Phishingmailtjes in 2021. Hoe trap je er niet in?

Tegenwoordig is bijna iedereen wel bekend met de term ‘phishing’, een praktijk waarbij aanvallers contactgegevens of geld per e-mail proberen te ontfutselen door de ontvanger vervalste informatie voor te schotelen. Phishing is zeker geen nieuw fenomeen. Met het de beschikbaarheid van het internet voor de consument kwamen ook de eerste phishingmailtjes in omloop. Kenmerkend aan deze mailtjes was dat ze vaak onpersoonlijk waren, in gebrekkig Engels opgemaakt en verstuurd werden vanaf rare e-mailadressen. De laatste jaren worden ‘phishers’ echter steeds beter in het opstellen van geloofwaardige e-mails en e-mailadressen. Deze zijn bijna niet meer van echt te onderscheiden.

Soorten phishing

Phishing kan je in de basis terugbrengen tot twee vormen:

1. Gericht op de massa. Hierbij stuurt een ‘phisher’ enorm veel e-mails tegelijkertijd, waarbij hij/zij gebruik maakt van openbare en gelekte e-mailadressen. Deze mails worden vaak vermomd als e-mails van een bank of overheidsinstelling.
2. Gericht op een specifiek persoon. Wordt ook wel spearfishing genoemd. Hieronder valt bijvoorbeeld ook CEO-fraude, waarbij de ‘phisher’ een bekende of leidinggevende van de ontvanger nadoet en via deze weg om geld vraagt. Hiervoor doet de ‘phisher’ eerst onderzoek naar de structuur van een bedrijf en stuurt soms eerst een algemeen mailtje naar een bedrijf om bijvoorbeeld een e-mailhandtekening te kunnen kopiëren. Bij beide vormen van phishing probeert de ‘phisher’ het e-mailadres waarmee de e-mail wordt verzonden zo legitiem mogelijk te laten overkomen. Soms gebeurt dat door een domeinnaam te registreren die veel overeenkomsten vertoont met een bedrijf, zoals ing.info of abnanro.nl. Soms gebeurt dat ook op basis van spoofing. Door een e-mail te spoofen lijkt het voor een ontvanger alsof de e-mail van een bekende afkomt, terwijl dat in werkelijkheid niet zo is.

Omdat phishing steeds moeilijker te herkennen is, hebben we de afgelopen maanden phishingmailtjes van klanten en van onszelf bewaard om als voorbeeld te dienen. We verzamelen hier de ‘leukste’, die bij goed lezen af en toe best op de lachspieren kunnen werken, maar ook heel bedreigend kunnen overkomen op de ontvanger ervan.

Hoe voorkom je dat jij of de organisatie waar je werkt slachtoffer wordt van phishing?

1. Let goed op het e-mailadres waarmee de mail verzonden wordt. Klopt deze wel volledig met de domeinnaam van een legitieme partij?
2. Kijk goed naar het gebruik van Nederlands in de e-mail. Komt het raar over of worden er veel spelfouten gemaakt?
3. Controleer de header van de e-mail. Heb je een mailtje ontvangen dat je niet vertrouwt? In de header staat de werkelijke afzender, ook als het mailadres is gespoofed.
4. Een bank of overheidsinstelling vraagt nooit om inloggegevens of bitcoinbetalingen.
5. Open niet zomaar bijlages of links van onvertrouwde afzenders. Heb je toch op een link geklikt? Als je verder nog niks hebt gedaan kan je deze wegklikken. Heb je een bijlage geopend? Waarschuw dan je IT-beheerder.
6. Vertrouw je het niet? Op de site van fraudehelpdesk.nl staat een database van de meeste phishingmails die in omloop zijn. Zoek de e-mail die jij hebt ontvangen hier op.