10 tips tegen phishing

15/06/2019 Door Dennis Grifhorst

Phishing-aanvallen zijn tegenwoordig populairder dan ooit bij cybercriminelen. Een phishing-mail is een e-mail die eruitziet alsof hij van een betrouwbare bron afkomstig is, en een reactie van de lezer uitlokt. De reactie kan een klik op een malafide link zijn, maar ook het ontfutselen van persoonlijke gegevens. Het kan ook dat je naar een nep-website wordt geleid waar men je om persoonlijke gegevens vraagt. Het gevaar schuilt erin dat deze mails en deze nepwebsites nauwelijks van echt te onderscheiden zijn.

Phishing-mails worden doorgaans niet opgemerkt door spamfilters en virusscanners. Om je zo goed mogelijk te wapenen tegen deze praktijken, geven we hieronder tien tips die helpen bij het herkennen van phishing-mails.

1. Vertrouw de weergegeven afzender niet klakkeloosBij een e-mail staat altijd wie de afzender is ‘Van: Intrum Justitia Incasso <intrumjustitia@gmail.com>’. Aan het eerste deel van de afzender te zien lijkt de mail afkomstig van incassobureau Intrum Justitia. Het tweede deel verraad echter dat het hier om een gmail-adres gaat. Het is bijzonder onwaarschijnlijk dat een organisatie als Intrum Justitia u mailt via een gmail-account. Dit geeft aan dat het geen authentiek bericht is. Sommige criminelen gebruiken mailadressen die er geloofwaardiger uitzien. Bijvoorbeeld intrumjustitia.com of intrumjustitia.net, terwijl het eigenlijke domein intrum.com is. Let hier dus goed op.

2. Klik niet zomaar op een link in een mailVoordat je op een link in een mail klikt kun je er eerst met je muis overheen bewegen. Het webadres waar de link naartoe verwijst wordt dan zichtbaar. In Phishing-mails ziet dit webadres er meestal erg onbetrouwbaar uit. Als je het niet vertrouwt, maar toch wil weten wat er achter de link schuil gaat, kun je een nieuw browser-venster openen en het webadres handmatig in de adresbalk intoetsen. Hoewel dit ook niet zonder gevaar is, is het beter dan het klikken op de link.

3. Let op spelfoutenDe grote bedrijven namens wie de phishing-mails worden verstuurd doen bijzonder veel moeite om ervoor te zorgen dat hun mails vrij van spelfouten zijn. Als je toch spelfouten ontdekt in een e-mail van zo een grote organisatie, dan is het zeer waarschijnlijk geen legitieme mail.

4. Blijf op de hoogte van phishing-techniekenEr worden vrijwel dagelijks nieuwe phishing-technieken bedacht. De grootste bedreigingen worden in de landelijke pers gemeld. Let daar goed op. Ondertussen kun je je kennis ook bijhouden op onafhankelijke websites als Fraudehelpdesk en Nationaal Cyber Security Centrum.

5. Een persoonlijke aanhef is geen garantieIn het verleden kon je een phishing-mail herkennen aan het feit dat er een generieke aanhef werd gebruikt als ‘Geachte klant’. Doordat er regelmatig databases met grote hoeveelheden persoonsgegevens worden gestolen, zijn cybercriminelen in staat om jouw mailadressen te matchen met jouw eigen voor- en achternaam. Hierdoor kunnen zij malafide mails sturen, die wel persoonlijk geadresseerd zijn.

6. Geef nooit persoonlijke informatieLegitieme banken en andere organisaties zullen nooit per e-mail om persoonlijke informatie vragen. Als dit wel gevraagd wordt weet je dat het foute boel is, en kun je de mail het beste direct verwijderen.

7. Controleer het veiligheidscertificaat van een websiteIn sommige gevallen is het op legitieme websites wel nodig om persoonlijke informatie te verschaffen. Als je dit doet, controleer dan altijd of het webadres (in de adresbalk van de browser) begint met https, het hangslotje van een veilige verbinding zichtbaar is, en het eerste deel van de tekst in de adresbalk in het groen wordt weergegeven.

8. Zorg dat je antivirus-software up-to-date isHoewel antivirussoftware niets kan doen tegen het fenomeen Phishing op zich, kan het wel waarschuwen als er een virus in de phishing mail verstopt zit.

9. Klik niet op bijgevoegde bestandenSommige phishing-mails worden verstuurd met een attachment. Hierin wordt kwaadaardige softwarecode verstopt, die geactiveerd wordt zodra erop geklikt wordt. Wees daarom te allen tijde zeer terughoudend met het klikken op attachments van mails waarvan je niet 100% zeker bent.

10. Geloof niet wat je zietPhishing-criminelen zijn vaak erg goed in wat ze doen. Ze kleden hun mails aan met originele bedrijfslogos, -taal, en styling. De mails worden ogenschijnlijk ondertekend door echte medewerkers van de legitieme organisatie voor wie ze zich uitgeven. Al deze uiterlijke eigenschappen geven geen garantie dat het een bonafide bericht is. Wees skeptisch, en als je ook maar een beetje twijfelt aan de echtheid, open de mail dan niet.