Hybride phishing, waarbij oplichters zowel tekstuele berichten als telefoongesprekken inzetten, is aan een flinke opmars bezig. We leggen je uit wat je moet weten om je hiertegen te wapenen.

Je krijgt een bericht dat je computer een virus bevat en dat je snel een helpdesk moet bellen. Aan de telefoon vertelt iemand dat je een bepaald programma op je computer moet installeren, zodat er met je mee kan worden gekeken. In werkelijkheid praat je hier niet met iemand die je gaat helpen, maar met een oplichter die malware op je computer downloadt. 

Een dergelijke situatie is een voorbeeld van hybride phishing. Hierbij combineren oplichters eenzijdige berichten zoals e-mail of sms met bijvoorbeeld een live telefoongesprek (ook wel 'voice phishing' genoemd). En de kans is flink dat je hier recent mee te maken hebt gehad of dat dit in de toekomst gaat gebeuren: het gebruik van hybride phishing is namelijk met 625% toegenomen sinds het eerste kwartaal van 2021. Dit concluderen onderzoekers van Agari. 

Verschillende vormen: truc begint bij bericht met 'probleem'

Hybride phishing kent verschillende toepassingen, zoals heldeskfraude en ransomware, maar de essentie blijft hetzelfde. Je ontvangt een bericht waarin staat dat er een probleem is en je naar een nummer moet bellen om dit probleem op te lossen. Hier wordt social engineering toegepast met als uiteindelijk doel om gegevens in handen te krijgen, malware te installeren of geld afhandig te maken. 

Opgelicht?! waarschuwt vaker voor een hybride phishing. We zetten een aantal recente voorbeelden op een rij. 

• Je denkt op een pagina van bijvoorbeeld Facebook of Youtube te zitten, maar in werkelijkheid is dit een nepsite. Hier krijg je een melding van Windows Defender dat er een virus op je apparaat staat en dat je snel met de helpdesk moet bellen. Je krijgt dan geen technische support aan de lijn, maar iemand die je probeert te overtuigen een programma met malware te installeren. Hiermee geef je direct toegang tot je apparaat. 
• Er zou iemand misbruik maken van je bsn-nummer, luidt de Engelstalige boodschap van iemand die zegt van het 'Ministry of Justice' te zijn. Je kunt dit in orde maken aan de telefoon, is het idee. Hier wordt echter niks mee gefixt, alleen gevist naar gegevens en geld.
• Je krijgt op je werkmail een waarschuwing van een securitybedrijf dat oplichters het op het IT-systeem van je bedrijf hebben gemunt. De ICT-afdeling zou het securitybedrijf opdracht hebben gegeven dit met werknemers af te handelen, door elke werknemer een bepaald programma te laten installeren. Wederom moet je bellen om het in orde te maken. In werkelijkheid gaat dit om nepmail, nepsupport en uiteindelijk een hoop problemen voor je werkgever. 

Hoe bescherm je jezelf?

Hybride phishing vereist een actievere rol van oplichters, waarmee ze jou proberen te overtuigen dat het allemaal legitiem is. Een valse mail met een phishinglink is nou eenmaal iets anders dan een echt persoon die je aan de telefoon wijsmaakt dat 'ie er is om jou te helpen. Er zijn een aantal dingen waar je op moet letten. 

1. Pas op met dreigmails. Laat je niet bang maken en handel niet te snel. Bekijk de situatie eerst goed voordat je tot actie overgaat, zoals je gegevens delen of geld overmaken. 
2. Let op de klassieke clues voor phishing: controleer urls, e-mailadressen, domeinen, schrijfstijl en spelling. 
3. Neem contact op met de organisatie of persoon waar iemand zich voor beweert uit te geven. Het maakt niet uit of het nou gaat om een helpdesk of je buurman: check altijd iemands identiteit door contact op te nemen met desbetreffende instantie of persoon. 
4. Op social media kun je in je berichtenbox kijken of er iets aan de hand is. Staat hier niets, zijn er ook geen risico's. Dus als iemand beweert dat je account verwijderd gaat worden, kun je dat hier checken.