Phishing: wat is het en wat kun je ertegen doen?

76% van de ondernemers heeft wel eens te maken met online criminaliteit zoals phishing, blijkt uit onderzoek door KPN. Phishing is steeds geraffineerder. Wat is phishing precies? Hoe herken je het en wat doe je als je phishingberichten ontvangt of er zelfs in bent getrapt? In dit artikel lees je alle belangrijke informatie.

Wat is phishing?

Phishing is een vorm van internetfraude. Cybercriminelen lichten je op door je te lokken naar een valse website. Je ontvangt een mail, sms of WhatsApp-bericht van een ogenschijnlijk betrouwbare organisatie, met daarin een link naar een website waar naar je gegevens wordt gevraagd. Met deze gegevens probeert de fraudeur geld of belangrijke informatie van je te stelen. Denk aan je wachtwoord, BSN-nummer, DigiD, bankgegevens of een kopie van je paspoort.

Valse website of schadelijke software

De fraudeurs ontvangen deze informatie omdat je dit hebt ingevuld op een valse website, die een kopie is van een echte website. Je denkt dan dus dat je op een betrouwbare website zit, maar hebt eigenlijk te maken met de URL van een bedrieger. Daarnaast kan phishing bestaan uit het downloaden van schadelijke software, zoals malware of ransomware dat op je apparaat (zoals je laptop of telefoon) wordt geïnstalleerd.

Phishingberichten kunnen afkomstig zijn van een nepaccount, maar ook van een account dat is gehackt.

Wat is spear phishing?

Spear phishing is een geraffineerde vorm van phishing waarbij cybercriminelen niet op grote schaal onpersoonlijke phishingberichten uitsturen, maar zich juist op een specifiek persoon of bedrijf richten. Dit maakt het nog moeilijker om phishing te herkennen.

Op welke manieren kunnen oplichters contact met je opnemen?

• E-mail
• Sms
• WhatsApp-bericht
• Telefonisch
• QR-code (vaak verzonden per post)

Wat kan je worden gevraagd bij phishing?

Je kunt om verschillende acties worden gevraagd in een phishingbericht, zoals:

• Een link openen
• Een bestand downloaden
• Een bijlage openen
• Een betaallink of -verzoek openen

Als je daarop klikt of het bestand opent, word je vervolgens gevraagd om gevoelige informatie of inloggegevens te delen.

Wat zijn de gevolgen van phishing?

De gevolgen kunnen groot zijn als je in phishing trapt, of als dit bij een van je medewerkers gebeurt:

• Gestolen gegevens kunnen op straat komen te liggen door een datalek.
• Je bedrijf kan reputatieschade oplopen.
• Je identiteit kan worden gestolen.
• Je computer of mobiele apparaat kan geïnfecteerd raken met malware. Dat is schadelijke software, zoals een bot of virus. Een aanvaller kan daarmee toegang krijgen tot je persoonlijke informatie of je apparaat ‘gijzelen’ waarna er geld wordt geëist. Zo kan dit je financieel verlies opleveren.

Wat moet je doen als je in phishing bent getrapt?

Ben je in de val getrapt en heb je op een link geklikt of een bijlage geopend in een valse mail of sms? Onderneem dan direct actie:

• Verander zo snel mogelijk alle belangrijke wachtwoorden
• Blokkeer je accounts en/of bankrekening
• Doe aangifte bij de politie
• Meld in je omgeving dat men geen vreemde berichten of mails van jou moet openen en niet op links moet klikken
• Meld phishing bij de organisatie die wordt nagedaan (zoals een overheidsinstantie of bank) en bij de Fraudehelpdesk

Hoe herken je phishing?

Phishing was jarenlang makkelijk te herkennen aan slecht taalgebruik en opzichtige fouten in het mailadres van de afzender. Maar tegenwoordig gaat het er een stuk professioneler aan toe. Zo maken cybercriminelen gebruik van domeinnamen die lijken op officiële instanties, zijn phishingberichten voorzien van herkenbare logo’s van grote organisaties en zijn de opmaak en inhoud van berichten geloofwaardig.

Toch kun je nog op verschillende manieren zien of je met phishing te maken hebt, als je goed kijkt.

Tips om phishing te herkennen

• Phishingberichten gaan vaak over een betaling die je nog moet doen, een prijs die je hebt gewonnen of een veiligheidsmaatregel die je moet treffen omdat iemand zogenaamd fraude heeft gepleegd met je gegevens.
• Phishingberichten bevatten vaak de waarschuwing dat je snel actie moet ondernemen. Je leest bijvoorbeeld: ‘Reageer vandaag nog’.
• Het mailadres waarvan een phishingbericht afkomstig is, klopt doorgaans niet. Het kan lijken op het mailadres van een officiële instantie, maar als je dit controleert is het hier vaak een afgeleide van.
• Phishingberichten komen vaak op onverwachte momenten binnen, bijvoorbeeld midden in de nacht.
• Phishingberichten komen soms in je spambox terecht.
• Phishingberichten bevatten soms onpersoonlijke aanspreektitels, zoals 'geachte klant'.
• Phishingberichten kunnen taal- en stijlfouten hebben, al was dit in het verleden vaker het geval.

Op Veiliginternetten.nl vind je meer tips om je te beschermen tegen phishing en andere vormen van cybercrime.

Zo voorkom je dat je in phishing trapt

• Wees extra alert wanneer je (of wanneer een medewerker binnen je bedrijf) een mail ontvangt van een bank, overheidsinstantie of andere officiële organisatie.
• Weet dat overheidsinstanties en banken nooit per mail, per bericht of aan de telefoon om persoonlijke gegevens of een betaling vragen. Mails en berichten van dit soort instellingen bevatten dus ook nooit een linkje, betaalverzoek, QR-code of bijlage waarmee je een betaling kunt voldoen.
• Controleer via Checkjelinkje.nl waar je met de link uitkomt en of deze veilig is. Je kunt ook de speciale app downloaden.
• Controleer of de website versleuteld is met het SSL-certificaat of https-protocol. Dit herken je aan het slotpictogram (zie hieronder) en aan de URL die begint met https:// in plaats van http://. Let wel: criminelen kunnen een certificaat installeren op een valse website, waardoor dit geen volledige zekerheid biedt.
• Neem telefonisch contact op met de instantie om te achterhalen of je met oplichting te maken hebt. Zoek het officiële telefoonnummer van de instantie op. Bel dus nooit een nummer dat in een verdachte mail staat. Antwoord daarnaast niet direct op de mail of sms, dit geeft de fraudeur de kans om jou van de echtheid te overtuigen.
• Gooi het phishingbericht weg. Als je direct het idee hebt dat iets niet in de haak is, hoef je het niet eens te openen.
• Gebruik liever geen openbare wifi, want dit biedt oplichters manieren om toegang te krijgen tot je gegevens.

Help phishing voorkomen door het te melden

Je kunt organisaties helpen door phishing te melden. Zo kunnen andere mensen worden beschermd tegen phishing, oplichting en malware. Veel bedrijven hebben hiervoor een speciaal mailadres aangemaakt waar je de phishingmail naartoe kunt sturen.

Daarnaast kun je phishing melden bij de Fraudehelpdesk: daar onderzoeken ze het bericht. Als het bericht wordt geïdentificeerd als phishing of malware, krijg je meer informatie over de valse mail met tips over hoe je er veilig mee om kunt gaan.

Phishing voorkomen op Shopify

Wil je je Shopify webshop beschermen tegen phishing? Lees informatie over het beschermen van je account op Shopify.

Shopify vraagt je nooit om gevoelige informatie rechtstreeks via een mail, bericht of bestandsbijlage. Heb je als Shopify webshop eigenaar een phishingbericht ontvangen? Stuur het dan door naar safety@shopify.com.

Shopify stelt een lijst op van aanvallen die specifiek op ondernemers zijn gericht, om jou en je gegevens beter te beschermen.

---