Phishing herken je zo

Cyberdieven gaan 'speervissen'

Criminelen gebruiken steeds slimmere methoden om u via een e-mail persoonsgegevens te ontfutselen. Vooral hogeropgeleiden blijken slachtoffer. Hoe wapent u zich ertegen?

Beeld de Volkskrant

Uw bank zoekt opvallend vaak contact met u. En dat geldt niet alleen voor uw eigen bank. Ook andere banken vullen uw e-mailbox onvermoeibaar met indringende contactpogingen. Zelden heeft de bank in zo'n mailtje een leuke mededeling. Het gaat meestal om iets waar u niet op zit te wachten. Soms wil de bank uw aandacht vestigen op een nieuw bank- of verzekeringsproduct of een speciale aanbieding. Vaker gaat het om een mailtje met als onderwerp 'Aankondiging rentewijziging'. Na openklikken blijkt die 'wijziging' dan steevast een verlaging van de spaarrente in te houden.

Maar veruit de meeste bankenmailtjes die u ontvangt, adviseren u onmiddellijk actie te ondernemen. Ja, nu! Liefst vandaag nog! Want als u dat niet doet, loopt u zeer grote beveiligingsrisico's! Of dan kunt u binnenkort niet meer pinnen/internetbankieren/betalen met uw creditcard! U bent dus gewaarschuwd: niet reageren op deze e-mail is vragen om ellende.

Op 29 december 2014 stuurde Rabobank een e-mail rond met als onderwerp 'Uw beveiligingsprocedure is bijna in orde'.

Let wel: bijna, dus niet helemaal. In uw achterhoofd hoort u dan al het zachte gerinkel van een alarmbel. 'O jee, is mijn rekening dan niet goed beveiligd?', denkt u onbewust.

In de e-mail schrijft Rabobank: 'De Rabobank verzoekt al zijn consumenten om mee te doen aan de beveiligingsprocedure. Deze beveiligingsprocedure is in actie gezet door de 'Betaalvereniging Nederland'. Dit is in werking gezet door dat er te veel cybercriminaliteit plaats vind rondom de bank(en) in Nederland.' Vervolgens wordt u verzocht op een 'beveiligde' link te klikken om de beveiligingsprocedure te 'activeren'. Dit is 'verplicht' om uw rekening te beschermen tegen alle mogelijke vormen van cybercrime, meldt Rabobank ten slotte. En als uitsmijter: iedereen die mee doet, maakt kans op een mooie prijs!

U hebt het waarschijnlijk wel geraden: mensen die deze instructies opvolgden, hebben zichzelf niet beschermd tegen cyberdieven, maar de deur juist wagenwijd opengezet voor deze ongure gasten. Deze 'Rabobank'-post is een typische phishing-mail: een criminele poging uw persoonsgegevens, inlogcodes en wachtwoorden te achterhalen om daarmee uw bankrekeningen te plunderen.

Beeld de Volkskrant

Lokaas

Phishing bestaat al zolang internet bestaat. De term refereert aan het Engelse woord voor 'vissen' of 'hengelen'. Amerikaanse computerinbrekers (hackers) muntten de term medio jaren negentig omdat phishers net als vissers gebruikmaken van aas om hun slachtoffers in de val te lokken. Het lokaas van phishers bestaat uit psychologische trucs, die inhaken op menselijke zwakheden als hebzucht, naïviteit, laksheid en angst.

Bovenstaand voorbeeld is niet eens een heel gewiekste phishing-variant. De e-mail is gesteld in krom Nederlands, hij staat vol taalfouten en de eerste echte bank die zijn klanten met 'consument' aanspreekt moet waarschijnlijk nog worden opgericht. Voor een oplettende lezer is het niet moeilijk dit schrijven als een nepper te herkennen.

Het vervelende is dat de kwaliteit van phishing-mails de laatste tijd enorm is verbeterd. Ze zijn tegenwoordig meestal zo professioneel, dat ze voor een leek haast niet meer van echt te onderscheiden zijn, weet Jornt van der Wiel van softwarebeveiligingsbedrijf Kaspersky Lab. 'Vroeger waren het slecht vertaalde teksten van Google Translate. Nu nemen cybercriminelen een Nederlander in dienst of iemand die vloeiend Nederlands spreekt.'

Niet alleen grammatica en spelling verdienen een tien met een griffel, ook de aankleding is vaak om door een ringetje te halen. 'De phishers kopiëren de logo's, de opmaak en de huisstijl van de bank perfect', zegt Van der Wiel. 'Daardoor koesteren hun slachtoffers minder snel argwaan.'

Zelfs een heel goed gelukte phishing-e-mail is desondanks aan een aantal typerende kenmerken te herkennen (zie kader), maar dat vereist wel alertheid bij de ontvanger. Dus: altijd eerst denken, dan pas iets doen. Om consumenten weerbaarder te maken tegen phishing-pogingen, geven banken en andere bedrijven, consumentenorganisaties en overheidsinstanties veel voorlichting over het fenomeen. Alle banken hebben een of meerdere pagina's op hun website gewijd aan phishing-voorlichting. Daarop staan voorbeelden van recente phishingmails die zogenaamd door de bank zijn verstuurd en een e-mailadres en/of telefoonnummer om nieuwe namaakmails aan te geven.

Effect

Al die bewustwordingscampagnes hebben maar beperkt effect. Ruim driekwart van de Nederlandse werknemers is niet in staat een phishing-mailtje te herkennen, bleek vorige maand uit onderzoek van ict-beveiligingsbedrijf Nováccent. 'Hoeveel voorlichting je ook geeft, een deel van de mensen blijft erin tuinen', zegt ook Martin Knobloch van het Open Web Application Security Project. 'Uit recent onderzoek bij bedrijven blijkt dat 4 procent van de werknemers altijd klikt op links en bijlagen in phishingmails. Gek genoeg zijn dat relatief vaak de managers, dus de wat hoger opgeleiden.' Waarom het middenkader gevoeliger is voor dit bedrog dan hun ondergeschikten, weet Knobloch niet. 'Dat is nog niet onderzocht.'

Een data-analyse van tienduizenden phishing- en andere cybercrime-aanvallen door beveiligingsbedrijf Verizon wijst uit dat één op de 17 van dit soort aanvallen succesvol is. Een phisher die 17 mailtjes verstuurt, heeft dus minstens één keer beet. Bij 10 mailtjes is de scoringskans al 90 procent. Bij één en dezelfde phishingcampagne worden duizenden tot wel tienduizenden mailtjes verstuurd. Phishers sturen hun lokaas meestal naar alle e-mailadressen in hun bestand. Daarom krijgt u ook zo veel van die mails. Als uw e-mailadres eenmaal bekend is bij een phisher, is het voorgoed vogelvrij. Want cybercriminelen onderhouden onderling een levendige handel in e-mailadressen, hun potentiële doelwitten.

Hoewel er altijd mensen in blijven trappen, daalt de schade van fraude in het betalingsverkeer in Nederland al jaren. In 2012 bedroeg deze schade volgens de Nederlandse Vereniging van Banken 81,8 miljoen euro, in 2013 was het 33,3 miljoen en in het eerste halfjaar van 2014 nog maar 9,5 miljoen. Dat de schade afneemt, is deels te danken aan bewustwordingscampagnes, maar de belangrijkste reden is de verbeterde beveiliging bij banken. Banken steken miljarden in de beveiliging van internetbankieren en hun websites, en dat werpt vruchten af. De keerzijde voor de consument is dat banken steeds moeilijker doen over het vergoeden van de schade. Die werd vroeger automatisch vergoed, maar dat is niet meer zo. Banken hebben twee jaar geleden regels opgesteld waaraan de consument zich moet houden wil hij zijn geld terugkrijgen. In de praktijk beoordelen banken elk schadegeval individueel. Hoe vaak banken een schadeclaim afwijzen wegens nalatigheid van de consument, is niet bekend. Banken willen daarin geen inzicht geven.

Omdat banken steeds beter beveiligd zijn, verleggen phishers hun activiteiten naar andere bedrijfstakken. Webwinkels zijn een favoriet nieuw jachtterrein, zegt Fleur van Eck, directeur van de Fraudehelpdesk. Bol.com, Wehkamp, Apple, iTunes, reisbureaus, maar ook de Belastingdienst en het plaatselijke afvalbedrijf: u kunt het zo gek niet bedenken of phishers bouwen er wel een campagne omheen. Phishing vindt ook allang niet meer alleen via e-mails plaats. Ook op Facebook, LinkedIn en Twitter kunt u door een phisher worden benaderd.

Een van de nieuwste trends is spear phishing (speervissen), waarbij de phisher zich niet meer op een anonieme grote groep richt, maar op één of enkele personen. De phisher bestudeert dan eerst uw Facebook- of LinkedIn-profiel voordat hij u benadert. Dat is effectiever, want dan kan hij verwijzen naar een vriend of collega van u of een feest waar u bent geweest. Zo iemand schenkt u eerder uw vertrouwen dan iemand die u benadert met een spam-achtige e-mail. Zo'n persoonlijke benadering is gemiddeld dus succesvoller, maar kost de phisher veel meer energie en tijd. De opkomst van spear phishing moet worden gezien als een reactie op de toenemende concurrentie onder cybercriminelen, die in steeds groteren getale in dezelfde vijver vissen.

5 tips om phishing te doorzien

1 Het bericht is onpersoonlijk

Phishing-mail is meestal spam, dus onpersoonlijk. Het is schieten met een kanon op een mug. Daarom wordt u door de phisher niet aangesproken met mijnheer De Bruijn of mevrouw Van der Staak, maar is de aanhef van de e-mail onpersoonlijk: 'Geachte relatie', 'Geachte heer/mevrouw' , 'Geachte klant'. Duizenden mensen hebben dezelfde e-mail gekregen en dat lees je eraan af. Het bedrijf waar u klant bent, zal u doorgaans uw naam in de e-mail noemen. Voor spear phishing, waarbij de crimineel eerst moeite heeft gedaan uw persoonsgegevens te achterhalen en u echt persoonlijk als slachtoffer heeft uitgekozen, geldt dit natuurlijk niet. Maar phishing is veel grootschaliger dan spear phishing, dus het is toch een handig kenmerk om te onthouden.

2 De afzender vraagt u ergens op te klikken

Dit is het allerbelangrijkste kenmerk van phishing. Alle phishingpogingen bevatten dit kenmerk. De crimineel wil namelijk uw persoonsgegevens en wachtwoorden achterhalen. Dan kan op diverse manieren. Hij kan er rechtstreeks om vragen. In dat geval leidt de link waar u op moet klikken naar een nepwebsite van de bank, betaaldienst, de Belastingdienst, een webwinkel (of wat dan ook), waarvan het phishingbericht zogenaamd afkomstig is. Phishers kunnen websites perfect namaken. Op de nepwebsite van de bank, Paypal of Bol.com vult u nietsvermoedend uw betaalgegevens in. De crimineel leest mee en denkt 'hebbes'. De tweede manier om uw gegevens te stelen, is een spionageprogramma (malware) op uw pc installeren. Dat nestelt zich onzichtbaar op uw computer wanneer u de bijlage opent of op de link klikt. Het leest stiekem inlogcodes en wachtwoorden af als u bijvoorbeeld gaat internetbankieren.

3 De afzender brengt een gevoel van urgentie over

Ook dit is een belangrijk kenmerk, dat vrijwel nooit ontbreekt. De crimineel wil voorkomen dat u zijn bericht negeert of vergeet. De kans dat u toehapt, is groter wanneer op niet reageren een sanctie staat. Daarom wordt in phishing-berichten doorgaans gedreigd met nare gevolgen als u niet doet wat de phisher vraagt. De phisher vertelt u bijvoorbeeld dat uw 'account', uw creditcard of pinpas is geblokkeerd en dat u op een link moet klikken of een bijlage moet openen om dit ongedaan te maken. Of er wordt gedreigd dat uw account, pinpas of creditcard binnenkort wordt geblokkeerd als u niet reageert. Of u krijgt een bericht van een incassobureau over een openstaande rekening of een boete die u niet betaald zou hebben. Of u krijgt de mededeling dat uw bestelling ter waarde van bedrag X bij webwinkel Y op het punt staat verzonden te worden. 'Hé, maar ik heb helemaal niets besteld', denkt u. Daarom klikt u snel op de contactlink.

4 Taal- en stijlfouten

Dit is de makkelijkst herkenbare rode vlag, maar dus niet altijd meer aanwezig. Veel phishing-mails zijn tegenwoordig zo professioneel, dat er geen opvallende fouten meer in staan. Het is belangrijk dit in het achterhoofd te houden, omdat de meeste mensen phishing nog altijd associëren met kreupele teksten in steenkool- Engels of -Nederlands. Die notie is achterhaald. Een foutloze e-mail biedt dus geen garantie dat die niet door een crimineel is verzonden, maar het omgekeerde is wel het geval. Ziet u slecht Nederlands of Engels en pretendeert de afzender een serieus bedrijf of organisatie te zijn: druk dan meteen op de delete-knop. Het kan ook om minder opvallende fouten gaan, zoals een vreemd gebruik van hoofdletters en spaties.

5 Kijk goed naarhet e-mailadres van de afzender

Een ABN Amro-e-mail die als afzender het emailadrespostvak@geen.reactie.net weergeeft, da's dus geen zuivere koffie. Dat geldt ook voor een Rabobank-mail met als afzender 'secure-verifieren@aol.nl'. Niet-criminele e-mailtjes bevatten op zijn minst de naam van het bedrijf. Maar pas op! Ook als die naam wél in het afzendadres staat, is dat geen garantie op veiligheid. Er zijn phishingmails met als afzender: 'bericht.belangrijk@rabobank.nl', 'ziggo.contact@ziggo.nl' en 'bestellingen@wehkamp.nl'. Dit is dus geen gouden regel. Net als bij taalfouten geldt: ziet het er vreemd uit, dan is het sowieso foute boel, maar het omgekeerde gaat niet altijd op. Lijkt het afzendadres op het eerste gezicht normaal, beweeg dan uw muis over de link in het e-mailbericht (niet/nooit erop klikken!). Dan ziet u de echte link die erachter schuilt en dan is vaak wel duidelijk dat die link naar een obscure bestemming leidt.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.