Hoe je phishing herkent en er géén slachtoffer van wordt

De manieren waarop internetcriminelen aan je geld of inlogcodes proberen te komen, worden steeds meedogenlozer. Zo ook in het geval van phishing. Maar hoe doorzie je zo’n poging op tijd? En wat te doen als je er toch in gestonken bent?

Stel, je krijgt een appje van je bank; over internetcriminelen die corona aangrijpen om je geld afhandig te maken. De bijgevoegde link moet je ‘even’ aanklikken om een nieuwe betaalpas en pincode aan te vragen. Of een mailtje waarin iemand stelt bepaalde webcambeelden van jou te hebben. En alleen door met een flink geldbedrag over de brug te komen, kun je voorkomen dat ze openbaar worden gemaakt… Phishing; het is een hardnekkige en slinkse vorm van internetcriminaliteit, die vaak wel, maar niet altijd gelijk door de ontvanger wordt herkend. Hoe doorzie je een poging op tijd? En wat doe je als je onverhoopt toch slachtoffer van phishing geworden bent?

Wij vroegen een panel van 500 mensen te reageren op 5 stellingen over phishing. Dus over het herkennen van een phishingpoging, het voorkomen dat je erin trapt en de manier van handelen als dat onverhoopt toch gebeurt. We delen de uitkomsten ervan en vroegen Erwin Laros, security officer van Achmea, om zijn tips en advies.

Stelling 1: Ik heb het meteen door als ik met phishing te maken heb 

Ja: 55% 
Nee: 9% 
Ik twijfel vaak: 37%

Meer dan de helft van de respondenten denkt een phishingpoging meteen te doorzien. Want een slecht gekopieerd logo, een tekst vol vertaalfouten en overduidelijke pogingen om je op een link te laten klikken… daar trap je niet in, toch?

Laros noemt het een vorm van ‘schromelijke zelfoverschatting’. Want het zijn al lang niet meer die mailtjes van een prins uit een Afrikaans land die hulp nodig heeft om bij zijn trust fund te komen. “Cybercrime is tegenwoordig een heuse bedrijfstak, waarbinnen de criminelen gespecialiseerd zijn in het namaken van websites, mailtjes, enzovoorts. Je kunt die diensten zelfs inkopen via online marktplaatsen, waarbij criminelen elkaar zelfs ratings geven. Ik zie dan ook een hoop geraffineerde dingen voorbijkomen”, zo stelt de expert. Dat een doorsnee Nederlander een vorm van phishing dus eenvoudig doorziet, daar heeft hij zijn vraagtekens bij. “Mijn kansen als security officer zullen iets beter zijn dan die van de gemiddelde Nederlander. Maar zelfs mij zou het kunnen overkomen…”, zo waarschuwt hij.

Erwin zette ooit een campagne op om medewerkers van een organisatie op de gevaren van phishing te wijzen. Op 14 februari, na afloop van de campagne, verzond hij bij wijze van test een nep-Valentijnskaart naar de betreffende organisatie. En die uitkomst… sprak boekdelen. “Ik kan je vertellen dat erg veel mensen op de link klikten. Het is blijkbaar moeilijk te weerstaan, ook al ben je op de hoogte van de gevaren ervan. Ik voelde me een tikkeltje schuldig, want ik maakte misbruik van de zwakke plek van mensen. Maar dat doen échte criminelen ook. En dan zónder gewetensbezwaar en met alle gevolgen van dien.”

Stelling 2: Ik heb preventieve maatregelen getroffen om de kans op phishing te verkleinen

Ja, met internetbeveiligingssoftware: 42% 
Ja, met aparte spamfilters in mailbox: 33% 
Nee, nog niet gedaan: 39% 
Anders: 2%

Een meerderheid van de respondenten maakt dus gebruik van 1 of meer preventieve maatregelen. Sommigen zeggen vooral hun gezond verstand te gebruiken, of ‘eerst na te denken’ en ‘niet domweg actie te ondernemen’. Anderen zeggen ‘niets belangrijks op hun telefoon’ te hebben staan. Toch heeft een deel van de mensen geen maatregelen getroffen. Hoe kan dat?

“Er heerst toch nog vaak het gevoel van ‘dat overkomt mij niet”, zegt Laros. “En het idee dat je nog wel een keer iets gaat doen aan dat wachtwoord dat je óveral voor gebruikt. En dat je die beveiligingsupdate op je computer ook morgen nog wel kunt installeren…” Al biedt het nooit 100% zekerheid, volgens Laros zijn er wel een paar stappen die je kunt doorlopen om de kansen op de nare gevolgen van phishing te verkleinen.

Tip van Erwin: “Ik gebruik zelf bijvoorbeeld de spamfilter van mijn provider. En grote providers bieden vaak pakketten aan waarmee verdachte websites als zodanig worden aangemerkt. Die pakketten zijn vaak onderdeel van een abonnement en kosten dus niets extra’s. Je moet het alleen even weten. En virusscanners slaan aan als je een verdacht bestand wilt openen; ook goed om te hebben dus.”

Daarbij blijft het zaak om alert te zijn op verdachte berichten. Zo is de factor urgentie in een bericht meestal een grote rode vlag. “Als je kort de tijd krijgt om van een bepaald voordeel te profiteren bijvoorbeeld. Of als je een sms van de Belastingdienst krijgt waarin staat dat je heel snel een bepaalde actie moet ondernemen. Meestal is er dan sprake van een oplichtingstruc."

Phishing herkennen

Stelling 3: Als ik vermoed dat ik met een phishingmail te maken heb, dan let ik op...

Het mailadres van de afzender: 81% 
Letten op slechte vertaling en spellingsfouten: 67% 
Inloggen op echte website om te kijken of er iets is: 30% 
Met muis over link om te kijken zonder te klikken: 24% 
Mail sturen naar de bank/website/anders: 18% 
De link kopiëren en plakken in plaats van erop klikken: 8%

Er is van alles mogelijk. Maar Laros houdt zichzelf altijd aan een paar stelregels, zo reageert hij. “Ik klik in principe niet op links in e-mails, maar ga rechtstreeks naar de betreffende website. Ook open ik zéker geen bijlagen in mails waarvan ik de herkomst niet ken. En ik probeer het nieuws bij te houden over praktijken die op dat moment plaatsvinden. Mensen die niet binnen dit vakgebied werken, raad ik aan om programma’s als Opgelicht te kijken. Daar worden allerlei oplichtingstrucs behandeld. Ook phishing.”

Praktische tips bij verdachte mails

Vertrouw je het niet? Het bedrijf, het telefoonnummer, het e-mailadres of wat dan ook? Google bij twijfel even, zo adviseert de security officer. “Een phishingmail is op zichzelf niet gevaarlijk; het gaat erom wat jij ermee doet.”

Je kunt ook eenvoudig zelf controleren of het ogenschijnlijke verzendadres wel de échte mailafzender is. Google zette de manier waarop voor je uiteen; volg deze link en houd het onderdeel ‘SPF’ in de gaten. Markeer een phishingmailtje ook altijd als spam, zodat het de volgende keer minder snel door de filters heen zal dringen. En dat opbellen van het bedrijf in kwestie, ook daarvoor heeft Laros een tip: “Het is een goed idee, maar zoek dan zélf het nummer van de officiële instantie op. Gebruik nooit het nummer dat in het bericht staat!”

Stelling 4: Ik ben in tijden van corona extra alert op phishingpogingen

Ja: 49%
Nee: 51%

Extra alert in tijden van corona; 49% van de respondenten zegt het te zijn. Iets wat volgens Laros wel een goede zaak is. “Criminelen kennen immers geen gewetensbezwaar”, zo laat hij weten. “Ze kiezen iets wat actueel is of waar aandacht voor is; daar klikken mensen op.”

Zo was er recent nog een Covid 19-tracker app in de lucht, die schadelijke software op je apparaat installeerde. En ook het thuiswerken is een dingetje, zo stelt hij. “Want de kans bestaat dat iedereen nu overhaast zaken gaat installeren, waarbij onvoldoende naar de beveiligingsaspecten is gekeken…”

Stelling 5: Ik weet welke acties ik moet ondernemen als ik slachtoffer van phishing word

Nee, geen flauw idee eigenlijk: 60% 
Ja, dat weet ik: 38% 
Anders: 2% 

Phishing kan een hoop leed veroorzaken. Want voor je het weet zijn criminelen er met je persoonlijke gegevens vandoor of is je geld afhandig gemaakt. Maar wat je moet doen als je slachtoffer van phishing geworden bent? Voor de mensen die geen idee hebben maakte Erwin een rijtje actiepunten. 

  • Verander als het nog mogelijk is diréct je wachtwoord.
  • Neem zo snel mogelijk contact op met de organisatie waarvan het bericht leek te komen; je bank, verzekeraar of anders.
  • Mocht je de combinatie van je wachtwoord en gebruikersnaam vaker gebruikt hebben, verander die combinatie dan overal en gebruik iets unieks. We geven handige tips over veilige wachtwoorden.  

     

Phishing op tijd herkennen en juist handelen

Nog even alles op een rij! Wil jij jezelf wapenen tegen phishing en de gevolgen ervan? Doe dan het volgende:
  • Zorg voor sterke, unieke wachtwoorden voor al je accounts en installeer veiligheidsupdates zo snel mogelijk.
  • Gebruik een spamfilter en een virusscanner.
  • Klik in principe nooit op links in e-mails, maar ga rechtstreeks naar de website van het bedrijf.
  • Open nóóit bijlagen van mails waarvan je de afzender niet kent.
  • Herken ‘urgentie’ als een rode vlag; wees extra voorzichtig als een snel naderende deadline wordt genoemd.
  • Installeer voor je thuiswerk niet zomaar allerlei programma’s op je desktop, maar verifieer of het om betrouwbare bestanden/software/aanbieders gaat.
  • Onderneem metéén actie wanneer je slachtoffer van phishing bent geworden. Iedere seconde telt!
  • Onderschat cybercriminelen niet. Want iedereen kan slachtoffer worden, de daders zijn meedogenloos.