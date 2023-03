Mogelijk miljoenen Nederlanders zijn getroffen door een enorm datalek. Bedrijven als de NS, VodafoneZiggo, maar ook de Nederlandse Gold Federatie, CZ, ArboNed, Trevvel en de Vrienden van Amstel Live maakten dinsdag bekend dat klantengegevens zijn buitgemaakt door cybercriminelen. Datalekken zijn niet zeldzaam, maar zelden gebeurt dit bij zoveel bedrijven tegelijkertijd.

Alle getroffen bedrijven maakten gebruik van de diensten van Blauw, een marktonderzoeksbedrijf. Blauw maakt op zijn beurt gebruik van software van leverancier Nebu, waar derden de informatie van Blauw zouden hebben ingezien. Het lijkt vooralsnog alleen te gaan om persoongegevens zoals naam, e-mailadres en telefoonnummers, aldus NS en VodafoneZiggo. Ook lekte mogelijk informatie uit die klanten hadden doorgegeven in onderzoeksenquêtes van Blauw.

Dat lijkt misschien relatief onschuldig - het gaat niet om wachtwoorden of pincodes. Maar de NS en VodafoneZiggo waarschuwden honderdduizenden klanten meteen: juist deze gegevens kunnen óók gevaarlijk zijn. Ze worden gebruikt voor phishing, een vorm van internetfraude die jaarlijks miljoenen euro aan schade veroorzaakt.

Wat is phishing eigenlijk? En wat kan je er tegen doen? We leggen het uit.

1 Wat is phishing?

Phishing is een vorm van cybercrime die zich richt op de zwakste schakel in elke digitale omgeving: de mens. Cybercriminelen proberen slachtoffers te manipuleren met e-mails, telefoontjes of WhatsApp-berichten waarin ze zich voordoen als een bekend bedrijf of een familielid. Zo willen ze slachtoffers verleiden om bankgegevens of inlogcodes door te geven. Met die codes wordt dan geld afgeschreven van de rekening van het slachtoffer.

Het bekendste voorbeeld is de malafide link in een e-mailbericht van een bank. Het gaat doorgaans over iets wat meteen actie vereist: bijvoorbeeld dat er fraude zou zijn gepleegd met je bankrekening. Om je geld zeker te stellen, moet je even inloggen door op een link in de e-mail te klikken, staat er in de mail. Achter die link zit een nagemaakte versie van jouw bankomgeving. Gegevens die je hier invoert worden meteen doorgestuurd naar de crimineel, die kan inloggen op jouw bankrekening. Criminelen ‘vissen’ dus naar jouw gegevens.

2 Hoe vaak komt phishing voor?

Heel vaak. Phishing is vaak effectiever dan proberen om de programmeercode van een bedrijf te hacken, omdat mensen gemakkelijk te misleiden zijn. Volgens het jaarlijkse Nationale Cybersecurity Bewustzijnsonderzoek van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) kwam 32 procent van alle Nederlanders in 2022 in aanraking met dergelijke nepmails en berichten. In totaal zei driekwart van de Nederlanders die meededen met het onderzoek dat ze op een of andere manier getroffen waren door cybercrime.

De Nederlandse Vereniging van Banken registreerde in 2022 zo’n 9,9 miljoen euro aan schade door e-mailphishing bij internetbankieren. De schade uit bankhelpdeskfraude steeg naar zo’n 50,8 miljoen euro afgelopen jaar.

3 Wat voor vormen van phishing zijn er?

De bankmail is een sprekend voorbeeld, maar phishingaanvallen zijn tegenwoordig vaak geraffineerder. Zo gaan er regelmatig e-mails en appjes uit van pakketbezorgers, die bijvoorbeeld melden dat de porto op een pakket nog betaald moet worden. Ze gokken dat de ontvanger op een pakketje zit te wachten en daarom doorklikt.

Ook op WhatsApp worden er regelmatig phishingaanvallen gepleegd. Denk aan een crimineel die zich voordoet als een vertegenwoordiger van WhatsApp, die waarschuwt dat de app geüpdatet moet worden - via een link. Bij Marktplaatsfraude wordt ook op deze manier misbruik gepleegd: de oplichter vraagt dan bijvoorbeeld of je via een WhatsApp-link een cent kan storten op zijn rekening ter controle. Soms doen criminelen zich ook voor als een familielid. Ze claimen dan een nieuw nummer te hebben en vragen je bijvoorbeeld om een bedrag over te maken wegens een acuut probleem waar ze op dat moment geen geld voor hebben („Ik betaal het morgen meteen terug!”).

Naast dit soort phishingaanvallen, die gericht zijn op burgers, is er ook het zogenoemde ‘spear phishing’. In dat geval richt een crimineel zich op een specifieke persoon of bedrijf, en probeert interne of externe communicatie van dat bedrijf na te doen. Vaak wordt spear phishing gebruikt om toegang te krijgen tot de systemen van een bedrijf.

4 Hoe komen criminelen aan mijn gegevens?

Bij een datalek geven getroffen bedrijven vaak aan dat het niet om bank- of wachtwoordgegevens gaat. Maar dat betekent dus niet dat je veilig bent: deze gegevens worden juist ingezet om jou later te benaderen via een phishingaanval.

Datalekken gebeuren regelmatig. De kans is dus groot dat jouw contactgegevens al lang buit zijn gemaakt door criminelen. Soms bemachtigen ze zo ook bijvoorbeeld informatie over je geboortedatum, bedrijfsadres of huwelijkse staat. Blijf daarop alert. Hoe meer een cybercrimineel over jou weet, hoe beter die zich betrouwbaar voor kan doen.

5 Wat kan ik doen als criminelen via phishing aan mijn gegevens zijn gekomen?

Neem altijd contact op met de bank. Sowieso houden de meeste banken een database bij van bekende phishingberichten, maar de bank kan ook verdachte afschrijvingen blokkeren of je geld deels of volledig vergoeden. Banken gebruiken daarvoor het zogenoemde ‘coulancekader’ van de Nederlandse Vereniging van Banken. Dat betekent dat je bij banken doorgaans je geld terug kan krijgen als je meewerkt aan het onderzoek, zelf niet medeplichtig bent aan de fraude, en niet al eerder een vergoeding hebt gehad. Ook kijkt de bank naar je omstandigheden, bijvoorbeeld of je al meerdere waarschuwingen had gehad dat het om phishing ging.

Verander je pincode, en blokkeer eventueel buitgemaakte pinpassen - soms proberen criminelen je over te halen om je pinpas aan iemand mee te geven. Ten slotte kun je aangifte doen bij de politie en bij de Fraudehelpdesk. De Fraudehelpdek kan je in contact te brengen met de juiste instanties die kunnen helpen bij het vergoeden of terugkrijgen van verloren geld.

6 Wat kan ik doen om phishing te voorkomen?

Bij phishing doet de crimineel doorgaans zijn best om een bericht te sturen dat betrouwbaar overkomt. Soms zitten daar - al dan niet expres - tikfoutjes in, waardoor het gemakkelijk is een phishingmail te identificeren. Maar dat is lang niet altijd het geval. Soms gebruiken kwaadwillenden ook informatie uit datalekken, zoals de naam van je werkgever of collega’s, om betrouwbaar te lijken. Waar kan je dan op letten?

Klik niet op onbekende links Ontvang je een onverwachte e-mail waarin je gevraagd wordt om op een link te klikken? Doe het niet. Gaat het om iets belangrijks, zoals bankzaken, log dan in via de site van de instantie zelf en kijk dan of je enig spoor vindt van de e-mail. Je kunt ook zien waar een link naartoe verwijst door je muis boven de link te plaatsen, of op mobiel op een link te drukken en die vast te houden. Staat daar het linkadres dat je zou verwachten? Soms lijkt de link op die voor een bestaande site (bijvoorbeeld disney.com) maar zit er een kleine wijziging in (mail-disney.com of disney.eu.com) of is een letter vervangen door een cijfer. Ook gebruiken criminelen steeds vaker óók een aantal betrouwbare links, waarna op het eind alsnog de malafide link volgt.

Controleer de afzender Volgens onderzoek van de National Coördinator Terrorismebestrijding en Veiligheid kijken we bij vermoeden van phishing als eerste naar het e-mailadres van een vreemde afzender. Maar waar let je dan op? Vaak proberen criminelen het e-mailadres van een bekende instantie na te doen om zo aan je aandacht te ontsnappen. Let vooral op het tweede deel van een e-mailadres, net na de @: staan er streepjes of cijfers in, bijvoorbeeld? Leg het adres dan naast eerdere mails die je van dezelfde instantie hebt ontvangen. Soms is er ook sprake van ‘spoofing’. Het e-mailadres dat je bovenin ziet is dan gelijk aan die van de echte instantie, maar de echte verzender gebruikt een ander adres. Je vindt alternatieve mailadressen in de meeste mailprogramma’s vaak in de zogenoemde ‘header’ van een mail - bijvoorbeeld via ‘view original’ in Gmail, onder ‘Received’, ‘Reply-To’ of ‘Return-Path’. Vergelijk die met wat je in ‘From’ ziet.

Familielid appt van een vreemd nummer? Bel of vraag om een audiobericht Criminelen doen zich ook wel vaker voor als een familielid. Ze gebruiken een gestolen foto van het familielid en zeggen dat ze een nieuw nummer hebben. Krijg je op deze manier een betaalverzoek of link? Vraag dan aan het familielid om even te bellen, of een audiobericht te sturen. Weigeren ze dit, dan gaat het waarschijnlijk om phishing.

Heel positief of heel negatief nieuws? Wees wantrouwig Hoe sneller je handelt, hoe minder je er meestal bij nadenkt. Daar spelen criminelen handig op in. Veel phishingmails en -berichten schermen dan ook met nieuws dat ofwel heel positief is - je wint gratis kaartjes of een reis naar het buitenland - ofwel juist negatief: iemand is er vandoor met jouw geld. Vaak dringen cybercriminelen daarop aan op snel handelen: je móét binnen een week tijd een nieuwe pinpas aanvragen, anders kom je in de problemen. Ga daar niet in mee. Hangen ze aan de telefoon? Vraag om bedenktijd. Je hebt dan tijd om onderzoek te doen.

Geef niet zomaar je pincode of andere vertrouwelijke informatie door De meeste instanties zullen nooit zomaar aan de telefoon of via e-mail om je pincode of andere zeer vertrouwelijke informatie vragen. Doet een instantie wel zo’n verzoek? Dan is er een goede kans dat het om phishing gaat.

Zoek online naar meldingen Veel phishingfraude wordt op grotere schaal uitgevoerd: er worden veel verschillende mensen op dezelfde manier aangeschreven. Dergelijke mails en WhatsApp-berichten belanden daarom ook vaker op websites of forums als waarschuwing aan anderen. Tref je een verdachte mail? Google dan even op een zin of frase, en zie of je een dergelijke waarschuwing vindt. Je kan ook terecht bij de Fraudehelpdesk. Die houdt een lijst bij van bekende phishingmails en berichten.

Download een anti-phishingapp Met een goede beveiligingsapp kom je ook al een heel eind. Veel antivirusapps houden een database bij van bekende phishingsites. Klik je dan toch per ongeluk op een foute link, dan kan zo’n app de toegang blokkeren.