Veel gebruikers van Google-diensten zoals Gmail en YouTube hebben er deze dagen mee te maken: mails van Google met betrekking tot het inschakelen van tweestapsverificatie per 9 november 2021. Wij kregen meerdere malen de vraag of deze mails wel echt van Google zijn, of dat er wellicht toch sprake is van phishing of andere oplichtingstrucs. In dit artikel leggen we uit hoe het zit.
De aanleiding voor dit stuk is het feit dat Opgelicht?! de laatste dagen meerdere vragen krijgt over de mail die we hieronder kort bespreken. Men vraagt zich af of deze mails wel echt van Google afkomstig zijn, en dat valt natuurlijk alleen maar te prijzen. Het wordt er met al die phishingmails namelijk bepaald niet minder op, en het is goed om voor de zekerheid extra informatie in te winnen in plaats van zomaar ergens in te loggen.
Het korte antwoord op deze vraag is gelukkig eenvoudig. In principe zijn deze mails écht van Google, want ja, er verandert deze maand inderdaad het één en ander op het vlak van tweestapsverificatie. Bij bepaalde accounts wordt het inschakelen daarvan verplicht gesteld in het kader van een betere accountbeveiliging.
Mocht je tweestapsverificatie voor je Google-account nog niet hebben ingeschakeld en mocht je dat naar aanleiding van de mail van Google – of van dit stuk – toch even willen inschakelen? Dan hebben we bij wijze van aanvullend leesmateriaal een zeer uitgebreid hulpartikel voor je waarin alles stap voor stap beschreven wordt. Deze tref je via onderstaande link.
Tweestapsverificatie inschakelen voor je Google-account: hoe stel je dat in?
En dan gaan we nu over naar de mail in kwestie.
E-mail van Google: 'De manier waarop je inlogt, gaat veranderen op 9 november'
Om gebruikers die met de verplichte tweestapsverificatie te maken krijgen van deze wijziging op de hoogte te stellen, krijgen deze personen in de loop van deze week aanvullende informatie per mail.
Dit soort mails kun je dan in je inbox verwachten:
Mail van Google over verificatie in twee stappen
Van: Google <[email protected]>
Onderwerp: De manier waarop je inlogt, gaat veranderen op 9 nov.
Binnenkort log je in met verificatie in 2 stappen
[gebruikersnaam]@gmail.com
Nadat je je wachtwoord hebt opgegeven, voer je een 2e stap uit op je telefoon. Houd je telefoon bij de hand als je inlogt.
Verificatie in 2 stappen wordt automatisch aangezet op 9 november. Als je wilt, kun je dit eerder aanzetten. Je account is er klaar voor.
Nu aanzetten
Waarom verandert de manier waarop ik inlog?
Door bij het inloggen een 2e stap te gebruiken, wordt je account een stuk beter beveiligd.
Hoe je je account hiermee beschermt
Hoe werkt het?
Nadat je je wachtwoord hebt opgegeven, tik je op een Google-prompt op je telefoon of krijg je een inlogcode die je moet opgeven (je provider kan hiervoor kosten in rekening brengen).
Je telefoonnummer en herstelmailadres updaten
We hebben het al gezegd, maar over deze mail hebben wij de afgelopen dagen de nodige vragen mogen ontvangen. 'Klopt dit wel?', 'Is deze mail wel echt van Google?' en 'Is er wellicht sprake van phishing of een andere oplichtingstruc?', het zijn slechts enkele vragen die de revue passeerden.
Daar kunnen we kort over zijn. In beginsel is er niks verdachts aan deze mail, de informatie klopt inderdaad gewoon en deze mail is in principe écht van Google, mits de links in de mail naar het beveiligde (https-)domein accounts.google.com verwijzen.
In andere gevallen kan het gaan om een vervalsing waarbij oplichters het template van een bestaande mail hebben gekopieerd en de relevante knoppen en links in de mail hebben voorzien van afwijkende, malafide links die naar nagemaakte inlogomgevingen verwijzen, al beschikken we niet over aanwijzingen dat daar momenteel sprake van is.
Wil je naar aanleiding van deze mail actie ondernemen en tweestapsverificatie inschakelen? Check dan goed of links écht naar een domein van Google verwijzen voordat je linkjes aanklikt en je op een valse website nietsvermoedend doorgaat met inloggen.
In je browser kun je dat zien door je muis op de link te plaatsen en linksonder in de adresbalk die dan verschijnt te controleren naar welk domein een link in werkelijkheid verwijst. Zie ook onderstaande voorbeeld.
Op je telefoon kun je dat controleren door een link of een button niet even snel aan te tikken, maar door de knop wat langer ingedrukt te houden zodat de voorvertoonmodus wordt geopend. In de linkerbovenhoek kun je dan zien naar welk domein de link verwijst.
Ook daarvan hebben we een voorbeeld, en om even in de Google-huisstijl te blijven in het kader van herkenbaarheid, hebben we daar even een andere mail voor gepakt die inhoudelijk niet zozeer te maken heeft met hetgeen we in dit artikel bespreken. Zie voorbeeld:
Belangrijk: hier moeten we echter wel een kleine kanttekening bij plaatsen, want deze methode is op je smartphone niet in alle situaties 100% veilig. In theorie is het mogelijk dat een link naar een pagina met kwaadaardige code verwijst en dat deze code al wordt uitgevoerd op het moment dat je de pagina ziet in de voorvertoonmodus: anders dan op een desktop, moet je hier daadwerkelijk een preview genereren om te zien naar welk domein een link verwijst.
Maar dat is voornamelijk theoretisch: er zijn geen signalen bekend waarin de preview-functionaliteit op grote schaal wordt misbruikt voor dergelijke doeleinden. Het valt alleen niet 100% uit te sluiten, is wat we maar bedoelen te zeggen.
Mocht je toch twijfelen of een mail wel echt is, dan kun je het beste de desktopmethode toepassen om te checken naar welk domein een bepaalde url verwijst. Of ga na het lezen van de mail handmatig naar je Google-account om te checken welke instellingen je kunt wijzigen, in plaats van de link te volgen.
Wil je aan de slag? Dan verwijzen we je graag nogmaals naar het uitgebreide hulpartikel over het inschakelen van tweestapsverificatie bij Google.
Tweestapsverificatie inschakelen voor je Google-account: hoe stel je dat in?