Ben je het spoor bijster over je privacy-instellingen? Leiden je apps je teveel af en grijp je keer op keer naar hetzelfde wachtwoord? Fear no more en drop je vraag bij tech-expert Eveline Meijer. Succes gegarandeerd.
Phishing is een van meest bekende manieren om gegevens te ontfutselen van nietsvermoedende internetgebruikers. Hoewel vrijwel iedereen er wel eens van gehoord heeft, zijn er toch mensen die er nog voor vallen.
Dit was bijvoorbeeld het geval in juni. Cybercriminelen verstuurden aan het einde van vorige maand valse e-mails van MijnOverheid, in de hoop DigiD-accounts in handen te krijgen. 203 mensen vulden inderdaad hun inloggegevens in op een valse website. En dat zal zeker niet voor het laatst zijn. Hoe bescherm je jezelf tegen phishing en hoe herken je het?
Wat is phishing?
Phishing is een manier waarop cybercriminelen gevoelige informatie – denk aan je wachtwoord of creditcardnummer – in handen proberen te krijgen. Vaak versturen ze daar een e-mail voor, al komt het tegenwoordig ook via bijvoorbeeld WhatsApp en Facebook Messenger voor. Die e-mail lijkt dan van een legitiem bedrijf of een echte overheidsinstantie te komen. Denk aan je bank of de Belastingdienst.
In het geval van MijnOverheid, waar dus vorige maand valse e-mails van werden verstuurd, stond er dat er een bericht voor je klaarstond in de dienst. Daaronder stond een link. Klik er op, en je kunt inloggen, zo was het idee. In werkelijkheid leidde de link echter naar een valse website. Log je je daar in, dan krijgt de cybercrimineel je wachtwoord.
Ook is het mogelijk om het slachtoffer te worden van phishing via websites. Daarbij maken cybercriminelen een website aan die lijkt op die van een echt bedrijf – zoals je bank. Ze hopen dat je daar inlogt of je betaalgegevens invult, zodat zij die ontvangen.
Spear phishing
Er is ook nog een geavanceerdere vorm van phishing: spear phishing. Daarbij gaat de cybercrimineel nog een stap verder met het versturen van de valse e-mail: hij stelt er eentje op die speciaal gemaakt is om jou te misleiden.
Er wordt veelal informatie van je sociale media gebruikt om het bericht te voorzien van geloofwaardige informatie. Bestel je bijvoorbeeld een pakket, komt deze beschadigd aan en tweet je daarover? Dan mailt een cybercrimineel je dat er compensatie wordt aangeboden vanuit dat bedrijf. Log alleen maar even in en vul een formulier in. Ondertussen leest de hacker natuurlijk mee als je je gegevens invult.
Spear phishing komt echter vrij weinig voor bij de ‘gewone mens’. Dit wordt namelijk vrijwel alleen ingezet bij mensen met een groot risico op hacks, zoals politici, journalisten en advocaten. De kans is dus klein dat jij hier het slachtoffer van wordt.
Herken phishing
Tegen phishing is eigenlijk maar een goede beveiliging: herken het en verwijder het direct. Maar hoe herken je het dan?
Allereerst: banken, MijnOverheid en vrijwel iedere instantie die met geld of zeer vertrouwelijke informatie omgaat stuurt je nooit een e-mail met een link. Daarnaast vragen ze ook nooit of je gegevens naar ze op wilt sturen, zoals je pincode of wachtwoord. Vaak word je via de post benaderd, of wordt er in de mail alleen gemeld dat er een bericht voor je klaar staat. Dan moet je dus zelf naar de website gaan.
Daarnaast bevatten dergelijke e-mails vaak taalfouten en word je aangesproken met “Geachte heer/mevrouw”. Vreemd, want MijnOverheid en je bank weten echt wel hoe je heet en of je een man of een vrouw bent.
De e-mails proberen je bovendien vaak te laten schrikken. Zo kan er in staan dat je nog een incasso moet betalen, wat je gemakkelijk via “de onderstaande link” kunt doen. Ook zijn er emails verspreid die je vertellen dat je iets gewonnen hebt.
Let op het adres
Een andere belangrijke maatregel die je zelf kunt nemen is te letten op de adressen in de mail. Het e-mailadres van de afzender zal waarschijnlijk lijken op die van de echte organisatie, maar bevat bijvoorbeeld een tikfout. Een voorbeeld is “pietje@alberthein.nl”, waar een ‘j’ in ontbreekt. Dat valt je echter nauwelijks op, tenzij je er echt op let.
De link die meegestuurd wordt met de mail – waarvan de hacker dus hoopt dat jij er op klikt – klopt vaak ook niet helemaal. Klik dus niet zomaar op linkjes in een e-mail, maar kijk even waar deze nu eigenlijk heen gaat.
Daarvoor wil je even met je muis op het linkje gaan staan (zonder te klikken!), waarna de URL er automatisch onder verschijnt. Zit je op je telefoon, dan kun je de link lang indrukken om hem te kopiëren. Plak je hem in een nieuwe e-mail, dan kun je hem even goed bekijken.
Is dit phishing?
Mocht je twijfelen of iets phishing is, dan kun je het beste even naar de officiële website van het bedrijf gaan. Dit doe je dus niet via de link in de e-mail, maar gewoon door naar bijvoorbeeld MijnOverheid.nl te gaan. De meeste diensten tonen namelijk alle ontvangen berichten en facturen als je ingelogd bent in de dienst.
Ook kun je contact opnemen met het bedrijf, zodat je ze zelf kunt vragen of alles wel klopt. Zoek wel even zelf het telefoonnummer op, en gebruik niet die uit de e-mail. Hackers kunnen immers ook hun eigen telefoonnummer in de e-mail plaatsen.
Bescherm jezelf: denk even na
Eigenlijk kun je jezelf dus vrij eenvoudig tegen phishing beschermen. Het komt allemaal neer op even nadenken over e-mails die je krijgt. Zou deze instantie echt om mijn wachtwoord vragen? Zouden ze me echt een link sturen? En heb ik wel een openstaande incasso?
Krijg je dus een e-mail van een dergelijk bedrijf, neem dan even een paar seconden om te besluiten of dit wel betrouwbaar is. Zo niet: verwijder de e-mail en waarschuw het bedrijf waar hij vandaan lijkt te komen. Better safe than sorry!
Heb jij ook een tech-gerelateerde vraag? Stuur hem naar evelinem@okgo.nlof via Twitter naar @_eefj. Misschien wordt jouw vraag volgende week wel beantwoord.