderd en het emailadres ziet er betrouwbaar uit." Dat laatste wordt ook wel spoofing genoemd, hierbij wordt het e-mailadres van de ontvanger vervalst.
Hoe herken je phishing?
Er zijn verschillende manieren om phishingmail te herkennen. Gebruik allereerst de 10-secondenregel. Voordat je op een link in de mail klikt, neem je tien seconden om na te denken of de mail wel echt is.
De vorm waarbij met hagel wordt geschoten is het makkelijkst te ontmaskeren. "Bedenk voor jezelf of het logisch is dat deze partij je een mail stuurt waarin ze vragen om persoonlijke gegevens."
Bij spearfishing is het iets ingewikkelder. "Als je een mail ontvangt met links waar je op zou moeten klikken, plaats dan eerst je muis over de link, zonder te klikken. Vrijwel direct verschijnt het adres waar de link daadwerkelijk naartoe leidt. Is dit niet wat je verwacht? Klik er dan vooral niet op", vertelt Wouter.
Gerichte, persoonlijke aanvallen met spear phishing
Bij spear phishing (targeted attacks) is het iets ingewikkelder. In dit geval hebben cybercriminelen al bepaalde gegevens van je die openbaar zijn of zijn buitgemaakt bij een datalek. Denk aan je volledige naam, adres, functie, e-mailadres en bij welke bank je zit. Met deze gegevens wordt een geloofwaardige, gerichte phishing mail verstuurd die lastig van echt is te onderscheiden. Hoe kun je deze dan toch eruit pikken? "Als je een mail ontvangt met links waar je op zou moeten klikken, plaats dan eerst je muis op de link zonder te klikken. Vrijwel direct verschijnt het adres waar de link daadwerkelijk naartoe leidt. Is dit niet wat je verwacht? Klik er dan vooral niet op", vertelt Wouter.
Gebruik je gezond verstand
Verder, zelfs als de mail jouw naam of bijvoorbeeld functie bevat: vraag jezelf af of het verzoek normaal is binnen jullie communicatie. Een bank zal namelijk nooit via de mail vragen om een urgente handeling. En als bijvoorbeeld je manager een urgent verzoek doet om je inloggegevens te wijzigen, check dit dan even met de betreffende persoon. Via de chat of een ander intern kanaal, bijvoorbeeld Teams.
Voorbeeld phishing mail
Hieronder zie je een voorbeeld van een phishing mail? Herken jij de verdachte elementen?
Onderwerp: Belangrijk: uw account wordt binnen 24 uur geblokkeerd!
Afzender: klantenservice@xxx0bank-beveiliging.com
Beste klant,
Tijdens een recente veiligheidscontrole hebben wij verdachte activiteiten op uw rekening ontdekt. Om misbruik te voorkomen, moet u uw gegevens direct verifiëren via onderstaande link.
Klik hier om uw account te verifiëren: www.xxxbank-beveiliging.com/login
Indien u dit niet binnen 24 uur doet, zijn wij helaas genoodzaakt uw rekening tijdelijk te blokkeren.
Met vriendelijke groet, xxxbank Beveiligingsteam
Phishing mail herkennen
Wat klopt er niet in bovenstaand voorbeeld? Let op de urgentie (“binnen 24 uur”), de dreiging (rekening blokkeren), en de nep-link die lijkt op de echte xxx0bank-website maar subtiel afwijkt; cijfer in domeinnaam. Kan heel subtiel zijn, bijvoorbeeld een 0 in plaats van een O).
Kijk ook uit voor sms phishing
Cybercriminelen gooien alles in de strijd en zullen je ook via SMS benaderen als je mobiele nummer bekend is. SMS-phishing, of ‘smishing’, is hetzelfde idee als e-mail phishing, maar dan via SMS of andere berichtenapps (WhatsApp, Telegram, Signal etc.). Let ook hier weer op onverwachte urgentie en URL’s en domeinnamen die niet bij het echte bedrijf horen. Een veelgebruikte tactiek is SMS-phishing waarbij je een bericht ontvangt dat je pakket niet kon worden afgeleverd en je bepaalde actie moet ondernemen om het alsnog te ontvangen. Een sluwe truc, want de meeste mensen bestellen regelmatig online producten. De kans is dus altijd aanwezig dat je daadwerkelijk op een pakket wacht en niet thuis was.
Voorbeeld sms phishing
“PostNL: Uw pakket (ID 4821) kon niet worden afgeleverd. Registreer binnen 2 uur op http://postnl-track[.]info om levering te plannen.”
Ik heb geklikt op een link, wat nu?
"Heb je toch op een malafide link geklikt? Dan is er nog steeds niets aan de hand. Klik de pagina gewoon weg. Bij phishing worden namelijk alleen gegevens gestolen die je zelf invult omdat je denkt dat je communiceert met een veilige partij." Dat is anders bij bijvoorbeeld ransom mail waarbij het openen van een link naar een ongewenste download of een foute bijlage in de mail al kan leiden tot een gijeizeling van je gegevens.
"Heb je een phishing mail ontdekt? Meld het dan bij de instantie waar de mail zogenaamd vandaan komt en licht de fraudehelpdesk in. Zo kan ook jij je steentje bijdragen."
Check ook de website www.veiliginternetten.nl voor tips om je lokale en mobiele bedrijfsnetwerken te beschermen.
