Phishing is een veelvoorkomende vorm van cybercriminaliteit waarbij criminelen mensen proberen te misleiden om persoonlijke informatie te stelen, zoals wachtwoorden, creditcardnummers of andere gevoelige gegevens. Dit doen ze door zich voor te doen als een betrouwbaar bedrijf of persoon, via e-mail, sms, chat of telefoon.
Wat is phishing precies?
Phishing is een digitale aanvalsmethode waarbij een crimineel een valse identiteit aanneemt om slachtoffers te verleiden persoonlijke gegevens te overhandigen. De aanvaller stuurt bijvoorbeeld een urgente e-mail die eruitziet alsof die van je bank komt, met een link naar een nepwebsite die sprekend lijkt op de echte. Vul je daar je inloggegevens in, dan gaan die rechtstreeks naar de crimineel, die ze vervolgens gebruikt om toegang te krijgen tot je echte account.
Welke vormen van phishing zijn er?
E-mail phishing
De meest voorkomende variant. De crimineel stuurt een e-mail met een gevoel van urgentie, bijvoorbeeld dat je account is gehackt en je direct moet handelen. De meegestuurde link leidt naar een nepwebsite waar je gegevens worden gestolen.
Vishing (telefonisch)
Bij vishing belt een crimineel je op, vaak met de bewering dat hij van de technische dienst van een groot bedrijf zoals Microsoft is. Hij vertelt dat je computer besmet is en vraagt toestemming om op afstand in te loggen. Eenmaal binnen heeft hij toegang tot al je persoonlijke bestanden, en in sommige gevallen installeert hij zelf malware om daarna betaling te eisen voor de "oplossing".
Smishing (sms)
Hierbij probeert de crimineel via een tekstbericht op je telefoon gevoelige informatie te ontfutselen, vaak met een verdachte link of een nep-verzoek.
Spear phishing
Een gerichte aanval op één specifiek persoon of een kleine groep, in plaats van een breed publiek. De berichten zijn persoonlijker en daardoor overtuigender.
Whaling
Een vorm van spear phishing gericht op personen in hogere posities, zoals directeuren of eigenaren van bedrijven, vanwege hun toegang tot grotere hoeveelheden gevoelige informatie.
Hoe herken je een phishingpoging?
De meeste phishingaanvallen spelen in op emotie, met name urgentie. Ze zetten je onder druk om snel te handelen. Betrouwbare bedrijven doen dit zelden.
Let op de volgende signalen:
- Een bericht vraagt je om direct actie te ondernemen of dreigt met gevolgen
- De afzender of het telefoonnummer klopt niet helemaal
- Een link in het bericht leidt naar een onbekend of afwijkend webadres
- Het bericht bevat taalfouten of een onpersoonlijke aanhef
Een handige truc bij verdachte links: beweeg je muis over de link zonder te klikken. De werkelijke URL verschijnt dan onderaan je scherm. Ziet het domein er onbekend of vreemd uit, klik dan niet.
Hoe bescherm je jezelf tegen phishing?
Gebruik meerfactorauthenticatie (MFA)
Meerfactorauthenticatie voegt een extra beveiligingslaag toe bovenop je wachtwoord. Zelfs als een crimineel je inloggegevens bemachtigt, heeft hij ook toegang tot je telefoon nodig om in te kunnen loggen. De meeste grote diensten zoals Google, je bank en sociale media ondersteunen dit.
Klik niet zomaar op links
Ga bij twijfel altijd handmatig naar de officiele website door het adres zelf in te typen in je browser. Controleer bij e-mails altijd het volledige e-mailadres van de afzender, niet alleen de weergegeven naam.
Verwijder je persoonlijke gegevens van het internet
Cybercriminelen gebruiken informatie die over jou online beschikbaar is om geloofwaardiger over te komen. Zogenoemde datamakelaars verzamelen en verkopen jouw gegevens zonder jouw toestemming aan adverteerders, telemarketeers en anderen. Je kunt bij deze partijen een verzoek indienen om je gegevens te laten verwijderen.
Controleer of je gegevens al zijn uitgelekt
Via Have I Been Pwned kun je gratis controleren of je e-mailadres voorkomt in bekende datalekken. Is dat het geval, verander dan direct de wachtwoorden van de betrokken accounts en schakel meerfactorauthenticatie in.
Wat te doen als je slachtoffer bent geworden?
Ontdek je dat je op een phishinglink hebt geklikt of gegevens hebt ingevuld op een nepwebsite?
- Verander direct het wachtwoord van het betreffende account
- Stel meerfactorauthenticatie in als dat nog niet het geval is
- Controleer je bankafschriften op onbekende transacties
- Meld het bij de organisatie die werd nagebootst
- Doe aangifte bij de politie via politie.nl
Phishing wordt steeds geraffineerder, maar de kern blijft hetzelfde: criminelen spelen in op vertrouwen en urgentie. Wie dat weet, is al een stap voor.
