Cybercriminelen zijn actief op jacht naar informatie zoals namen, telefoonnummers en e-mailadressen. Maar wat is eigenlijk het gevaar en hoe herken je phishing?
Het zal je vast bekend voorkomen. Je controleert je e-mail of social media en ziet een bericht in de trend van “Vul je gegevens in en win een supermarkt cadeaukaart € 500,-“, “Pietje is benieuwd hoe goed jij hem kent. Doe deze quiz!” of “38 Vrienden maken al gebruik van deze GRATIS verjaardagskalender.”. Dit zijn zomaar 3 herkenbare, relatief onschuldige voorbeelden die al tijden op internet rond gaan. Veel mensen vullen hun naam en e-mailadres in, in de hoop dat zij die € 500,- cadeaukaart winnen en natuurlijk zijn we ook heel benieuwd hoe goed we Pietje kennen en een verjaardagskalender? Ook die willen we hebben!
Gouden business
Wat mensen zich vaak niet beseffen is dat al deze informatie geld waard is voor cybercriminelen. Namen, adressen, telefoonnummers en e-mailadressen worden op grote schaal onder cybercriminelen verhandeld en uitgewisseld. Ook wordt deze informatie verkocht aan marketingpartijen die jouw informatie op hun beurt weer gebruiken om je doelgerichte reclame te tonen. Wanneer deze marketingpartijen alle informatie aan elkaar geknoopt hebben ontstaat een situatie waar zwangere vrouwen meer reclames over babykleertjes zullen zien, amateurvoetballers meer reclames over sportartikelen en ouders van kinderen meer reclames over speelgoed rond de verjaardagen.
Zoals gezegd zijn dit de relatief onschuldige varianten van phishing. Er is namelijk niet direct een slachtoffer en er wordt ook niet echt aantoonbare schade geleden, ondanks dat die cadeaubon van € 500,- helemaal nooit uitgereikt werd. Dezelfde informatie kan echter ook voor minder onschuldige zaken gebruikt worden.
Een aantal veelvoorkomende voorbeelden:
Je ontvangt een bericht dat je pinpas gaat verlopen. Wanneer je eenmaal de links in de berichten volgt kom je op een pagina die qua stijl op die van je bank lijkt en zal gevraagd worden om de pas gegevens en pincode van je pas te controleren en in te vullen. Wanneer je eenmaal alle informatie hebt ingevuld en verzoeken ze je jouw pinpas op te sturen naar een adres dat bij hen in beheer is. Wanneer de pas eenmaal in bezit is bij de criminelen, is het vrij eenvoudig om opnamelimieten op te hogen en de bankrekening en bijbehorende spaarrekeningen te plunderen.De schade blijft hierbij beperkt tot het bedrag dat je op je rekeningen hebt staan.
Je biedt iets te koop aan op Marktplaats. Al snel meld zich een koper die geïnteresseerd is in jouw artikel. Een paar berichten later spreken jullie een prijs af. Om vertrouwen te wekken stuurt de koper een kopie van zijn legitimatie en vraagt jou hetzelfde te doen. Want ja, kopen/verkopen op internet kan een beetje schimmig zijn en op deze manier weten jullie beide met wie jullie te maken hebben. Niet veel later geeft de koper aan dat hij het bedrag graag zou willen betalen via de bank en vraagt of je 1 Eurocent kunt overmaken naar zijn bankrekening ter bevestiging. Dit kan soms ook via iDeal of Tikkie zijn. Wanneer je dit eenmaal gedaan hebt houdt de koper je aan het lijntje en wordt het bedrag uiteindelijk nooit op je rekening bijgeschreven. Met jouw legitimatie heeft de cybercrimineel een nieuwe bankrekening kunnen openen op jouw naam. Vervolgens wordt vaak een lening aangevraagd. De betaling van 1 Eurocent was ook niet aan de cybercrimineel, maar was een bevestiging dat je de eigenaar bent van de opgegeven betaalrekening. Met de nieuw aangemaakte bankrekening en jouw legitimatie worden vaak ook nog mobiele telefoonabonnementen met dure telefoons op afbetaling besteld. De telefoons worden vaak door een katvanger in een winkel afgehaald of opgestuurd naar een adres waar de cybercriminelen toegang tot hebben. Telefoonproviders proberen alle kosten voor de abonnementen en telefoons te verhalen, de bank probeert de maandtermijnen voor de afgesloten lening(en) te incasseren en ook eventuele andere leveranciers die zaken op rekening hebben geleverd proberen te incasseren. Natuurlijk is de nieuwe rekening leeg en zal alles richting een deurwaarder worden gestuurd. De financiële schade kan hierbij oplopen tot vele tienduizenden Euro’s. Daarnaast is er vaak ook sprake van enorme emotionele schade. Jouw legitimatie zal namelijk weer gebruikt worden door de cybercriminelen om bij andere mensen vertrouwen te wekken, die achteraf proberen om hun schade op jou te verhalen.
Je ontvangt een bericht van je werkgever. Hij vraagt je of je een bedrag wilt overmaken. Zakelijk is dit veelal gericht aan iemand die op de financiële afdeling werkt en kan dit een flink bedrag zijn dat bedoeld zou zijn als betaling voor een openstaande factuur. Privé kan dit gaan om enkele tientallen tot enkele honderden Euro’s omdat je werkgever bijvoorbeeld zijn portemonnee vergeten is en even snel geld moet betalen aan iemand. Maar geen paniek, je krijgt het snel weer terug. Hier nu aangekomen snap je inmiddels dat dit geld niet terugkomt en dat je werkgever ook niet écht je werkgever is. Het is een klassiek voorbeeld van CEO fraude, waarbij cybercriminelen zich voordoen als een CEO en op die wijze vertrouwen proberen te wekken door de naam van de afzender in een e-mailbericht aan te passen.Afhankelijk van de vertrouwensrelatie tussen de verzender en ontvanger en het type bedrijf, kan de schade hier in de miljoenen lopen. Ook kan het zijn dat deze vorm van fraude maanden lang structureel blijft doorlopen.
De tips:
Er is niet 1 unieke manier om jezelf te beschermen tegen phishing. Wanneer je echter bekend bent met de volgende regels, zal de kans dat je slachtoffer wordt van phishing een stuk kleiner worden.
1 Banken of financiële instellingen zullen NOOIT om je pincode vragen. Ook zullen ze NOOIT inhoudelijk communiceren via e-mail. Als er al gemaild wordt, zal dit enkel zijn om je te attenderen op een nieuw bericht in de beveiligde omgeving van de bank.
2 Nieuwe pinpassen worden automatisch verzonden naar je huis/zakelijke adres en houden dezelfde pincode, of komen gepaard met een nieuwe pincode.
3 Stuur NOOIT een pinpas op. Banken zullen altijd vragen deze te vernietigen.
4 Stuur NOOIT een kopie van je legitimatie naar iemand via e-mail of WhatsApp. Vraag je zelf bij een instantie een product of dienst aan waarvoor legitimatie vereist is, controleer dan welke informatie zij nodig hebben. Vaak is een documentnummer al voldoende. Kijk voor meer informatie op de website van de Rijksoverheid.
5 Vraagt een koper op Marktplaats je om een paar cent over te maken? Meld dit direct bij de klantenservice van Marktplaats.
6 Vraagt een ‘bekende’ je om geld over te maken? Controleer dan als eerste de identiteit. Kijk bijvoorbeeld of het e-mailadres wel 100% klopt. Daarnaast is het ook aan te raden om telefonisch contact op te nemen om dit direct bij deze persoon te verifiëren.
7 Klik niet op links in e-mailberichten, maar ga in plaats daarvan zelf naar de website van de instantie waar je een bericht van lijkt te ontvangen.