Phishing

Phishing: oppassen. Nederland wordt veel aangevallen

cybertshirt
Phishing via een besmette email, advertentie op Facebook  is populair bij cybercriminelen. Gebruikers worden via phishing met malware  (kwaadaardige software) geïnfecteerd. Ook worden persoonlijke gegevens gestolen omdat nietsvermoedende gebruikers ze afgeven. In Nederland hebben we vaak te maken met phishing-aanvallen; we staan helaas al jaren in de top 5 op de wereldranglijst…

1. Phishing advertenties op Facebook

Wist je dat er ook op Facebook advertenties staan, die phishing betreffen?
‘Haal uw gratis cadeaubon voor McDonald’s ter waarde van tweehonderd euro’. Trap er niet in. Dit is waarschijnlijk phishing.

Hoe herken je phishing op social media?

Controleer het adres (de url) van de website, net zoals je dat controleert bij een link in phishing mails. Je ziet dan dat de ‘aanbieding’ niet op Facebook zelf staat, maar een andere internetpagina. Cybercriminelen hebben dan een pagina aangemaakt die lijkt op een Facebook pagina. Deze url vind je onderaan de Facebookpost en is in het geval van McDonald’s bijvoorbeeld ‘rewardgiftnl.info’. Dit klopt dus niet!

Net echt

Vaak zijn er reacties onder de phishing Facebookpost geplaatst, zodat het net een echte pagina lijkt. Zo schrijft Jammie Bakker: ‘Zo enthousiast hierover!! Ik heb net mijn McDonald’s-geschenkbon van jullie ontvangen!’ Als je deze naam op zoekt, blijkt die Facebookgebruiker helemaal niet te bestaan.

Vind ik leuk

Wanneer je vervolgens op ‘Vind ik leuk’ klikt, wordt er om je naam, adres, e-mail en telefoonnummer gevraagd. Nadat je het contactformulier hebt ingevuld krijg je nog meer aantrekkelijke ‘koopjes’ te zien. Als je eenmaal je contactinformatie achter hebt gelaten, sta je op een lijst die door de criminelen wordt gebruikt om je spam-mails of marketing-telefoontjes te bieden.

Heb je per ongeluk jouw contactinformatie gegeven?

Als je ook je wachtwoord voor Facebook hebt gegeven, dan moet je natuurlijk onmiddellijk je wachtwoord veranderen en je computer scannen op kwaadaardige software, die mogelijk ook nog eens geïnstalleerd is. Lees hier wat Facebook aanraadt.
In het voorbeeld van de aanbieding van McDonald’s wordt er niet om creditcardgegevens of rekeningnummer gevraagd, maar om je adres, e-mailadres en telefoonnummer. Als je deze gegevens eenmaal hebt gegeven, staan deze in een database. Dat krijg je niet meer gecorrigeerd. Pas vervolgens op met verdachte mails en telefoontjes, is dan het devies.

2. Linked-in uitnodiging per email maakt slachtoffers

Een uitnodiging voor LinkedIn die je per email ontvangt, kan een phishing email zijn, die je naar een nagemaakte website stuurt. Klik dus niet zonder meer op een link of een LinkedIn uitnodiging, die per email binnenkomt, maar ga naar je LinkedIn account zelf en accepteer daar de uitnodigingen. Dan weet je zeker dat je niet een phishing link aanklikt. Deze tip geldt voor alle email berichten; klik niet op een link of bijlage maar ga bij voorkeur naar de achterliggende site of service om daar te verifiëren en aan te klikken.

3. Phishing herkennen en onze beschermingstips

  • De belangrijkste regel: klik niet zomaar op een link of bijlage in een email. Laat je blind vertrouwen in links en bijlagen achter je. Denk bij iedere link of bijlage even na of het een val kan zijn.
  • Zelfs een email met link of bijlage van een schijnbaar bekende kan verdacht zijn, immers er is gemakkelijk op internet informatie te vinden over jou (en je werk) waarmee een mailbericht betrouwbaar gemaakt kan worden.
  • Check de aanhef. In vrijwel alle phishingmails wordt de geadresseerde aangesproken met “Beste meneer” of “Beste mevrouw” en eigenlijk nooit met uw achternaam. De reden hiervoor is dat de internetcriminelen wel uw e-mailadres hebben maar meestal geen andere gegevens. Een onpersoonlijke aanhef van een partij die wel om allerlei persoonlijke gegevens vraagt, is bij voorbaat al verdacht.
  • Controleer meerdere links. In een nepmail word je altijd om naar een bepaalde website op internet te gaan om gegevens in te vullen. Door met je muis over die link te gaan (dus niet klikken), wordt in veel gevallen het achterliggende webadres getoond. Bij nepmails is dit vrijwel altijd een adres dat niet overeenkomst met de echte url van de website van de partij waarvoor ze zich uitgeven. Soms is het verschil maar een paar letters en niet zelden staan er onderaan ook juiste url’s, dus controleer meerdere links!
  • Gebruik je gezonde verstand. Financiële instellingen, verzekeringen en overheidsinstellingen zullen je nooit in een e-mail vragen om je persoonsgegevens via een website te controleren of bij te werken. Laat je ook niet bang maken door berichten met dreigende taal, bijvoorbeeld in een mail waarin gesproken wordt over in beslagname als u een bepaalde factuur niet betaald. Haal even diep adem en gebruik uw gezonde verstand. Twijfel je? Zoek dan via internet de contactgegevens op van de partij waarvan u deze mail zogenaamd heeft gekregen, controleer eventuele rekeningnummers en neem desnoods telefonisch contact op.
  • Kijk naar de bijlagen. Niet zelden zijn nepmails voorzien van een bestand in de bijlage en wordt er gevraagd om deze te openen. Heeft dit bestand de extensie zip, .exe, .js, .lnk, .wsf, .scr, .jar dan weet u eigenlijk al dat het foute boel is. En ook een .doc of .docx van een onbekende partij moet u nooit openen omdat er macro’s in kunnen zitten die malware kunnen bevatten.
  • Verifieer het bericht. Internetcriminelen gokken erop dat wanneer ze een grote hoeveelheid nepmails uitsturen er een klein percentage is dat erin tuint. Je bent dan ook zeker niet de eerste die zo’n bericht ontvangt. Op Fraudehelpdesk is een lijst te vinden met actuele phishingberichten. Komt de onderwerp regel van het mailtje dat jij ontvangen hebt overeen met één van de berichten op deze site, dan weet je dat dit bericht kunt negeren.
  • Een phishing mail simuleert vaak urgentie, om je aan te sporen gelijk te klikken en te handelen zonder goed te kijken naar de mail. Let dus op bij een dringend bericht (‘je account loopt gevaar, je hebt een boete, je hebt een prijs gewonnen, je betaling is niet in orde en je dreigt te worden afgesloten, er is iets mis met je computer of account en je moet  klikken’)
  • Maar wat nu met die rare afgekorte bit.ly links (Tiny URL)? Je kan tenslotte dan niet zien waar je heen wordt geleid. De eerste handige analyse doe je als volgt: Check waar een verkorte (bit.ly)-link naartoe verwijst door een ‘+’ toe te voegen achter de link in de adresbalk. Bijvoorbeeld: de verkorte link is http://bit.ly/PqA . In de adresbalk vul je in: http://bit.ly/PqA+ . Zo zie je een preview van de site zonder op de link te hebben geklikt (en dus ook zonder hem te activeren).
  • Een alternatief voor het vinden van bit.ly adressen : gebruik in dit geval de zoekmachine DuckDuckGo.com. Deze is niet alleen uitstekend in het beschermen van je privacy, maar DuckDuckGo kan je ook vertellen waar die Tiny URL heen gaat. Kopieer de Tiny URL in de zoekbalk en druk de zoek-knop. Je krijgt dan de echte URL te zien en kan dan besluiten die te volgen.
  • Ben je actief op Marktplaats of andere advertentie-sites? Pas dan ook op voor cybercriminelen die je vragen om een ‘klein bedrag’ over te maken om zogenaamd betaalgegevens uit te wisselen. De internetcriminelen sturen je een link waar je de betaling kan doen en misbruiken dan je gegevens: in werkelijkheid kan het gaan om een phishingsite en wordt een veel grotere transactie uitgevoerd.

4. Phishing via je telefoon, tips

Dat cybercriminelen gegevens van je internetbankieren proberen buit te maken via phishingmails wist je al. ING waarschuwt nu voor andere manieren waarop kwaadwillenden toegang proberen te krijgen tot je account.

  • Ben je actief op marktplaatsen of advertentie-sites? Pas dan ook op voor cybercriminelen die je vragen om een ‘klein bedrag’ over te maken om ”betaalgegevens uit te wisselen”. De internetcriminelen sturen je een link waar je de betaling kan doen. In werkelijkheid gaat het om een phishingsite en wordt een veel grotere transactie uitgevoerd.
  • ING-app installeren? Check of het om de officiële toepassing gaat!
  • Vul je gebruikersnaam en wachtwoord alleen in op de Mijn ING-pagina waar je zelf naartoe bent gegaan; klik nooit op een link in e-mail of sms om op deze pagina te komen
  • Wil je (ver)kopen via internet? Een IBAN is voldoende; haak af als je meer gegevens moet overleggen of als je een link toegestuurd krijgt!
  • Stuur nooit een foto van je bankpas (of paspoort, of rekenafschrift)

5. Phishing, video: wat is het en wat doe je er aan?

Kijk nu hier meer cyber security video’s

5. Bank Phishing rapporteren

fraude helpdeskStuur een valse email die je niet vertrouwt door naar de Fraudehelpdesk: valse-email@fraudehelpdesk.nl. De berichten worden dan doorgestuurd naar de juiste instantie. De Fraudehelpdesk beantwoordt graag vragen: Fraudehelpdesk onderwerpen. Ook bellen is mogelijk: 088 – 7867372 (lokaal tarief).

Rapporteer hier phishing en valse emails die zich als je bank voordoen rapporteren.

  • ABN AMRO Bank: valse-email@nl.abnamro.com
  • ING Bank: valse-email@ing.nl
  • Rabobank: valse-email@rabobank.nl
  • SNS Bank: valse-email@sns.nl
  • ICS- / ABN AMRO creditcards: valse-email@icscards.nl

6. Ben je ingegaan op een phishingtelefoontje?

Volg onderstaande stappen.

  • Check of er geld van je rekening is geschreven. Is dat het geval, neem dan contact op met de bank om de afschrijving te storneren.
  • Lukt dit niet? Doe dan aangifte bij de politie
  • Vraag aan je telefoonprovider om het nummer te achterhalen, de provider kan de bellers waarschuwen
  • Maak melding bij spamklacht.nl van de Autoriteit Consument & Markt (ACM).

Bekijk deze tips in de volgende video:


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

een × drie =

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.