Een boodschap te mooi om waar te zijn, afkomstig van een organisatie die je goed kent en vertrouwt. Dat is, in grote lijnen, de strategie die cybercriminelen hanteren om geld of data bij je los te krijgen. Meestal lokken ze je daarvoor naar een valse website.
Vroeger gebeurde dat vooral via e-mail (‘phishing’). Vandaag worden een pak meer media ingezet: fraudeurs lokken slachtoffers in de val met valse QR-codes (‘quishing’), sms’en of Whatsapp-berichten (‘smishing’) en per telefoon (‘vishing’). Ook valse advertenties op sociale media duiken vaker op, net als vervalste apps.
Daarnaast duikt ook een andere vorm van fraude op: criminelen manipuleren authentieke e-mails nadat ze toegang kregen tot je mailbox. Zo kunnen ze bijvoorbeeld een echte factuur met correcte afzender wijzigen en het rekeningnummer aanpassen naar hun eigen nummer. Alles lijkt normaal, maar je betaling komt bij de fraudeurs terecht.
Phishing & co: welke rode vlaggen zijn er?
- Fraudeurs doen zich voor als een persoon of organisatie die je vertrouwt. Zoals je bank, energieleverancier, een overheidsdienst, of de verzekeringsmaatschappij waar je klant bent.
- Ze spelen in op haast: je moet snel reageren, of je loopt dat geld of die prijs mis.
- Soms mikken oplichters op je angstgevoel: je moet reageren om jezelf veilig te stellen.
- Het gaat om een onrealistisch aanbod: je krijgt een grote geldsom, wint een zotte prijs of krijgt een unieke investeringskans die heel snel véél kan opleveren.
- In geschreven communicatie is het taalgebruik soms ongebruikelijk voor die afzender. En vaak zie je onregelmatigheden in het e-mailadres.
- Wordt er je gevraagd om een app te installeren via een doorgestuurde link? Grote kans dat het om een vervalste app gaat die, bij installatie, schadelijke software op je telefoon zet. Installeer daarom alleen apps via de officiële appstore.
- Blijf waakzaam als je een QR-code in je mailbox of elders vindt: controleer de bron en evalueer de mail. Stel: je scant de code en komt op een website waar je bankgegevens, rijksregisternummer of andere persoonlijke data worden gevraagd: wees dan extra op je hoede!
- Let extra op bij facturen die je per e-mail ontvangt, ook als de e-mail er betrouwbaar uitziet. Fraudeurs kunnen na een mailboxhack een echte factuur aanpassen, bijvoorbeeld door het rekeningnummer te wijzigen. Wees daarom extra aandachtig als het rekeningnummer niet automatisch wordt herkend door je bankapp.
Frauduleuze e-mails bevatten vaak een link. Die link gaat meestal naar een valse website waar je jouw persoonsgegevens (wachtwoorden, bankdata …) moet achterlaten. Maar niet altijd. Soms is er geen link, maar wordt net de factuur in een authentieke e-mail aangepast met een verdacht rekeningnummer.
Hoe een betrouwbare – en frauduleuze – link herkennen
Om te achterhalen of een link in een communicatie betrouwbaar is, moet je weten:
- hoe je de link moet lezen;
- hoe je frauduleuze linken herkent.
1. Een link lezen: zo gepiept!
Het is veiliger om de link te lezen vóór je erop klikt:
- In een sms of Whatsapp-bericht kan je doorgestuurde linken makkelijk aflezen. Let op met verkorte links zoals bit.ly/xyz: die verbergen de website waar je naartoe wordt geleid, misschien bewust. Kijk in zo’n gevallen extra kritisch naar de communicatie zelf.
- Voor e-mails ligt het minder voor de hand: je ziet er een knop met bijvoorbeeld ‘Klik hier’ of ‘Claim je bonus meteen’ en kan dus de url zelf niet aflezen. Plaats in zo’n geval de cursor van de muis op de knop en hou die daar, zonder te klikken. Zo verschijnt de url van de website en kan je die aflezen. Voor mails die je op je smartphone leest: daar volstaat het om je vinger op de knop te plaatsen en daar even te houden: de url komt tevoorschijn.
Gaat het niet, dan kan je nog altijd de link in de navigatiebalk van je internetbrowser controleren.
2. Hoe herken je een valse link?
Hiervoor moet je weten wat het echte webadres of de domeinnaam is. Dat doe je zo:
- Een webadres begint meestal met ‘https://’ en eindigt op ‘.be’, maar ook op ‘.net’, ‘.com’, ‘.nl’, ‘.site’, ‘.eu’, ‘.org’ enz.
- Het eigenlijke adres of de domeinnaam zit tussen de ‘https://’ en de eerste / die volgt. Vanaf die schuine streep ga je twee punten (dots) terug en daar begin je te lezen. In ‘https://www.voorbeeld.be/abc’ is de echte domeinnaam dus ‘voorbeeld.be’.
Staat er geen schuine streep na ‘https://’? Dan start je gewoon vanaf het einde van de url en keer je ook twee punten terug.
- Ander voorbeeld: de site van fictieve verzekeraar ‘XYZ verzekeringen’ is ‘https://www.xyzverzekeringen.be’. De domeinnaam hier is dus ‘xyzverzekeringen.be’. Klinkt oké, het is immers de naam van de maatschappij zelf. Stel dat de link in je e-mail de volgende is: ‘https://www.xy.zverzekeringen.be’ … De domeinnaam daar is ‘zverzekeringen.be’: géén legitieme website dus, maar phishing. Beide sites lijken sterk op elkaar: extra opletten is de boodschap.
Nog enkele tips om het veilig te houden
- Blijf alert bij bijlagen, zeker bij facturen: open geen verdachte bijlagen en controleer ook bij betrouwbare facturen altijd de betaalgegevens (rekeningnummer, bedrag en referentie) vóór je betaalt.
- Geef alleen wachtwoorden, bankcodes of persoonsgegevens in als je helemaal zeker bent dat je in een veilige omgeving zit. Doe dat zeker nooit aan de telefoon!
- Voeg de websites die je vaak bezoekt toe aan je favorieten: die van je makelaar, je bank, je verzekeraar, energieleverancier …
- Ga voor tweestapsverificatie: beveilig je eigen accounts en apps door een extra beveiligingsronde toe te voegen. Zo maak je het fraudeurs dubbel zo moeilijk.
- Kijk ook je mailboxinstellingen na: zijn er verdachte regels of filters toegevoegd (bijvoorbeeld automatisch doorsturen naar een onbekend adres).
Kreeg je een verdachte mail of verdacht bericht? Stuur hem door naar verdacht@safeonweb.be en verwijder hem daarna.
Twijfel je of een bericht echt is? Of twijfel je over een factuur die je in je mailbox krijgt? Contacteer de organisatie in kwestie en vraag het na. Gaat het om een communicatie die je uit onze naam krijgt, of van een verzekeringsmaatschappij? Contacteer ons gerust: wij kijken graag met je mee.
Bron: safeonweb.be, eccbelgie.be
