Phishing is een vorm van digitale oplichting waarbij het doel vaak het verzamelen van zoveel mogelijk data lijkt te zijn.
Wat is phishing?
De voorbeelden zijn legio; iedereen heeft in het afgelopen jaar wel een mailtje ontvangen van een bank waarin wordt aangegeven dat je bankpas gaat verlopen en dat je direct moet inloggen om grote problemen te voorkomen. Of wellicht heb je een appje ontvangen van een van je kinderen die ineens een nieuw telefoonnummer heeft en om geld vraagt. Beide voorbeelden zijn uiteraard niet waar, maar toch is het aantal mensen dat doorklikt schrikbarend groot.
Wat gebeurt bij phishing?
De aanvaller doet zich voor als iemand die jij in de basis vertrouwd. Microsoft, de IT dienstverlener, je kinderen en probeert jou op die manier tot actie over te laten gaan. Dat kan zijn het overmaken van geld of het geven van data. Even een praktisch voorbeeld voor het stelen van je Microsft365 logingegevens.
Wat we vaak zien zijn mails die eruit zien alsof ze van Microsoft komen. Hierin wordt aangegeven dat het wachtwoord van de ontvanger is verlopen of dat er een ingesproken bericht is achtergelaten. De mail zelf bevat géén rare zaken, waardoor virusscanners niets blokkeren. Ook de website waar naar verwezen wordt, bevat in de meeste gevallen geen ransomware of iets dergelijks, dus ook daarvoor gaan geen alarmen af. Maar wat gebeurd en dan wel?
Stel; je ontvangt een van de mailtjes. Je klikt nietsvermoedend op de link en krijgt vervolgens een website voorgeschoteld waarbij uit niets blijkt dat het de website van Microsoft niet is. Nietsvermoedend log je in met je inloggegevens en dan blijkt dat je wachtwoord niet klopt. Althans, dat meldt de website. Je probeert het nog een keer en geeft vervolgens gefrustreerd op. Het moge duidelijk zijn; de website was inderdaad niet van Microsoft.
Wat er is gebeurd op de achtergrond kan echter grote gevolgen hebben. Op de achtergrond heeft de hacker met de door jou ingevulde inloggegevens inmiddels al is ingelogd bij “de echte” Microsoft. Hoogstwaarschijnlijk zijn er:
al een aantal mailregels aangemaakt in Outlook die alle nieuwe mail doorstuurt naar een extern adres.
Je mailbox is doorzocht op de term “wachtwoord”
Een download is aangezet van al je mail
Van dit alles zie jij niks. Maar de gevolgen kunnen groot zijn.
Een veelvoorkomende vorm van phishing
Er wordt namens een directeur of staflid van de werkgever een phishing mail verstuurd. Bijvoorbeeld met de vraag of er als presentje tien kaarten aangekocht kunnen worden met tegoed voor de Google Play-store of de Apple Appstore. Vaak gaat het om dusdanig ‘kleine’ bedragen dat er niet direct argwaan ontstaat. Het gevolg hiervan laat zich raden. Het geld is weg en de goedwillende collega weet van niks. Pas later blijkt dat ook de betreffende directeur of staflid van niks weet.
Wat zijn de gevolgen
van phishing?
De grotere gevolgen van phishing zijn niet altijd direct duidelijk en/of zichtbaar. Doordat de mail op de achtergrond wordt doorgestuurd, lijkt er in eerste instantie niks aan de hand. De data die in de doorgestuurde mail staat wordt door de hacker gebruikt om nieuwe, betere phishingmails te versturen, bv. aan jouw klanten met daarin referenties van jezelf. De klant zal deze referentie herkennen en dus ook niet direct iets doorhebben. Maar ondertussen zijn er kleine veranderingen aangebracht. Een factuur heeft ineens een buitenlands rekeningnummer. En doordat de hacker nog steeds toegang heeft tot jouw mailbox, wordt er netjes geantwoord op de klant die zich afvraagt of het nieuwe rekeningnummer wel klopt.
Wat kan je doen tegen phishing?
Heel simpel; goed opletten! Dat klinkt een beetje flauw, maar het is wel de essentie. Als je een mailtje ontvangt waar je ook maar enigszins over twijfelt; niets doen! Neem contact op met de afzender van de mail en vraag na of het mailtje legitiem is. Dat lijkt wellicht een overdreven actie, maar de financiële gevolgen van een geslaagde phishing-aanval kunnen behoorlijk in de papieren lopen. Het devies is ANNA: Altijd Navragen; Nooit Aannemen. Tel daarbij op dat banken, verzekeringsmaatschappijen, maar ook Microsoft, nooit mails rondsturen waarin wordt aangegeven dat het wachtwoord moet worden gewijzigd, of dat de bankpas is verlopen. Ook is het taalgebruik in de mail vaak een aanwijzing. Het is meestal net anders dan dat je wellicht gewend bent van de afzender. Spelfouten, rare zinsconstructies, een mengelmoes van Nederlands en Engels. Ook wordt vaak de urgentie van het probleem benadrukt. Je moet NU actie ondernemen, SNEL op de link klikken en DIRECT inloggen.
Wat moet je bij phishing?
Je kan nog zo voorzichtig zijn; niks is zo menselijk als zich vergissen. Wat te doen nadat je toch op die link in dat mailtje hebt geklikt? Neem direct contact op met je ICT’er. Zij kunnen dan nagaan of er al misbruik is gemaakt van je gegevens en de noodzakelijke maatregelen nemen. Maak schermafbeeldingen van het mailtje en verwijder deze daarna permanent. Neem contact op met je ICT collega. Heb je geld overgemaakt naar iemand waarvan je dacht dat het een van de kinderen was, neem dan direct contact op met je bank. Wellicht het belangrijkste is om te beseffen dat je niet alleen bent. Je hoeft je niet schuldig te voelen over wat er is gebeurd; de methodes van phishing zijn de afgelopen jaren zo doorontwikkeld dat sommige mails niet van echt te onderscheiden zijn. Het is helaas een fenomeen dat hoort bij de tijd waarin we leven en de stand van de techniek.
Conclusie;
Hou je ogen open; denk goed na voordat je op een link klikt of een bijlage opent en het belangrijkste; durf na te vragen. Wees niet bang om even bij iemand na te vragen en zo te verifiëren dat een mail legitiem is! Mocht je het niet vertrouwen; niet klikken en je ICT’er bellen. En bedenk; alleen een ezel stoot zich in ’t gemeen twee keer aan dezelfde steen.
Een vrijblijvend gesprek?
Heb je een vraag, wens je meer informatie of wil je graag even sparren met één van onze IT-specialisten? We nemen graag de tijd om je vragen te beantwoorden.