Grote kans dat je het woord ‘phishing’ weleens voorbij hebt zien komen in berichten over online oplichting. Maar wat houdt het precies in? Welke vormen van phishing zijn er? En nog belangrijker: Wat kun je er tegen doen? 

Wat is phishing? 

Phishing is een vorm van internetoplichting waarbij online oplichters ‘vissen’ naar je geld en persoonlijke gegevens via nepberichten. Dit gebeurt vaak per e-mail of sms. “Criminelen willen mensen zo ver krijgen dat ze hun inloggegevens of andere persoonlijke details met hen delen, zodat de crimineel daar voordeel uit kan halen”, vertelt Tommy van Steen, docent Cybersecurity Governance aan de Universiteit Leiden. 

Hoe werkt phishing?

Online oplichters doen zich voor als een betrouwbare organisatie en versturen uit naam van hen berichten naar nietsvermoedende mensen. Stel je voor: je ontvangt een phishingbericht van jouw bank met de vraag om in te loggen in jouw bankomgeving, omdat er vreemde activiteiten zijn opgemerkt. “Vervolgens word je via een link doorgeleid naar een andere plek dan de echte bankomgeving, waar jij je (persoons)gegevens moet achterlaten”, laat Van Steen weten. 

Oplichters kunnen ook inspelen op een werksituatie. “Zo kan het lijken alsof de IT-afdeling een vraag stelt, maar stiekem is het een externe partij die jouw inloggegevens in handen wil krijgen.”

Wat is het doel van phishing?

Jouw persoonlijke gegevens kunnen oplichters gebruiken om bijvoorbeeld je bankrekening leeg te plunderen of om identiteitsfraude te plegen. Het kan ook voorkomen dat de link malware bevat die jouw telefoon of laptop binnensluipt, zoals een keylogger. “Daarmee kunnen criminelen bijvoorbeeld zien wat iemand aan het typen is.” Zodra jij inlogt in een account, hebben oplichters toegang tot jouw inloggegevens.

Sms-phishing: smishing

Een phishingbericht kan je ook ontvangen per sms. Het doel van de oplichters is hetzelfde: jouw gegevens binnenhengelen. Kijk hierbij goed naar de afzender van het bericht. Komt het nummer je bekend voor? Wanneer dit niet het geval is, dan is de kans groot dat het om sms-phishing gaat. 

Spoofing

Let bij phishingberichten op spoofing van telefoonnummers of e-mailadressen. Oplichters nemen dan een valse identiteit aan. Zo kan het lijken alsof de mail afkomstig is van een bestaand e-mailadres, bijvoorbeeld van een bank, waardoor jij denkt dat het een betrouwbare mail is. Spoofing kan ook voorkomen bij smishing. Het nummer van de afzender lijkt dan bijvoorbeeld op het nummer van een bank, maar eigenlijk wordt het bericht door iemand anders verzonden. 

Staat er een nummer vermeld in het bericht en bel je daar naar? “Dan kan het zijn dat je iemand aan de telefoon krijgt die je geld afhandig maakt of vraagt naar je (persoonlijke) gegevens, maar het kan ook bijvoorbeeld een duur betaalnummer zijn”, vertelt Van Steen.

Hoe herken je een phishingbericht? 

  • Je wordt gevraagd op een onbekende link of bijlage te klikken.
  • De e-mail is niet aan jou persoonlijk gericht.
  • Het is een algemeen verhaal. Denk bijvoorbeeld aan de phishingberichten over ‘te late pakketjes’ die rond feestdagen verstuurd worden uit naam van PostNL en DHL. Van Steen: “Het is altijd het beste om naar de website te gaan die je al kent van de vervoerder en daar de track-and-trace code van het pakket in te voeren om te kijken of er daadwerkelijk iets aan de hand is.”
  • Online oplichters maken vaak gebruik van hyperlinks. Zo lijkt het alsof je klikt op een betrouwbare website, maar eigenlijk zit er een valse link achter. “Als je met je muis boven de link zweeft zonder te klikken, dan komt er in je browser te staan waar het bericht echt naartoe linkt.”
  • Het bericht bevat taal- en spelfouten. 
  • Een dwingende of dreigende toon. Wees alert op zinnen waar bijvoorbeeld ‘per direct’ in staat.
  • De huisstijl wijkt af van die van de officiële organisatie.

Verifieer het ontvangen bericht

Heb je een e-mail of sms ontvangen met een link en twijfel je of het phishing is? Klik dan niet op de link in het bericht, laat Van Steen weten. “Zoek zelf de website van de organisatie op en log daar in om te zien welk bericht er echt voor je klaar staat.” Vertrouw je het nog steeds niet? Dan raadt Van Steen aan om contact op te nemen met de organisatie die de oplichters  beogen te zijn.

Wordt er gevraagd naar een kopie van je ID of paspoort? Gebruik dan de KopieID-app van de Overheid. Daar kun je informatie wegstrepen en eventueel een watermerk toevoegen.

Help, ik heb geklikt of mijn gegevens ingevuld

Ook in dit geval raadt Van Steen het aan om contact op te nemen met de officiële organisatie en om direct je wachtwoord te veranderen. In een eerder artikel geeft techjournalist Daniël Verlaan tips over hoe je een sterk wachtwoord aanmaakt. 

Een extra waarschuwing van Van Steen

Volgens Van Steen is het relatief eenvoudig voor oplichters om het wel te laten lijken alsof de afzender betrouwbaar is. Zijn tip? “Probeer altijd te voorkomen dat je enkel afgaat van het feit dat in je telefoonscherm de organisatienaam staat. Dat zegt namelijk niet zoveel, dus dat is niet een bewijs dat het te vertrouwen is.” Kortom: neem wat langer de tijd om een bericht te analyseren en kijk altijd verder dan je neus lang is.

Blijf altijd op de hoogte van de meest recente phishingberichten via onze alerts op de website of via de gratis Opgelicht?!-app in de App Store en Play Store