Phishing: trap niet in de valstrik !

Phishing, wa’s da ?

Het woord Phishing is een samentrekking van het Engelse woord “fishing” dat vissen betekent, en “phreaking”, wat piraterij van telefoonlijnen betekent.  Phishing is een methode die internetfraudeurs gebruiken om mensen via e-mail (of via de telefoon) op te lichten. Het is letterlijk de bedoeling om de persoonlijke gegevens van de internetgebruikers op te vissen, zoals de gebruikersnaam, het paswoord, ja ook de bankgegevens, om er dan frauduleus gebruik van te maken.

Een e-mail die jou meevoert

Phishing zoekt de zwakke plek in de menselijke beveiliging en niet in de applicatiebeveiliging. Het gaat er duidelijk om de internetgebruiker te misbruiken en hij wordt opgelicht met de bedoeling zijn identiteit te stelen !

Cybercriminelen gebruiken bijna altijd dezelfde strategie. Eerst maken ze een e-mailadres dat sterk gelijkt op het officiële adres van een vertrouwde instelling of een gekend bedrijf die je persoonsgegevens bezit of die ze zou kunnen bezitten.  De oplichter verzoekt dan de klant of de consument om zich voor een bepaalde reden in te loggen via een hyperlink. Met een of ander voorwendsel verzoeken zij jou om bijvoorbeeld je persoonsgegevens bij te werken op eBay, of om na te gaan of je rekeningnummer bij de Bank X niet is gekraakt. (als dat niet straf is !), of omdat je dringend moet nagaan of het nummer van je Visakaart niet frauduleus werd gebruikt… De internetgebruiker moet daarom zijn gegevens zo snel mogelijk opnieuw invoeren via de opgegeven hyperlink. Een klik op de hyperlink brengt je naar een formulier op een vervalste webpagina, een zogenaamde gespiegelde website, die in feite een exacte kopie is van de officiële website.

Omdat de cybercriminelen erop hameren hoe dringend het is en omdat de internetgebruiker snel naar de gespiegelde website kan worden gebracht, trappen sommige personen in de val. Je moet weten dat dergelijk e-mails willekeurig en massaal worden verzonden, aan duizenden personen tegelijk. Het doel is om internetgebruikers te bereiken die daadwerkelijk klant zijn van de website die vervalst  werd.
Zodra je persoonsgegevens in handen van oplichters zijn gevallen, kunnen zij die gebruiken om op uw naam aankopen te doen, geld van je bankrekening te halen, enz.

↑ Top

Hoe kan ik mij beschermen?

Zodra je een e-mail binnenkrijgt die jou met aandrang verzoekt je persoonsgegevens online door te geven, moet er al een alarmbel luiden: Gevaar !

Elke ernstige bank of instelling, zal je nooit vragen om zulke gevoelige gegevens, zoals bankgegevens of logingegevens te verstrekken via e-mail. Mocht je een dergelijke e-mail ontvangen, dan doe je er goed aan om daar niet op in te gaan en ze gewoon te wissen. Bij twijfel kun je altijd nog rechtstreeks contact opnemen met de verzender van het bericht wiens identiteit mogelijk werd vervalst, zodat je kan nagaan of het verzoek wel echt is. Je mag daarbij natuurlijk geen gebruik maken van de adresgegevens die op de e-mail worden vermeld maar wel op betrouwbare gegevens die je op een andere manier hebt verkregen (officiële website, call center …).

Je kan nog andere controles uitvoeren:

  • Is de e-mail op uw naam of werd hij verstuurd naar “non-disclose recipients” (wat wil zeggen dat de e-mail werd verstuurd aan een groot aantal bestemmelingen)?
  • Bevat de mail gepersonaliseerde elementen (bijv. klantnummer) waarmee u de echtheid kan controleren?
  • Heeft de afzender een officieel e-mailadres? Bij een Yahoo- of Hotmailadres moet je waakzaam zijn. Maar het adres van de afzender kan wel erg gelijken op een adres van een bekend bedrijf (bijvoorbeeld: jan.janssens(at)pay-pal.login.com).
  • Is de domeinnaam correct gespeld? Vertrouw niet op de lay-out van een website waar u naartoe wordt geleid want het is mogelijk om een website perfect na te bootsen!
  • Stuurt de hyperlink jou naar een beveiligde pagina (htpps)?

En tot slot nog een laatste tip: maak nooit je codes of identiteitsgegevens bekend via e-mail!

Mocht je ondanks onze tips toch in de val zijn gelopen, neem dan in ieder geval contact op met je bank zodat zij de nodige maatregelen kan treffen en leg klacht neer bij de Federale politie.

↑ Top

Alle middelen zijn goed …

Naast de pc kan ook de telefoon een geducht wapen zijn in de handen van internetfraudeurs.

Dat gaat als volgt:  een volslagen onbekend en buitenlands nummer belt je op en vraagt je met een vooraf ingesproken bericht om dringend een bepaald nummer te bellen omdat je dringend je bankgegevens moet controleren.

Het nummer dat je moet bellen is erg duur (tot 25 euro per minuut!) maar daarnaast wil de oplichter zoveel mogelijk bankgegevens inwinnen om ze dan achteraf frauduleus te kunnen gebruiken.

Hier geldt maar een tip : ga nooit in op dergelijke telefoonoproepen !

↑ Top

De nieuwe technologieën ten dienste van de oplichter

Je wordt niet alleen bedrogen via e-mail en telefoon. Een ander gevaar viert nu hoogtij: SMiShing of sms fraude.

Ook hier staat hetzelfde doel voorop: misbruik maken of stelen van gevoelige informatie.  Het bijzondere aan SMiShing is dat gebruikt wordt gemaakt van een sms’je. Het gaat hier dus over een vorm van phishing via de gsm.

Volgens de veiligheidsexperts lopen de gebruikers van intelligente mobiele toestellen, zoals smartphones drie keer meer kans om het doelwit te worden van een  phishingaanval. Volgens hen zijn hier twee redenen voor. De gebruikers van intelligente mobiele telefoons (smartphones) zijn altijd online en reageren vaak om het kwartier op binnenkomende berichtjes. Vooral als die berichtjes dringend zijn en van de bank of een andere belangrijke instelling blijkt te komen. Daarom zijn de gebruikers van smartphones vaker slachtoffer tijdens de belangrijkste eerste uren van een phishingaanval.

Bovendien vermelden de kleine schermen van smartphones en andere compacte toestellen zelden de URL of het volledige adres van de afzender of van de website waarnaar wordt verwezen. Bijgevolg kunnen de smartphonegebruikers maar moeilijk onregelmatigheden onderscheiden. Zij worden daarom aangeraden niet de klikken op de link in het bericht, omdat het niet altijd vast staat waar men zal uitkomen. Het is beter om zelf een URL of een adres in te typen (of er een te gebruiken van de veilige adressenlijst).

↑ Top

En als ik al in de val ben gelopen ?

Als je te laat beseft dat je je bankgegevens al hebt verstrekt, moet je zo vlug mogelijk je rekening en je kaart laten blokkeren. Het volstaat om het nummer voor Card Stop te bellen op het nummer 070/344.344. Dit nummer is 24/24 uur beschikbaar en geldt voor alle Belgische bank- en kredietkaarten. U kan ook de feiten aangeven bij de Federale Computer Crime Unit, op dit adres : contact(at)fccu.be

Je zou bang worden van je eigen schaduw ! Maar dat is echt niet nodig want zoals de volksmond zegt : een gewaarschuwd man is er twee waard !

↑ Top