Experts in communicatie

Banken, providers en andere instanties sturen wel eens een mail met een factuur. Vaak zit er zelfs een iDEAL-linkje in, zodat u direct kunt betalen. Handig toch? Ja en nee. Handig als het om een echte factuur gaat, knap vervelend als-ie nep is en het dus om internetfraude gaat. Deze vorm van internetfraude wordt ook wel phishing genoemd. Met een phishing mail wordt er letterlijk naar uw persoonlijke gegevens gevist. De ‘visser’ hoopt op deze manier dat u bijvoorbeeld uw bankgegevens achterlaat, met alle nadelige consequenties van dien. Een phishing mail lijkt vaak verraderlijk veel op een officiële mail. Het mailadres van de afzender kan overeenkomen, de logo’s lijken echt en er staan zelfs contactgegevens in.

Het valt niet mee om een phishing mail op uw computer te herkennen, maar op een smartphone is dit nog veel lastiger. In deze blog leggen wij u uit hoe u een phishing mail op uw mobiele telefoon herkent.

Navigeer direct naar het volgende onderdeel:

  1. Wees alert bij dwingend, urgent taalgebruik
  2. Kijk goed naar de afzender van de mail
  3. Persoonlijke gegevens
  4. Taalfouten zijn ongebruikelijk in officiële mails
  5. Klik nooit zomaar op een link
  6. Bekijk het bestandstype en open nooit een zipbestand

Geen tijd om alles te lezen? Hier downloadt u de infographic.

1. Wees alert bij dwingend, urgent taalgebruik

“Betaal binnen twee dagen, want anders..” Als u deze tekst leest moeten alle alarmbellen afgaan. Een bank of provider zou zijn klanten nooit met zulk taalgebruik aanspreken. Wanneer er gedreigd wordt dat u om welke reden dan ook afgesloten wordt, dient u dit eerst bij uw bank of provider te checken. Grote kans dat zij hiervan niet op de hoogte zijn en dat er dus niets aan de hand is.

Een fraudeur hoopt door een bepaalde mate van urgentie aan de mail toe te voegen dat de ontvanger snel handelt. En iemand die snel handelt, zoekt minder snel uit of het allemaal wel klopt. Niemand wil natuurlijk dat zijn betaalrekening opgeheven wordt, of dat de telefoon- of internetlijn afgesloten wordt.

2. Kijk goed naar de afzender van de mail

Het verraderlijke van mails is dat zelfs een mailadres dat van een betrouwbare afzender lijkt te zijn nep kan zijn. Een mailadres dat eindigt op @kpn.nl of @rabobank.nl kan net zo goed een alias zijn dat door een fraudeur wordt gebruikt. Enkele varianten hierop zijn bijvoorbeeld @kpn-heerenveen.nl, of @rabobank-middendrenthe.nl. Hoewel het officieel lijkt zegt het niets over de betrouwbaarheid van de afzender.

Waar u hierbij extra op kunt letten is of er een spelfout in het mailadres zit. Het kan zijn dat het mailadres dat de fraudeur in gedachten had al bezet is, waardoor hij zich genoodzaakt zag uit te wijken naar mailadres met een klein typefout.

3. Aanhef en persoonlijke gegevens

Een phishing mail begint vaak al onpersoonlijk met ‘Geachte klant’ of ‘Beste relatie’. Een instantie waarbij uw gegevens bekend zijn en die specifiek gegevens van u nodig heeft spreekt u in de meeste gevallen gewoon persoonlijk aan. Het “voordeel” voor fraudeurs wanneer zij een onpersoonlijke aanhef hanteren is dat zij met één druk op de knop honderden of zelfs wel duizenden mensen tegelijkertijd kunnen bereiken. Zo ‘hengelen’ zij in feite naar informatie, in de hoop dat er iemand toehapt.

Phishing mails vragen regelmatig naar uw persoonlijke gegevens, zoals uw geboortedatum, bankrekeningnummer of burgerservicenummer. Ook om creditcardgegevens en wachtwoorden wordt regelmatig gevraagd. Hoewel het niet ongebruikelijk is dat dit via de mail opgevraagd wordt, raden wij toch aan voor de zekerheid even telefonisch contact met de instantie op te nemen.

4. Taalfouten zijn ongebruikelijk in officiële mails

Spelfouten en officiële mails zijn geen gelukkig huwelijk. Fouten maken is menselijk, maar als u al een vermoeden had dat er iets niet in de haak is, dan kan dit een extra bevestiging zijn. Het is erg onwaarschijnlijk dat een officiële instantie iemand die een taal matig beheerst verantwoordelijk stelt voor klantcommunicatie. Bovendien zijn instanties enorm serieus wanneer het over mailcontact met hun klanten gaat. Het is een verlengstuk van hun merk, dus spelfouten kunnen al gauw amateuristisch overkomen. Dat is niet bepaald een associatie die veel merken op willen roepen. Bekijk daarom de rest van de mail extra goed, voordat u een oordeel velt.

5. Klik nooit zomaar op een link

Op een computer checkt u eenvoudig waar een link naartoe leidt door er met de muis overheen te bewegen. Dit is op een smartphone iets complexer. Om dit te bereiken houdt u uw vinger een moment op de link, waarna het echte linkadres verschijnt. Het is namelijk mogelijk een link naar een phishingwebpagina te camoufleren door een link te gebruiken die er wel echt uit ziet.

Dit gaat als volgt. In de mail kan prima een link staan die ogenschijnlijk naar www.kpn.nl/account leidt. Maar, een fraudeur kan achter deze link een andere link plakken, zoals www.kpn.inloggen.nl/account. Het lijkt dan om een ‘echt’ webadres te gaan, maar niets is minder waar. De website van KPN kan volledig nagebouwd zijn om het extra echt te laten lijken, terwijl het dat niet is. In principe kan iedereen de domeinnaam www.kpn.inloggen.nl kopen, zolang deze beschikbaar is. We weten natuurlijk niet wie er wel achter deze domeinnaam zit, maar ik durf te wedden dat het niet de KPN is.

6. Bekijk het bestandstype en open nooit zomaar een zipbestand

Virussen en malware wordt verspreid via zipbestanden. Wanneer u dit type bestand uitpakt, infecteert het virus uw smartphone of computer. Vaak gebeurt dit zonder dat u het doorheeft. Een zipbestand kan bijvoorbeeld een keylogger bevatten. Een keylogger geeft alles wat u op uw toetsenbord intoetst door aan de hacker. De hacker hoopt natuurlijk dat dit ook creditcardgegevens of andere persoonlijke gegevens zijn. Open dus nooit zomaar een bestand dat u niet verwacht.

Extra tips

  • Klinkt iets te mooi om waar te zijn? Dan is dit vaak ook zo. Een Nigeriaanse prins deelt niet zomaar miljoenen uit en die Oekraïense schoonheid heeft niet zomaar ineens enorm veel interesse in je. Onze excuses.
  • Blijf altijd sceptisch. Alleen omdat een mail overtuigende logo’s, taal en een ogenschijnlijk valide mailadres hanteert, hoeft het nog niet echt te zijn. Bij twijfel kunt u altijd contact opnemen met de instantie en vragen of deze mail bij hen bekend is.
  • Het ligt misschien voor de hand, maar update uw computer, smartphone of ieder ander apparaat dat met het internet in contact staat altijd direct zodra er een software-update beschikbaar komt. Als er een beveiligingslek in een besturingssystem voorkomt wordt dit vaak middels een software-update gedicht. Niet updaten betekent simpelweg langere tijd blootgesteld zijn aan de risico’s en daar wordt niemand blij van, behalve de hackers.

Wanneer kunt u wel een bestand of link openen?

Heeft u net een online bestelling geplaatst en volgt er daarna direct een mail? Dan is de kans groot dat dit wel gewoon klopt. Het bestand kan bijvoorbeeld de factuur zijn of informatie over de verzending.

Wanneer kunt u een bestand of link beter niet openen?

Verwacht u geen pakketje of ontvangt u zomaar uit het niets een mail van uw bank of provider? Let dan extra op. Het kernwoord in de eerste zin is verwacht. Als iets zomaar uit de lucht komt vallen en er moet direct actie ondernomen worden, dan is dit waarschijnlijk een phishing mail.

Een nieuwe vorm van phishing: spearphishing

Steeds vaker worden mensen slachtoffer van zogenaamde spearphishers. In tegenstelling tot hetgeen hierboven beschreven staat, is spearphishing een persoonlijke vorm van phishing. De phisher doet zich bijvoorbeeld op WhatsApp voor als een goede vriend, familielid of bekende en zegt dat-ie een nieuw telefoonnummer heeft. De vervolgvraag is meestal hetzelfde: of u wel even een betaling wilt doen.

Het gevaarlijke aan deze vorm van phishing is dat u misschien niet eens in de gaten heeft dat u gephisht wordt. Het WhatsApp-profiel kan identiek zijn aan degene die de phisher zegt te zijn. Eén van de nadelen van de populariteit van sociale media is dat veel informatie gewoon openbaar toegankelijk is. Het kost tegenwoordig weinig moeite om je online als iemand anders voor te doen.