Phishing Smishing
Vissen naar persoonlijke informatie blijft voor fraudeurs een populaire vorm van internetfraude. Een op de tien Nederlanders heeft inmiddels weleens in een bericht op een foute link geklikt. Wat zijn de nieuwste trucs?
Al dan niet door schade en schande wijs geworden, weten de meeste Nederlanders inmiddels wel wat phishing is: internetcriminelen sturen via mail, app of sms een bericht en doen zich voor als een bekende en vertrouwde instantie. Zo proberen ze persoonlijke informatie los te krijgen of direct een overboeking te forceren.
De totale schadepost van cyberfraude loopt volgens onderzoek van Alert Online jaarlijks op. Zo meldden de banken onlangs dat de schade door phishing naar beveiligingscodes in het eerst halfjaar van 2019 3,01 miljoen bedroeg, tegen 2,36 miljoen in de tweede helft van 2018.
Na een geval van cybercrime neemt 56 procent van de Nederlanders maatregelen. De top 5 bestaat uit het installeren van een anti-virusprogramma, wachtwoorden complexer maken, controleren van webadressen op https-beveiliging, updaten van software en het installeren of updaten van een firewall. 51 procent van de Nederlanders bezoekt alleen websites met een groen slotje in de browserbalk en/of https in de url van de pagina. Helaas zijn https-certificaten inmiddels ook voor een paar tientjes te koop.
Op welke nieuwe trucs moet je nog meer bedacht zijn?
Spoofing: mailtje van de premier
Bedenk dat een bank, verzekeraar of dienstverlener nooit per e-mail zal vragen naar wachtwoorden of pincodes.
Een fraudevorm waarvan de Fraudehelpdesk een scala aan meldingen binnen krijgt, is spoofing. Daarbij lijkt het alsof het bericht van een betrouwbare afzender komt. Een bekend voorbeeld zijn mailtjes die afkomstig leken van Kamerleden of premier Rutte. Dat kwam doordat de Tweede Kamer had verzuimd een bepaald veiligheidsprotocol voor het verzenden van e-mail in te schakelen.
Gelukkig waren de mailtjes afkomstig van journalisten van onlineplatform Follow the Money en is het zogeheten SPF-protocol (Sender Policy Framework) inmiddels wel ingeschakeld. Spoofing is wel zorgwekkend, omdat het bericht van een bekende lijkt te komen. Tot nu toe was een van dé signalen van phishing juist dat om een vreemde afzender ging.
Bedenk dat een bank, verzekeraar of dienstverlener nooit per e-mail zal vragen naar wachtwoorden of pincodes en je ook nooit met een hyperlink zal doorsturen naar een website waar je om beveiligingscodes wordt gevraagd.
Bij twijfel kun je natuurlijk altijd direct contact opnemen met de organisatie zelf, via de contactgegevens op de officiële website.
Whaling
Sms-berichtje met betaalverzoek
In alle gevallen is spoed het drukmiddel, want het veinzen van urgentie is een manier om je snel en ondoordacht tot actie over te halen
Het aantal meldingen van spoofing via sms neemt sterk toe. Dit jaar hebben zo’n 15.000 mensen al aan de Fraudehelpdesk laten weten dat zij met een tekstberichtje door fraudeurs zijn benaderd.
In het geval van de sms-variant is de afzender bijvoorbeeld het Centraal Justitieel Incassobureau (CJIB), je telecomprovider, een verzekeraar of de Belastingdienst. De strekking is veelal hetzelfde: je hebt nog een boete of betaling openstaan. In alle gevallen is spoed het drukmiddel, want het veinzen van urgentie is een manier om je snel en ondoordacht tot actie over te halen. Realiseer je daarom goed dat dit soort bedrijven en instanties - ook banken, of MijnOverheid - je nooit via sms zullen benaderen en je deze berichtjes daarom altijd moet negeren. Zoals je met vreemde e-mails ook zou doen.
Een variant die laatst opdook was dit sms-bericht: ‘Boefbank BV heeft een digitale machtiging ingediend om periodiek 1325,87 euro van uw rekening af te schrijven. Weiger de incasso via boefbank-nl.site’. Wie dat aanklikt, komt op een phishingsite. Preventietip van de politie: klik niet op links en verwijder het bericht.
WhatsApp van studerende zoon
Al eerder gesignaleerd maar nog altijd een instinker is een appje van een goede vriend of familielid, bijvoorbeeld een studerende zoon. Die appt met een nieuw nummer - met profielfoto en al die van social media is geplukt - en meldt dat je het oude kunt weggooien. Later volgt een appje met het verzoek of je geld kunt voorschieten voor een dringende betaling (‘Hey pa, kun je me effe helpen?’).
Het advies is om nooit geld over te maken op basis van zo’n berichtje alleen, maar altijd contact op te nemen via andere kanalen. Bel die vriend of zoon even op of vraag hem een bericht in te spreken, zodat je zeker weet dat je niet met een oplichter te maken hebt.
Wangiri fraude
Telefoontje uit Tunesië
Melding uit Tunesië of Algerije? Terugbellen van een nummer dat niet bestaat kan een dure grap worden.
Had je onlangs een of meer gemiste oproepen uit Algerije, Tunesië of Mauritanië? Dan ben je zeker niet de enige, want de Fraudehelpdesk wordt overspoeld met meldingen van telefoontjes uit landen in Noord- of West-Afrika. Telecomproviders versturen inmiddels waarschuwingen.
Wat is er aan de hand? Wangiri-fraude is vernoemd naar het Japanse ‘wangiri’, wat zoveel betekent als ‘één keer overgaan en stoppen’. Je wordt gebeld door een onbekend buitenlands nummer, maar je telefoon gaat slechts één keer over. Wie vervolgens terugbelt, krijgt niemand aan de lijn. De telefoon blijft maar overgaan, of je hoort helemaal niets.
De echte verrassing komt als je je telefoonrekening onder ogen krijgt. Het lijkt namelijk alsof je bij het terugbellen geen verbinding krijgt, maar in werkelijkheid hoor je een bandje met het geluid van een overgaande telefoon. Tegen de tijd dat je doorhebt dat er niemand opneemt, zijn de belkosten al stevig opgelopen. De tarieven van die servicenummers zijn namelijk in de meeste gevallen door de fraudeurs zelf te bepalen. Die kunnen ook met slimme software honderdduizenden nummers bellen die ze zo van internet plukken.
Natuurlijk kun je ook om legitieme redenen door een vreemd nummer worden gebeld. Misschien woont er familie in het buitenland, heb je ergens over de grens een reservering gedaan of kom je juist terug van een (verre) reis. Maar gaat het om een (gemiste) oproep van een onbekend nummer uit het buitenland, bel dan niet terug. Bij een belangrijk bericht zal er vast een voicemail worden ingesproken, of word je (ook) op een andere manier benaderd.
Let extra op landcodes die beginnen met een 2. De meeste gevallen die worden gemeld hebben betrekking op Algerije (landcode 213), Tunesië (216) en Mauritanië (222).
‘Eerst checken, dan klikken’
De overheid lanceerde onlangs de campagne ‘Eerst checken, dan klikken’. Op posters, online en in tv-spots roept ze op altijd eerst te checken of een link, bijlage of betaalverzoek in een mail, sms of appje te vertrouwen is, en pas te klikken als je daar zeker van bent. Hoe ga je te werk?
- Kijk allereerst of het gaat om een betaalverzoek. Dat is verreweg de populairste fraudetactiek, terwijl echte instanties je niet op die manier zouden benaderen.
- Wordt er naar persoonsgegevens, inlogcodes of financiële informatie gevraagd? Dat is informatie die je banken, verzekeraars en de overheid niet bij je opvragen.
- Check het e-mailadres van de afzender of de url van een linkje. Staan er geen gekke dingen in?
- Ga na of je überhaupt bent aangesloten bij de organisatie die contact opneemt. Ga bij twijfel naar de betreffende website en log zelf in.
- Check of er met spoed iets moet gebeuren. Dreigen met een boete en een snelle deadline is een geliefde fraudestrategie. Controleer bij twijfel rechtstreeks bij de betreffende instantie of neem contact op met de Fraudehelpdesk.
Bron: diverse, ad