“This is the ministry of justice...” Misschien heb je ook al een keer zo’n telefoontje ontvangen waarbij er werd gezegd dat je BSN nummer is misbruikt, of dat er een arrestatiebevel tegen je loopt. Het is een van de nieuwe varianten van phishing, waarbij criminelen proberen om je persoonlijke gegevens te bemachtigen. Maar wat is phishing precies? Welke risico’s loop je en wat kun je ertegen doen?
Phishing: wat is het en hoe werkt het?
Phishing is de Engelse term voor het ‘vissen’ naar persoonlijke, vertrouwelijke informatie. Het is afgeleid van fishing, waarbij je een lijntje met aas en een haak uitgooit en rustig wacht tot je beet hebt. De digitale manier van vissen naar privé gegevens gaat ongeveer op dezelfde manier. Internetcriminelen gooien digitaal ‘aas’ uit en wachten totdat nietsvermoedende personen toehappen. Het doel is om gegevens te achterhalen voor criminele activiteiten: diefstal van jouw geld, of het misbruiken van je persoonsgegevens (aankopen doen op jouw naam, of het afsluiten van leningen).
Phishing is dus een criminele activiteit.
Hoe werkt het precies?
Internetcriminelen proberen op verschillende manieren aan je gegevens te komen. Soms wordt je gebeld. Dan krijg je weer een mailtje of een WhatsApp bericht. En er worden regelmatig nieuwe manieren bedacht. Maar het doel is altijd hetzelfde: proberen om jou en mij te laten klikken op een link, wat bank- of betalingsgegevens te laten invoeren of een bijlage te laten openen. En het ziet er allemaal steeds geloofwaardiger uit.
Zo zijn we hier thuis (onder andere) klant bij de ING. Een paar maanden geleden werd ik ineens gebeld door de bank. Zij hadden verdachte inlogpogingen gezien en we konden ons geld beter naar een ‘kluisrekening’ overzetten. Het aardige was dat ik het nummer van de ING gewoon in mijn adresboek heb staan en zij inderdaad via dat nummer belden. Nu had ik al eens gelezen dat kluisrekeningen helemaal niet bestaan. Maar het lijkt heel knap dat criminelen in staat zijn om net te doen alsof zij via het officiële nummer van een bank bellen. Deze methode heet overigens spoofing en schijnt zelfs vrij eenvoudig te zijn.
Wat kun je ertegen doen?
De phishing berichten zien er steeds geloofwaardiger uit. Terwijl we in het verleden meestal anonieme mailtjes ontvingen, hebben criminelen steeds vaker al wat persoonlijke gegevens van ons. Die gegevens zijn te koop en vaak afkomstig van een hacker of via een data-lek. We lopen dus kans om een persoonlijk mailtje van onze bank te krijgen, met daarin het verzoek om informatie of de vraag om op een link te klikken. Toch zijn er wel manieren om te controleren of het bericht écht van de bank is, of dat je te maken hebt met phishing.
Phishing mails hebben vaak dezelfde kenmerken. Ze zijn vaak (maar dus niet altijd!) onpersoonlijk en het e-mailadres van de afzender is nét iets anders geschreven. Verder wordt er praktisch altijd gevraagd om informatie of wordt je gevraagd om op een link te klikken, of een bijlage te openen. De mails bevatten vaak taal- of stijlfouten. En er is altijd sprake van spoed. Je moet snel reageren. Daarmee zetten de daders je onder druk en proberen je een fout te laten maken.
De remedie is simpel. Wanneer je het niet vertrouwt, bel dan naar de instantie die je mailt. Dat is de kortste en gemakkelijkste manier om te weten te komen of het bericht juist is. Mailen kan ook. Beantwoord dan niet de verstuurde mail, maar zoek online even naar het juiste mailadres.
Phishing via social media
Een relatief nieuwe manier van phishing is die via social media. Misschien heb je in het nieuws ook weleens de berichten gelezen van geplunderde bankrekeningen via WhatsApp. De slachtoffers krijgen dan een appje van een onbekend nummer met het bericht dat dit het nieuwe nummer is van een familielid en dat ze snel geld nodig hebben. Het zit blijkbaar erg geloofwaardig in elkaar, want het heeft al meerdere keren tot geplunderde bankrekeningen geleid.
Toch is het principe hetzelfde als phishing via mail. Er word je gevraagd om snel te reageren en te klikken op een link.
Het aantal manieren is eindeloos en er komen regelmatig nieuwe bij.
Wat moet je doen na een phishing incident?
Maar wat moet je doen wanneer je ondanks alle voorzorgsmaatregelen toch slachtoffer bent van phishing? Dan is het wel belangrijk om snel te reageren. Probeer te achterhalen welke gegevens er zijn buitgemaakt. Zijn er wachtwoorden of inloggegevens verstuurd? Is er software geïnstalleerd? Is er geld overgeschreven? Of zijn er persoonlijke gegevens buit gemaakt?
In alle gevallen is het verstandig om met de betrokken partij te bellen. Heb je een phishing incident gehad uit naam van je bank, bel die bank. Zeker wanneer er geld is overgemaakt, dan kan snel handelen er voor zorgen dat (een deel van) het geld nog terug te halen is.
Wanneer je niet zeker weet wat er is buitgemaakt, verander dan in ieder geval je wachtwoord. En maak melding van de phishing. Dat kan bijvoorbeeld bij de fraudehelpdesk.
Heb jij weleens met phishing te maken gehad?
Wil je meer lezen?