Hoe voorkom je phishing?
In 2021 werden meer dan 2,5 miljoen Nederlanders slachtoffer van online criminaliteit. Volgens het CBS ging het in 2% van de gevallen om phishing. De afgelopen jaren zijn criminelen steeds innovatiever geworden. Het wordt hierdoor steeds lastiger om phishing te herkennen en het te voorkomen.
Toch zijn er een aantal kenmerken waar je phishing aan herkent. Je krijgt een aantal tips om phishing te voorkomen en we vertellen hoe je de schade beperkt als je slachtoffer bent geworden.
- Wat betekent phishing?
- Hoe herken je phishing?
- Nepmail herkennen
- SMS
- QR-code
- 6 tips om phishing te voorkomen
- Voorbeeld van phishing via e-mail
- Voorbeelden van phishing via WhatsApp
- Voorbeelden van phishing via SMS
- Voorbeelden van phishing via een QR-code
- Beste software om phishing te voorkomen
- Per ongeluk op een phishing link geklikt? Dit moet je doen
- Wat kun je doen om bij onverhoopte phishing de schade te beperken?
- Waar moet ik phishing melden?
- Conclusies en aanbevelingen
Wat betekent phishing?
Bij phishing doen internetcriminelen zich voor als een betrouwbare partij om geld, persoonsgegevens of wachtwoorden te stelen. Een bekende vorm van phishing is waar oplichters een potentieel slachtoffer opbellen en zich voordoen als de bank om bankgegevens te stelen. Phishing vindt ook op het internet plaats. Zo sturen oplichters ook nepmails en nepberichten via SMS of WhatsApp om geld of gegevens van slachtoffers te stelen.
Hoe herken je phishing?
Waar je een nepmail vroeger door de vele spelfouten nog makkelijk kon herkennen, zijn oplichters tegenwoordig in staat om nepmails en nepwebsites te maken die identiek aan de originele zijn. Toch zijn er nog steeds genoeg kenmerken die op phishing kunnen duiden.
Nepmail herkennen
Een nepmail kun je soms aan de volgende kenmerken herkennen:
- Nep domein: Criminelen gebruiken een domein dat veel op het echte domein lijkt. Denk aan ‘Rab0bank’ voor Rabobank, of aan ‘Z1ggo’ voor Ziggo. Controleer altijd of het domein echt is.
- Onpersoonlijk: Een nepmail heeft vaak een algemene aanhef, zoals ‘Beste heer’ of ‘Geachte mevrouw’.
- Taalfouten: Je vindt in sommige gevallen spel- en taalfouten in de mail.
- Foute link: De kans is groot dat gevraagd wordt om ergens op te klikken. Wanneer je de muis op de link houdt en hier niet op klikt, zie je linksonder in de browser waar de link naartoe gaat. Klik hier nooit op wanneer de domeinnaam niet gelijk is aan de officiële domeinnaam.
- Spoed: Oplichters vragen je om iets snel uit te voeren om de druk op te voeren.
- Consequenties: Voer je de gevraagde handeling niet binnen een bepaalde periode uit? Dan volgen er consequenties. Zo proberen oplichters de druk verder op te voeren.
- Bestand of software als bijlage: De kans is groot dat ze een bestand als bijlage hebben toegevoegd. Dit is echter kwaadaardige software, zoals een virus of malware, dus download deze bijlage nooit.
Phishing vindt echter niet alleen per mail plaats. Oplichters gebruiken ook andere contactmogelijkheden en platforms zoals WhatsApp, LinkedIn, SMS, Facebook, Instagram en telefoon.
De laatste jaren is het aantal slachtoffers van WhatsApp-fraude sterk toegenomen. In de meeste gevallen doen criminelen zich voor als een vriend of familielid van het potentiële slachtoffer. Ze geven aan dat ze een nieuw nummer hebben en in de financiële problemen zitten, om vervolgens te vragen of het slachtoffer kan helpen door geld over te maken. Ontvang je een WhatsApp-berichtje en twijfel je aan de echtheid? Bel de ander dan altijd via het bij jou bekende telefoonnummer op, zodat je zeker weet dat je met de juiste persoon te maken hebt.
SMS
Criminelen sturen SMS-berichten naar potentiële slachtoffers en doen zich hier voor als een betrouwbare partij, zoals een bank, creditcardmaatschappij of softwarebedrijf. Hier plaatsen ze een kwaadaardige link of vragen om persoonsgegevens te delen. Reageer hier nooit op en verwijder deze SMS’jes direct.
QR-code
Sinds we betalingen via QR-code kunnen uitvoeren, gebruiken criminelen dit om geld van slachtoffers te stelen. Ze sturen een e-mail of brief uit naam van je bank en vragen je om een nieuwe bankpas aan te vragen. In de brief of e-mail staat een QR-code waar je dat mee kunt doen. Scan je de QR-code met je bankapplicatie? Dan ga je naar een website die op de website van de bank lijkt. Op deze website stelen criminelen gevoelige data, zoals persoons- of bankgegevens.
Ontvang je zo’n brief of e-mail? Gooi deze dan direct weg. In geval van twijfel kun je altijd via de officiële kanalen contact met je bank opnemen.
6 tips om phishing te voorkomen
Met de volgende 6 tips kun je jezelf tegen phishing beschermen.
Geef nooit wachtwoorden of pincodes
Een bedrijf of bank vraagt nooit naar je wachtwoord of pincode. Deel deze daarom ook nooit met iemand anders. Wees ook op je hoede wanneer organisaties naar andere persoonsgegevens vragen, omdat deze misbruikt kunnen worden (zoals een kopie van je ID-kaart of paspoort).
Gebruik antivirussoftware
Installeer antivirussoftware die snel schadelijke virussen en malware detecteert en opruimt. Er is veel verschillende software beschikbaar, zowel gratis als betaald. Je kunt het beste voor betaalde software kiezen, omdat de kwaliteit dan aanzienlijk beter is.
Controleer de afzender
De domeinnaam van een nepmail lijkt vaak sterk op de originele domeinnaam, dus controleer de domeinnaam van de afzender goed. Word je gebeld of krijg je een WhatsApp-bericht? Bel de afzender dan op met het telefoonnummer dat jij van hem of haar in bezit hebt om de identiteit te verifiëren.
Je kunt ook het telefoonnummer in een zoekmachine als Google invoeren. Soms staan phishing telefoonnummers op websites vermeld. Let op: niet alle phishing telefoonnummers zijn bekend. Dus ook wanneer nergens voor het telefoonnummer gewaarschuwd wordt kan het nog steeds om een phishing telefoonnummer gaan.
Klik nooit zomaar op een link
Criminelen sturen vrijwel altijd een link via e-mail, WhatsApp, SMS of ander kanaal. Klik niet zomaar op een link en controleer altijd de domeinnaam van de link, zodat je zeker weet dat je met de juiste partij te maken hebt.
Download geen bestanden
Bestanden kunnen virussen bevatten die geld of persoonsgegevens kunnen stelen. Download daarom nooit bestanden uit een e-mail wanneer je deze niet verwacht, en let goed op wanneer je bestanden van het internet downloadt.
Let op de tijdsdruk
Criminelen zetten je vaak onder druk om een handeling zo snel mogelijk uit te voeren. Doe je dat niet? Dan zitten daar heftige consequenties aan. Wees altijd op je hoede wanneer iemand je onder druk zet en controleer de identiteit van de afzender extra goed.
Voorbeeld van phishing via e-mail
Criminelen doen zich via e-mail vaak voor als een bank, maar kunnen zich ook voordoen als een bedrijf waar het potentiële slachtoffer klant van is, zoals KPN of PayPal. In de mail staat dat er nog een factuur open staat en deze zo snel mogelijk betaald dient te worden. Gebeurt dat niet? Dan wordt er een incassobureau ingeschakeld of wordt het account geblokkeerd.
Wanneer het potentiële slachtoffer op de link klikt, komt deze op een website die identiek is aan die van KPN of PayPal. Hier kunnen slachtoffers, na het invullen van de bankgegevens, het openstaande bedrag direct voldoen. De bankgegevens komen echter in handen van de criminelen terecht die vervolgens de bankrekening van het slachtoffer plunderen.
Voorbeelden van phishing via WhatsApp
Bij phishing op WhatsApp doen criminelen zich vaak voor als een vriend, kennis of familielid van het potentiële slachtoffer. Ze geven aan dat ze een nieuw nummer hebben omdat de vorige telefoon kapot is gegaan. Hierdoor kunnen ze ook niet meer hun bankapplicatie gebruiken, terwijl ze wel een factuur moeten betalen. De criminelen vragen daarom of het potentiële slachtoffer het bedrag kan voorschieten. Uiteindelijk wordt het geld niet naar het familielid, maar naar de criminelen verstuurd en is het slachtoffer het geld kwijt.
Soms wordt bij deze vorm van phishing de naam van PostNL of DHL misbruikt. Wanneer een potentieel slachtoffer iets via Marktplaats koopt, stuurt de verkoper een link waar je een verzendlabel kan kopen. De link leidt niet naar de daadwerkelijke website van PostNL of DHL, maar naar een nepwebsite waar de bankgegevens van slachtoffers gestolen worden.
Voorbeelden van phishing via SMS
Phishing via SMS lijkt vaak vanuit een bank of creditcardmaatschappij te komen. Zo ging er een phishing SMS rond waarbij Rabobank en ABN Amro aangaven dat de bankpas van het slachtoffer geblokkeerd werd. Het slachtoffer kon via een link in de SMS de blokkade voorkomen. Wanneer het slachtoffer op de link klikte kon deze de bankgegevens invullen om de blokkade te voorkomen. De gegevens kwamen zo in handen van de oplichters, die hiermee toegang tot de bankrekeningen kregen.
In het verleden is de naam van Woningnet voor phishing misbruikt. Klanten van Woningnet ontvingen een SMS (of WhatsApp-bericht) met een betaalverzoek. De link leidde niet naar de website van Woningnet, maar naar een nepwebsite waar bankgegevens gestolen werden.
Ontvang je een phishing SMS? Blokkeer het telefoonnummer dan en klik nooit op de link in het phishing bericht.
Voorbeelden van phishing via een QR-code
Bij QR-code fraude wordt vrijwel altijd de naam van een bank of creditcardmaatschappij misbruikt. In het verleden is de naam van ING, de B elastingdienst en DigiD misbruikt bij deze vorm van phishing.
Het slachtoffer ontvangt een brief waarin wordt aangegeven dat de betaalpas komt te vervallen. Een nieuwe betaalpas aanvragen kan zogenaamd door de QR-code in de brief met een smartphone te scannen. Wanneer het slachtoffer de QR-code scant, worden de persoons- en bankgegevens van het slachtoffer door de criminelen gestolen.
Beste software om phishing te voorkomen
Er zijn geen phishing checkers, maar veel browsers, zoals Chrome, Safari en Firefox, hebben ingebouwde software die kwaadaardige websites en e-mails kan herkennen. Je kunt daarnaast ook nog antivirussoftware gebruiken die malware en virussen detecteert en opruimt, zoals Avast, AVG, McAfee en Norton.
Per ongeluk op een phishing link geklikt? Dit moet je doen
Heb je per ongeluk een phishing mail geopend of op een phishing link geklikt? Dat betekent nog niet dat je direct gevaar loopt. Controleer eerst of er een bestand is gedownload. Is dat niet het geval? Sluit de website en voer voor de zekerheid een virusscan uit. Wanneer hier niks uitkomt, is er niks aan de hand. Meld de phishing wel bij de organisatie waarvan de naam misbruikt wordt.
Wanneer je wel een bestand hebt gedownload nadat er op de link is geklikt, is het belangrijk om het bestand te verwijderen (ook uit de prullenbak) en een virusscan uit te voeren. Ook dan meld je de phishing bij de organisatie waarvan de naam misbruikt wordt.
Wat kun je doen om bij onverhoopte phishing de schade te beperken?
Bij phishing hebben criminelen kwetsbare gegevens gestolen. Ben je slachtoffer van phishing geworden, dan is het belangrijk om de schade te beperken. Doe dan het volgende:
- Neem contact op met betrokken partijen: Ben je gehackt? Of is er geld gestolen? Neem dan zo snel mogelijk contact met betrokken partijen, zoals de bank of creditcardmaatschappij. Wanneer je op tijd bent, kunnen zij nog wat voor je betekenen om de schade te beperken.
- Verander je wachtwoorden: In het geval van diefstal van persoonsgegevens is het belangrijk om je wachtwoorden te veranderen. Verander ook het wachtwoord van je e-mailadres, want hiermee kunnen criminelen toegang tot alle gekoppelde accounts krijgen.
- Annuleer betalingen: Mocht je op tijd zijn, kun je mogelijk nog betalingen annuleren en terugdraaien. Neem hiervoor zo snel mogelijk contact op met je bank of creditcardmaatschappij.
- Verwijder malware: Gebruik antivirussoftware om malware te detecteren en te verwijderen. Weet je niet zeker of het is gelukt? Schakel dan de hulp van een cybersecurity expert in.
Meld een datalek: Wanneer er gegevens van klanten, leveranciers of personeel zijn gestolen, ben je verplicht om dit binnen 72 uur te melden bij de Autoriteit Persoonsgegevens.
Waar moet ik phishing melden?
Ben je slachtoffer van phishing? Bewaar dan zoveel mogelijk bewijs en doe direct aangifte bij de politie. Dit kan niet online en alleen op het politiebureau. Het is ook aan te raden om contact op te nemen met de organisatie waarvan de criminelen de naam misbruiken. Zo kan de organisatie anderen waarschuwen voor misbruik van de naam. Gaat het om phishing via telefoon? Vergeet dan nooit om ook het phishing telefoonnummer te melden.
Meld de phishing ook altijd bij de Fraudehelpdesk. Zo ontstaat er een beter beeld over de verschillende vormen van phishing en kunnen anderen op tijd gewaarschuwd worden.
Conclusies en aanbevelingen
Phishing komt steeds vaker voor en het is steeds moeilijker te herkennen. Om phishing te voorkomen is het belangrijk om altijd de domeinnaam te controleren, taal- en spelfouten te herkennen en op een onpersoonlijke aanhef te letten. Klik ook niet zomaar op een link en download geen onbekende bestanden.
In veel gevallen doen criminelen zich voor als een bank of creditcardmaatschappij. Ze vragen slachtoffers om persoons- en bankgegevens. Het is belangrijk om deze nooit zomaar te delen. Bij twijfel kun je naar het officiële telefoonnummer van de bank of creditcardmaatschappij bellen.
Op platforms zoals WhatsApp en social media doen oplichters zich vaak voor als een bekende van het slachtoffer. Maak nooit zomaar geld over naar iemand die hierom vraagt. Twijfel je? Bel dan altijd naar het bij jou bekende telefoonnummer.
FAQ hoe phising voorkomen
Phishing is een manier van oplichting waarbij criminelen geld of persoonsgegevens van slachtoffers stelen. Dat doen ze door neppe e-mails, berichten of brieven namens een betrouwbare partij te sturen. Ook bellen criminelen namens een betrouwbare partij naar slachtoffers om geld of gegevens te stelen.
Phishing is gevaarlijk omdat criminelen geld en persoonsgegevens kunnen stelen. De gevolgen voor de slachtoffers van phishing kunnen ontzettend groot zijn.
Je herkent phishing door goed te kijken naar de domeinnaam van de afzender, spelfouten, malafide bestanden, foute links en opgelegde tijdsdruk. Je kunt ook altijd op internet zoeken naar bekende phishing voorbeelden bij een bedrijf, om deze met jouw situatie te vergelijken.
Wereldwijd worden volgens onderzoek meer dan 150 miljoen phishing e-mails verstuurd. In Nederland worden naar schatting 50.000 phishingmails per dag verstuurd.
Als je slachtoffer van phishing bent geworden doe je eerst aangifte bij de politie. Vervolgens meld je de phishing bij de organisatie wiens naam de criminelen misbruiken en maak je melding bij de Fraudehelpdesk. Zo voorkom je dat er nog meer slachtoffers vallen.
Ja, het is belangrijk om phishing altijd bij de politie, Fraudehelpdesk en de organisatie die de criminelen misbruiken te melden.