Hoe u phishing-e-mails en -oplichting herkent

Er zwemmen veel vissen in de zee. Elke dag worden er miljoenen phishing-e-mails verstuurd met maar één doel: de ontvanger oplichten. Of ze nu bedoeld zijn om uw bankrekening te plunderen, uw persoonsgegevens te stelen of allebei, hier leest u hoe u phishing-e-mails herkent en hoe u zichzelf kunt beschermen. Bepaalde phishing-e-mails zijn tegenwoordig moeilijker te herkennen. Ze lijken afkomstig te zijn van bedrijven die u kent en vertrouwt, zoals uw bank of uw creditcardmaatschappij, of van zakelijke diensten, zoals Netflix, PayPal en Amazon. Sommige zien er zeer overtuigend uit. De tekst en lay-out zijn helder en de algehele presentatie ziet er professioneel uit. Maar toch klopt er iets niet. En er is ook zeker iets mis met dit soort e-mails. Ze zijn geschreven door een oplichter. Phishing-e-mails gooien een hengel uit met een haak en een aas. Een dringend of verleidelijk bericht is het aas en malware of een link naar een valse inlogpagina de haak. Als de ontvanger eenmaal heeft toegehapt, kunnen er verschillende dingen gebeuren. Via de valse inlogpagina kunnen accountgegevens en persoonsgegevens worden gestolen. Of de malware installeert keylogging-software om gegevens te stelen, virussen die een achterdeur openen waardoor gegevens worden weggesluisd, of ransomware die een apparaat met alles erop gegijzeld houdt totdat er losgeld is betaald. Deze aanvallen kunt u ontwijken als u weet hoe u ze herkent. Er zijn signalen waarop u moet letten. Laten we eens kijken hoe vaak deze aanvallen voorkomen, een paar voorbeelden uitpluizen en vervolgens uiteenzetten waar u op moet letten. 

Statistieken over phishingaanvallen: miljoenen pogingen per jaar 

In 2022 meldden alleen al in de VS meer dan 300.000 slachtoffers een phishingaanval bij de FBI. Phishingaanvallen stonden bovenaan de lijst met gemelde klachten, ongeveer zes keer zoveel als de tweede grootste klacht, het stelen van persoonsgegevens. Het werkelijke cijfer ligt ongetwijfeld hoger, aangezien niet alle aanvallen worden gemeld. Als we kijken naar phishingaanvallen wereldwijd, dan blijkt uit één onderzoek dat er alleen al in de tweede helft van 2022 meer dan 255 miljoen phishingpogingen zijn gedaan. Dat is een stijging van 61% ten opzichte van het jaar daarvoor. Een ander onderzoek laat zien dat 1 op de 99 verzonden e-mails een phishingaanval was. Oplichters zullen echter niet altijd zo’n breed net uitgooien. Statistieken wijzen op een toename van gerichte spearphishingaanvallen, waarbij de aanvallers het op een specifieke persoon hebben voorzien. Vaak richten ze zich op mensen bij bedrijven die de bevoegdheid hebben om geld over te maken of betalingen te doen. Andere doelwitten zijn mensen die toegang hebben tot gevoelige informatie, zoals wachtwoorden, vertrouwelijke bedrijfsgegevens en accountgegevens. De prijs van deze aanvallen kan dus hoog oplopen. In 2022 ontving de Amerikaanse FBI 21.832 klachten van bedrijven die meldden dat ze het slachtoffer waren geworden van een spearphishingaanval. De gecorrigeerde verliezen bedroegen meer dan 2,7 miljard dollar, een gemiddelde kostenpost van 123.671 dollar per aanval. Dus hoewel er geen exacte statistieken zijn over phishingaanvallen, is het overduidelijk dat phishingaanvallen zeer veel voorkomen. En kostbaar zijn. 

Hoe ziet een phishingaanval eruit? 

Bijna elke phishingaanval begint met een dringende boodschap. Een boodschap die bedoeld is om u tot actie aan te zetten. Enkele voorbeelden: 

• • “U hebt een geldprijs gewonnen in onze loterij! Stuur ons uw bankgegevens zodat wij het gewonnen bedrag kunnen overmaken!”
  • “U bent achterstallige belasting verschuldigd. Stuur onmiddellijk een betaling via deze link of er wordt een deurwaarder ingeschakeld.” 
  • “We hebben een mogelijk verdachte activiteit op uw creditcard gezien. Volg deze link om uw accountgegevens te bevestigen.” 
  • “Er is een ongeautoriseerde poging gedaan om toegang te krijgen tot uw streamingaccount. Klik hier om uw identiteit te verifiëren.” 
  • “Uw pakket kon niet worden bezorgd. Klik op het bijgevoegde document om instructies voor de bezorging door te geven.” 

  Door het fraaie ontwerp in combinatie met de officieel uitziende logo’s, is het niet vreemd dat veel mensen toch op de link klikken of de bijlage openen bij dit soort berichten. En dat is het lastige van phishingaanvallen. Oplichters hebben hun manipulatieve spel de afgelopen jaren naar een hoger niveau getild. Hun phishing-e-mails zien er vaak overtuigend uit. Nog niet zo lang geleden kon u ze vrij makkelijk herkennen aan de spel- en taalfouten, het slechte ontwerp en de logo’s die er uitgerekt uitzagen of de verkeerde kleuren hadden. Dit soort slecht uitgevoerde phishingaanvallen komt u nog steeds tegen. Maar tegenwoordig zijn de aanvallen vaak veel geraffineerder. Ze zien eruit als een echt bericht of een echte melding, bijvoorbeeld:  Stel dat u een e-mail krijgt waarin staat dat er een probleem is met uw PayPal-account. Zou u uw accountgegevens hier invoeren als u op deze pagina terechtkwam? Dan hebt u uw gegevens aan een oplichter gegeven. We hebben het bovenstaande screenshot gemaakt toen we een phishingaanval tot het einde volgden, natuurlijk zonder bestaande gegevens in te voeren. We voerden zelfs een totaal absurd e-mailadres en wachtwoord in, en we kwamen nog steeds binnen. Dat komt omdat de oplichters uit waren op andere gegevens, zoals we hieronder laten zien. Toen we de site nader bekeken, bleek die er behoorlijk goed uit te zien. Het ontwerp was in lijn met de stijl van PayPal en de links in de voettekst zagen er officieel uit. Maar toen keken we wat beter.  Let op de subtiele fouten, zoals “card informations” en “Configuration of my activity”. Bedrijven maken ook wel eens taalfouten, maar zulke fouten in een interface wijzen erop dat u moet oppassen. Bovendien vraagt de site al in een heel vroeg stadium om creditcardgegevens. Allemaal verdacht. Hier worden de aanvallers echt brutaal.   Ze vragen om “bank informations”, en niet alleen het routing- en rekeningnummer, maar ook het wachtwoord van de rekening. Zeer brutaal dus. En volkomen nep. Alles bij elkaar blijkt uit de subtiele fouten en de directe vraag om de volledige rekeninggegevens dat dit oplichterij is. Maar laten we een paar stappen terug doen. Wie heeft de phishing-e-mail verzonden die ons naar deze kwaadaardige site heeft geleid? Dat was “paypal@inc.com”.  En dat is duidelijk een vals e-mailadres. Het is een typische afzender voor een phishingaanval, waarbij een aanvaller een bekende naam in een niet-gerelateerd e-mailadres stopt, in dit geval “inc.com”. Aanvallers gebruiken soms ook nepadressen die op officiële adressen lijken, zoals “paypalcustsv.com”. Allemaal bedoeld om u te misleiden. Ook de kwaadaardige site waar de phishing-e-mail ons naartoe stuurde, gebruikt een gespooft (vervalst) adres. Het is geen officieel PayPal-adres, wat een onomstotelijk bewijs is van een phishingaanval.  Bedrijven versturen alleen e-mails met hun officiële domeinnaam, net zoals ze voor hun sites alleen hun officiële domeinnaam gebruiken. Sommige bedrijven en organisaties vermelden deze officiële domeinen op hun websites om phishingaanvallen tegen te gaan. Zo heeft PayPal een pagina waarop duidelijk staat hoe er wel en niet contact met u wordt opgenomen. McAfee heeft een hele pagina gewijd aan het voorkomen van phishingaanvallen. Hierop staan ook de officiële e-mailadressen die we gebruiken. 

  Andere voorbeelden van phishingaanvallen 

  Niet alle oplichters zijn zo geraffineerd, tenminste niet in de manier waarop ze phishing-e-mails ontwerpen. Als voorbeeld kunnen we een paar phishing-e-mails bespreken die er op het eerste gezicht uitzien als legitieme berichten van McAfee. In dit eerste voorbeeld is van alles aan de hand. De oplichters proberen het McAfee-merk na te bootsen, maar slagen daar niet in. Toch doen ze verschillende dingen om overtuigend over te komen.  Let op het gebruik van fotografie en de afbeelding van onze software in een doos, gecombineerd met de prominente kop “Act now”. Dat is niet de fotografiestijl die wij gebruiken. Nu zullen de meeste mensen dat niet weten. Sommigen zullen echter wel even gedacht hebben “Hè? Dat lijkt niet echt op wat McAfee me gewoonlijk stuurt”. Verder zijn er een paar fouten met hoofdletters en een paar verkeerd geplaatste leestekens. Bovendien zien de knop “ORDER NOW” en het pictogram “60% OFF” eruit alsof ze er op het laatste moment nog tussen zijn geplakt. Let ook op de volgende tekst, die is bedoeld om de lezer bang te maken: “There are (42) viruses on your computer …” Alles bij elkaar kan iemand bij nadere beschouwing vrij snel zien dat dit oplichterij is. De volgende advertentie valt in een minder verfijnde categorie. Het is praktisch alleen maar tekst en heel veel rode tekst bovendien. Opnieuw staan er veel hoofdletterfouten in en ook een paar grammaticale blunders. Al met al leest het niet zo soepel. En het ziet er ook niet aantrekkelijk uit, zoals u van een echte e-mail over uw account zou verwachten.  Let in dit voorbeeld op de disclaimer “advertisement” onderaan, waarmee wordt geprobeerd de aanval enige legitimiteit te geven. Zie ook de valse “Unsubscribe”-link, plus het (doorgekraste) postadres en telefoonnummer, waarmee ook wordt geprobeerd de advertentie er zo echt mogelijk uit te laten zien. In dit laatste voorbeeld klopt ons lettertype niet, en het handelsmerksymbool staat op een rare plek. De gebruikelijke taal- en hoofdletterfouten duiken ook weer op, maar deze keer pakken de oplichters het net ietsje anders aan.  Ze hebben een kleine timer onderaan de e-mail gezet. Dat voegt een zekere mate van urgentie toe. Ze willen u de gedachte opdringen dat u nog maar ongeveer een half uur de tijd hebt om u te registreren voor bescherming. Dat is natuurlijk onzin. Ziet u terugkerende thema’s? Er zijn er zeker een paar. Met deze voorbeelden in gedachten kunnen we wat dieper op de details ingaan: hoe u phishingaanvallen kunt herkennen en hoe u ze helemaal kunt voorkomen. 

  Hoe u phishingaanvallen kunt herkennen en voorkomen. 

  Zoals we al opmerkten, zien sommige phishingaanvallen er direct al verdacht uit. Toch kost het soms wat tijd en is een kritisch oog nodig om ze te ontdekken. En daar rekenen oplichters op. Ze hopen dat u snel in actie komt of misschien een beetje afgeleid bent wanneer u uw e-mails of berichten doorneemt. Zo afgeleid dat u misschien niet even stilstaat bij de vraag of dit echt een legitiem bericht is. Een van de beste manieren om oplichters geen kans te geven, is even de tijd te nemen om een bericht nauwkeurig te bekijken en daarbij het volgende in gedachten te houden: 

  Ze spelen in op uw emoties 

  Angst. Dat is een belangrijke. Misschien is het een boos klinkende e-mail van een overheidsinstantie waarin staat dat u achterstallige belasting verschuldigd bent. Of misschien is het een familielid dat om geld vraagt omdat er een noodgeval is. Wat het ook is, oplichters zullen angst zeker als motivatie gebruiken. Als u zo’n bericht ontvangt, denk dan twee keer na. Controleer of het echt is. Bijvoorbeeld die e-mail over verschuldigde belasting. In de VS heeft de Internal Revenue Service (IRS) specifieke richtlijnen over hoe en wanneer ze contact met u opnemen. In de regel zullen ze een brief sturen via de reguliere post die bezorgd wordt door de U.S. Postal Service. Ze bellen niet en oefenen geen druk uit (dat doen alleen oplichters). Ook andere landen hanteren vergelijkbare normen. 

  Ze vragen u om NU te handelen 

  Oplichters zijn ook gek op urgentie. Phishingaanvallen spelen direct in op emoties om te zorgen dat u snel in actie komt. Oplichters kunnen dreigementen of agressieve taal gebruiken om dat gevoel van urgentie te creëren. Dit zijn duidelijke tekenen van mogelijke oplichterij. Natuurlijk kunnen legitieme bedrijven en organisaties contact met u opnemen om u op de hoogte te stellen van een betalingsachterstand of mogelijke illegale activiteiten in een van uw accounts. Toch zullen ze een veel professionelere en neutralere toon aanslaan dan oplichters dat doen. Het is bijvoorbeeld hoogst onwaarschijnlijk dat uw plaatselijke elektriciteitsbedrijf direct de stroom afsluit als u uw achterstallige rekening niet onmiddellijk betaalt. 

  Ze willen dat u op een bepaalde manier betaalt 

  Cadeaubonnen, cryptovaluta, postwissels: deze vormen van betaling zijn ook een teken dat u mogelijk met een phishingaanval te maken hebt. Oplichters geven de voorkeur aan deze betalingsmethoden omdat die moeilijk op te sporen zijn. Bovendien hebben consumenten dan weinig of geen mogelijkheden om hun geld terug te krijgen. Legitieme bedrijven en organisaties vragen niet om betalingen via deze methoden. Als u een bericht krijgt waarin om betaling wordt gevraagd via een van deze methoden, kunt u er zeker van zijn dat het om oplichterij gaat. 

  Ze gebruiken verkeerde adressen 

  Er is nog een manier waarop u een phishingaanval kunt herkennen. Kijk goed naar de adressen die in het bericht worden gebruikt. Als het een e-mail is, kijk dan naar het e-mailadres. Misschien komt het adres helemaal niet overeen met de naam van het bedrijf of de organisatie. Of misschien wel een beetje, maar zijn er een paar letters of woorden aan de naam toegevoegd. Dat is ook een teken dat u met een phishingaanval te maken kunt hebben. Als het bericht een weblink bevat, moet u die ook nauwkeurig onder de loep nemen. Als de naam er onbekend of anders uitziet dan u hem eerder hebt gezien, kan dat ook betekenen dat het een phishingpoging is. 

  Bescherm uzelf tegen phishingaanvallen 

  1. Ga direct naar de bron. Sommige phishingaanvallen kunnen er overtuigend uitzien. Zo overtuigend zelfs dat u actie wilt ondernemen, bijvoorbeeld als uw bank vreemde activiteiten op uw rekening meldt of als een factuur nog niet betaald is. Klik in deze gevallen niet op de link in het bericht. Ga rechtstreeks naar de website van het bedrijf of de organisatie in kwestie en ga vanaf daar naar uw account. Als u vragen hebt, kunt u ook altijd contact opnemen via de klantenservice of de officiële webpagina.  
  2. Controleer de afzender. Kijk uit voor e-mails die een spearphishingaanval kunnen zijn. Als een e-mail afkomstig lijkt te zijn van een familielid, vriend of zakenrelatie, neem dan contact op met deze persoon om te controleren of diegene de e-mail heeft gestuurd. Vooral als er om geld wordt gevraagd, een twijfelachtige bijlage of link wordt meegestuurd, of als de e-mail gewoon niet helemaal klinkt zoals u zou verwachten. Stuur even een appje, bel de persoon in kwestie of vraag het rechtstreeks. Beantwoord de e-mail niet, want deze kan geïnfecteerd zijn.  
  3. Download geen bijlagen. Bij sommige phishingaanvallen worden bijlagen gestuurd die boordevol malware zitten, zoals de ransomware, virussen en keyloggers die we eerder hebben genoemd. Oplichters kunnen deze eruit laten zien als een factuur, een rapport of zelfs een aanbieding voor kortingsbonnen. Als u een bericht ontvangt met een dergelijke bijlage, verwijder het dan. En open zo’n bericht niet. Zelfs als u een e-mail met een bijlage ontvangt van iemand die u kent, kunt u beter contact opnemen met die persoon, vooral als u geen bijlage verwachtte. Oplichters kapen of spoofen (vervalsen) vaak e-mailaccounts van gewone mensen om malware te verspreiden.  
  4. Beweeg de muis over ontvangen links om de URL te controleren. Op een computer of laptop kunt u de cursor over ontvangen links bewegen – zonder erop te klikken – om het webadres te zien. Als de URL er verdacht uitziet op een van de manieren die we hierboven hebben genoemd, verwijder het bericht dan en klik er nooit op. 

  Bescherm uzelf nog beter tegen aanvallen via e-mail 

  Online beveiligingssoftware kan u op verschillende manieren beschermen tegen phishingaanvallen. Om te beginnen biedt deze software webbescherming die u waarschuwt wanneer links naar schadelijke websites leiden, zoals de websites die bij phishingaanvallen worden gebruikt. Online beveiligingssoftware kan u ook waarschuwen voor schadelijke downloads en e-mailbijlagen, zodat u geen malware op uw apparaat krijgt. En als het toch misgaat, kan malware door antivirus worden geblokkeerd en verwijderd. Online beveiligingssoftware zoals de onze kan het probleem ook bij de wortel aanpakken. Oplichters moeten uw e-mailadres ergens vandaan halen. Vaak krijgen ze deze informatie van online datahandelaars, sites die persoonsgegevens verzamelen en verkopen aan wie ze maar hebben wil, dus ook aan oplichters. Datahandelaars halen deze gegevens uit openbare bestanden en ontvangen gegevens van derde partijen die deze in bulk verkopen. Zo krijgen oplichters enorme mailinglijsten in handen en kunnen ze zich richten op duizenden potentiële slachtoffers. U kunt uw persoonsgegevens van enkele van de meest riskante datahandelaarsites verwijderen met onze functie voor het opschonen van persoonsgegevens. Met deze functie kunt u uw blootstelling aan oplichters verminderen door uw e-mailadres uit hun handen te houden. Al met al zijn er bepaalde signalen om phishing-e-mails te herkennen, waarvan sommige moeilijker te ontdekken zijn dan andere. Toch kunt u ze identificeren als u weet waar u op moet letten en de tijd neemt om ernaar te zoeken. Nu deze aanvallen zo vaak voorkomen en het aantal blijft toenemen, is het noodzakelijk om uw e-mail met een kritisch oog te bekijken. 

Wij presenteren McAfee+

Bescherming tegen identiteitsdiefstal en privacy voor uw digitale leven

Download McAfee+ nu