De wondere wereld van phishing

"Voor hackers en phishers is het coronavirus een buitenkansje", schreef de Volkskrant. Want thuiswerken kent risico’s voor bedrijfssystemen en angst maakt mensen gevoelig voor phishingmails. Waar moet je precies op letten? Onze Adviseur Digitale geletterdheid Erik Reuvers neemt je mee om je zowel privé als zakelijk te wapenen tegen scammers, oplichters en hackers!

Weinig branches zijn zo innovatief als die van phishing. Dat is een vorm van internetfraude waarbij je valse e-mails ontvangt die je naar een nagebootste website proberen te lokken. Sommigen denken daarbij misschien nog aan Saudische prinsen die hun geld kwijt willen, of 'Bill Gates' die je een cheque wil sturen. Maar de wereld van phishing zier er vandaag heel anders uit.

Corona-bestendige bankpas

Oplichters spelen graag in op thema’s die mensen op dat moment bezighouden. Rampen, sociale onrust en maatschappelijke discussies: ze worden effectief gebruikt om reacties uit te lokken en gegevens buit te maken. Zo zijn er nu brieven in omloop dat supermarkten binnenkort sluiten en er voedselpakketten worden verdeeld. Om die te ontvangen, moet je vooraf betalen. Of je ontvangt een berichtje over het aanvragen van een 'corona-bestendige' bankpas. Je wordt naar een website geleid waar je je gegevens moet invoeren om de nieuwe bankpas te ontvangen. Allemaal onzin natuurlijk, maar het wordt gebruikt om mensen hun bankgegevens te ontfutselen.

Visnet- en speervis-methode

Op twitch.tv, een online platform om mee te kijken met mensen die spellen spelen, houdt Kitboga oplichters uren bezig en zendt dit uit om te laten zien hoe zij opereren. Bekijk ook het filmpje hieronder om te zien hoe oplichters werken. Er zijn globaal gezien twee methoden die oplichters toepassen.

1. Visnet-methode: bijvoorbeeld het versturen van een massa-email of een spontaan telefoontje, in de hoop dat erop gereageerd wordt.
2. Speervis-methode: het gericht aanpakken; de oplichter doet zich voor als iemand die je kent of weet veel van je.

Ik licht hieronder veelvoorkomende voorbeelden voor je uit. 

Phishing via Whatsapp

Je krijgt zomaar een Whatsapp-bericht van een familielid: ze zitten in acute geldnood en hebben nú je hulp nodig. Bellen komt op dat moment niet uit, of de lijn is zo slecht dat je niks hoort. Veel mensen betalen als ze onder druk gezet worden. Maar als je eenmaal betaald hebt, zal je vaker gevraagd worden dit te doen. Voorkom dit door in zo’n situatie de persoon in kwestie te bellen – niet via Whatsapp - en vraag iets wat alleen hij of zij kan weten. Misschien is de telefoon namelijk overgenomen.

Zo kreeg ik zelf een tijdje geleden een appje van mijn moeder: ze wilde mijn creditcard-gegevens hebben. Op zo’n moment is het verstandig om via het juiste telefoonnummer te checken of dit klopt. In mijn geval was dat gelukkig zo, maar je moet alert blijven!

• Lees: 'Hoe een moeder op doortrapte wijze opgelicht werd via WhatsApp: ‘Ik dacht écht dat ik met mijn zoon appte’' (De Stentor, 3 januari 2020)

Veel mensen betalen als ze onder druk gezet worden. Maar als je eenmaal betaald hebt, zal je vaker gevraagd worden dit te doen.

Andere oplichters doen zich op Whatsapp voor als bankmedewerker. Ze willen je laten geloven dat je gehackt bent en vragen je je gegevens te verifiëren via een link. Doe je dat, dan hebben ze alle gegevens in handen om je rekening te plunderen. Deel nooit je wachtwoorden of inloggegevens!

Weer een andere vorm van Whatsapp-oplichting werkt met Tikkie – een handige app om snel kleine bedragen over te maken. Er wordt een link gestuurd met een betaalverzoek, die naar een externe site doorverwijst waar je je betaalgegevens moet invullen (iDeal). Hier zouden nu al alarmbellen moeten gaan rinkelen, want een Tikkie-transactie hoort alleen in de Tikkie-app thuis. Als je je gegevens toch invult, komen die direct bij een crimineel binnen die ze kan gebruiken om je rekening te plunderen. Gebruik dus alleen je eigen bankomgeving en eigen apps bij betalingen!

En dan is er de Whatsapp-code-oplichting, die begint met het overnemen van je account op Whatsapp en uit jouw naam contacten om geld vraagt. Dat werkt als volgt:

• De oplichter krijgt via bijvoorbeeld Marktplaats jouw mobiele nummer en maakt daarmee een nieuwe Whatsapp-account aan.
• Vervolgens neemt hij of zij contact met jou op, maar komt het niet tot een koopovereenkomst.
• Daarna probeert diegene Whatsapp te activeren op zijn of haar telefoon, waardoor er een 6-cijferige code naar jouw telefoon wordt verstuurd.
• De oplichter neemt vervolgens contact met je op met het verhaal dat hij of zij per ongeluk een code naar je heeft verstuurd en die terug wil. Als jij die code daadwerkelijk verstuurt, kan de oplichter je volledige Whatsapp-account overnemen!

Andere vormen van oplichting via telefoon of internet

Men wordt gebeld door ‘Apple’ of ‘Microsoft’ over beveiligingsproblemen met de bestaande software en het verzoek een update te downloaden. Je wordt naar een goed uitziende website gestuurd (straks meer hierover). Of men wil zelfs je computer overnemen (nooit toelaten!) om een programma te installeren. Dit is ransomware waarmee je computer op slot wordt gegooid en al je bestanden op je harde schijf worden versleuteld. Pas na betaling krijg je een programma om je bestanden weer toegankelijk te maken. Helaas werkt dit in veel gevallen echter niet en ben je je geld én je data kwijt. 

Met ransomware wordt je computer op slot gegooid en al je bestanden op je harde schijf versleuteld. Pas na betaling krijg je een programma om je bestanden weer toegankelijk te maken.

Het komt voor dat hele websites van bijvoorbeeld banken worden nagebouwd, compleet met helpdesks, die oplichters ook nog eens via Google als hoogste in de zoekresultaten kunnen laten plaatsen. Als je die helpdesk belt, worden al je gegevens door de nep-helpdesk gestolen. Ook door hier in e-mails naar te verwijzen, verleiden oplichters mensen om toch hun gegevens in te voeren. Er kan ook gebeld worden uit naam van de bank, de belastingdienst of een incassobureau om snel een betaling te forceren.

Ook bestaat er zoiets als wangiri-fraude waarbij je gebeld wordt door een nummer dat je niet kent, in de hoop dat je terugbelt. Het lijkt of er vervolgens niet wordt opgenomen, maar in de praktijk is het een bandje die doet voorkomen dat je ophangt terwijl het gesprek doorgaat. Zo’n telefoontje kan je veel geld kosten.

Er zijn zelfs oplichters die kleine stukjes informatie uit bijvoorbeeld een foto van je werkplek of andere beelden op social media halen, om zo telefoonaanbieders te overtuigen jouw nummer op hun naam te laten zetten. 

• De politie heeft een uitgebreide lijst van 26 punten om internetoplichting te voorkomen. Wees altijd op je hoede als je proactief benaderd wordt en deel nooit zomaar je gegevens! Bel bij vraagtekens naar het bedrijfsnummer dat je vindt op een officiële website. 

Hele websites van banken worden nagebouwd, compleet met helpdesks. Als je die helpdesk belt, worden al je gegevens door de nep-helpdesk gestolen. 

Data-lekken

Af en toe worden grote online diensten gehackt en wachtwoorden en emailadressen semi-vrij op internet gedeeld. Als jouw gegevens hierbij zitten en je past je wachtwoorden niet aan (of erger nog: je hebt maar één wachtwoord voor al je diensten), dan kan je een slachtoffer worden van oplichters en hackers. Kijk op haveibeenpwned.com of je emailadres betrokken is bij hacks. Zo ja, pas dan je wachtwoorden aan! En gebruik een wachtwoord-manager als LastPass, dashlane of 1password om je wachtwoorden te beheren. Zo heb je altijd unieke wachtwoorden, zonder de stress ze te vergeten.

Een ander voorbeeld waarover ik veel hoor, is het oplichten door middel van porno. Je krijgt een mailtje waarin staat dat hackers gebruik hebben gemaakt van je webcam, en dat er opnames gemaakt zijn van je kijkgedrag en acties. Soms wordt zelfs een oud uitgelekt wachtwoord meegestuurd om het bericht kracht bij te zetten. Je moet bitcoin betalen aan dit adres (met volledige uitleg hoe dat moet) om te voorkomen dat de content en het filmpje naar al je contactpersonen wordt gestuurd. Vaak is dit gewoon bluf, maar toch blijkt ook deze methode effectief.

Bedrijven en ransomware

Bedrijven en grotere organisaties zijn voor oplichters interessant, omdat er veel geld te halen valt. Rijksmuseum Twenthe dacht een schilderij te kopen en maakte 2,9 miljoen euro over naar de rekening van een oplichter. En Pathé Nederland verloor 19 miljoen euro door CEO-fraude. Het principe daarvan is simpel: er wordt vanuit een vertrouwd email-adres van de bestaande CEO een bericht gestuurd dat er geld moet worden overgemaakt naar een rekeningnummer. Vanuit een hiërarchische positie wordt hier veel druk achter gezet. Je moet dan sterk in je schoenen staan om hier niet in mee te gaan! Ook in de bibliotheekwereld komt het voor dat een factuur uit naam van een directeur naar de financiële administratie gestuurd wordt, met het dringende verzoek snel te betalen.

Ook in de bibliotheekwereld komt het voor dat een factuur uit naam van een directeur naar de financiële administratie gestuurd wordt, met het dringende verzoek snel te betalen.

Voor bedrijven ligt ransomware (gijzel-software) altijd op de loer. De toegang tot gegevens wordt dan geblokkeerd en niet vrijgegeven voor er losgeld is betaald. Besmetting is zo gebeurd via het openen van een bijlage in een email. Er zijn situaties bekend waarin USB-sticks op de parkeerplaats worden gelegd, in de hoop dat iemand ze in het bedrijfsnetwerk prikt! Voorkom dit door regelmatig back-ups te maken van je systeem. En leg een omgeving aan waarin elke computer afzonderlijk opereert, om besmetting te voorkomen.

De schaamte voorbij

Waarschijnlijk ken ook jij verhalen van mensen in je omgeving die zijn opgelicht, of te maken hebben gehad met een poging daartoe. Maar vergis je niet: heel veel mensen durven er niet over te praten, omdat ze zich schamen dat ze erin zijn getrapt. Maar dit speelt de oplichters in de kaart, want zo wordt er niet gepraat over hun methoden en tactieken. Deel dus vooral voorvallen die je tegenkomt!

Veel mensen durven niet over de oplichting te praten, ze schamen zich omdat ze erin zijn getrapt. Maar dit speelt de oplichters in de kaart, want zo wordt er niet gepraat over hun methoden en tactieken.

Training voor bibliotheekmedewerkers 

Probiblio ontwikkelt een training voor medewerkers om phishing tegen te gaan. Heb je interesse, of wil je informatie over dit onderwerp delen? Ik hoor het graag! Neem contact op via e-mail of telefoon: 023 55 46 229.