Wat hebben e-mails met als kop “U hebt een miljoen gewonnen” en “Uw account is geblokkeerd” met elkaar gemeen? Dat zijn bijna altijd tekenen van oplichting. Hun doel is de ontvanger ervan te overtuigen een link naar een phishing-website te volgen en vertrouwelijke informatie in te voeren: uw gebruikersnaam en wachtwoord of bankrekeninggegevens. Hier leest u hoe u phishing herkent en u ertegen beschermt.
1. Bekijk e-mails zorgvuldig
Als u een e-mail ontvangt, haast u dan niet om te reageren of de instructies die erin staat op te volgen. U moet allereerst kijken of er tekenen van phishing te vinden zijn. Wat zijn de belangrijkste tekenen?
- Een dramatische onderwerpregel. Veel voorkomende thema’s zijn grote geldovermakingen, financiële compensatie, gehackte of geblokkeerde rekeningen en frauduleuze transacties – onderwerpen die de aandacht trekken en waarschijnlijk een emotionele reactie uitlokken, waarbij vaak wordt ingespeeld op hebzucht of angst.
- De ernst van de situatie benadrukken. Zinnen als “Laatste waarschuwing!” of “Nog maar 3 uur” en overdadig gebruik van uitroeptekens zijn bedoeld om u op te jagen, in paniek te laten raken en uw waakzaamheid te laten verslappen.
- Spel- en typfouten en vreemde tekens in de tekst. Sommige criminelen hebben echt moeite met Engels, hoewel aanvallers soms opzettelijk fouten maken zoals “milion” of letters van verschillende alfabetten gebruiken in een poging om spamfilters te omzeilen.
- Inconsistent afzenderadres. Een e-mailadres met een hoop willekeurige letters en cijfers of een verkeerde domeinnaam zijn zeker tekenen van vervalsing wanneer een afzender beweert van een grote organisatie afkomstig te zijn.
- Links in de e-mail als die erin staan – of de website waar ze naartoe leiden, om precies te zijn. U kunt een link controleren door er met uw cursor op te gaan staan en het adres zorgvuldig te lezen. Criminelen gokken erop dat slachtoffers niet genoeg opletten om kleine veranderingen in de namen van bekende bedrijven of merken op te merken – denk aan sumsung.com of qoogle.com. Controleer elke link zorgvuldig.
Dergelijke controles zouden in de meeste gevallen voldoende moeten zijn om een e-mail te herkennen die als onderdeel van een massale phishing-poging is verstuurd. Maar namen en adressen van afzenders kunnen echter worden vervalst, links kunnen worden ingekort om ze onleesbaar te maken, en er kunnen ketens van automatische omleidingen worden opgezet om u van minder verdachte webadressen naar de daadwerkelijke phishing-website te leiden. Daarom is het beter om het volgen van links in e-mails zo veel mogelijk te vermijden – tenzij het er een is waar u echt om hebt gevraagd. Als u bijvoorbeeld een bericht krijgt dat van een bank of webshop lijkt te komen, bel dan even met de bank of winkel ter bevestiging.
U kunt ook controleren of een prijs echt is door met een zoekmachine de officiële website op te zoeken van het bedrijf dat de prijs zou uitreiken. Daar kunt u vervolgens de prijsinformatie controleren. Dit zijn slechts een paar voorbeelden, maar ons advies blijft in feite hetzelfde: als u een link uit een ongevraagde e-mail wilt controleren, probeer dat dan via een omweg te doen.
2. Blijf op uw hoede in berichten-apps of op sociale netwerken
E-mail is niet het enige medium waar u voorzichtig mee moet omspringen. De berichten die u in messaging apps en via sociale netwerken ontvangt kunnen net zo gevaarlijk zijn. U kunt schadelijke links in publicaties van vrienden op Facebook, in reacties door een nep-merkambassadeur op Twitter, of in privéberichten op Discord vinden.
Behandel banners ook met voorzichtigheid; de afbeeldingen die ze weergeven hebben misschien niets te maken met de website waar ze u naartoe leiden. De platforms waar banners worden geplaatst, hebben meestal geen controle over wat gebruikers te zien krijgen of waar ze naar worden doorverwezen. Zelfs een website met een perfecte reputatie kan advertenties tonen die naar phishing-websites leiden.
Wat kunt u hiertegen doen? Controleer net als bij e-mails elke link voorzichtig, en klik er indien mogelijk helemaal niet op.
3. Stop en denk na voordat u bankgegevens invoert
Bankkaartgegevens zijn bijzonder gevoelig omdat die rechtstreeks toegang geven tot uw geld. Daarom moet u, ongeacht de manier waarop u een website hebt bereikt, nog een laatste keer controleren waar u werkelijk bent voordat u die gegevens invoert.
Kijk eerst goed naar het adres. U zoekt naar dezelfde waarschuwingstekenen, cijfers in plaats van letters, koppeltekens op onverwachte plaatsen en vreemde domeinnamen. Als u iets dergelijks ziet, verlaat dan de website en probeer het adres handmatig in te voeren.
Blijf vervolgens in de adresbalk en klik op het hangslotje links. Het hangslotje is geen garantie voor veiligheid, maar u kunt er wel uit opmaken van wie de website is (browsers hebben verschillende namen voor relevante tabbladen, zoals Certificate of Connection secure).
Als u veel online winkelt, ook bij kleinere bedrijven en particuliere verkopers, raden we u aan een aparte kaart te gebruiken. Zet er een klein bedrag op en maak er geld naar over vlak voor u het nodig hebt. Op die manier zult u, zelfs als de kaartgegevens worden gestolen, geen groot geldbedrag verliezen.
4. Gebruik verschillende wachtwoorden
Als u hetzelfde wachtwoord voor verschillende accounts gebruikt, zelfs als het een zeer betrouwbaar wachtwoord is, loopt u het risico dat al uw accounts worden gecompromitteerd als u het op een gegeven moment op een phishing-website invoert. Het is belangrijk om een uniek wachtwoord voor elke website en app te gebruiken.
Als u het moeilijk vindt om tientallen nieuwe wachtwoorden te bedenken en te onthouden voor elke pizzeria en online winkel, gebruik dan een wachtwoordmanager om ze te maken, beheren en gebruiken.
Een wachtwoordmanager vormt ook een aanvullende check om phishing te voorkomen. Als u een app of site opent en uw login en wachtwoord zijn niet automatisch ingevuld, dan is er waarschijnlijk sprake van een nepsite. Voor een mens ziet de website er misschien hetzelfde uit als de echte website, maar als het adres verschilt, zal de wachtwoordmanager de accountgegevens niet invullen.
Ten tweede kunnen wachtwoordmanagers moeilijk te hacken wachtwoorden genereren.
Ten derde beschikken sommige wachtwoordmanagers over handige aanvullende functies. Zo controleert Kaspersky Password Manager uw wachtwoorden en laat u weten of ze zwak zijn, voor verschillende accounts worden gebruikt of al in een database met gecompromitteerde wachtwoorden staan.
5. Stel tweestapsverificatie in om accounts te beschermen
Veel phishing-aanvallen zijn gericht op het kapen van accounts, maar zelfs als aanvallers uw gebruikersnaam en wachtwoord in handen krijgen, kunt u hen nog steeds beletten in te loggen op uw account door waar mogelijk tweestapsverificatie in te stellen. Als u dat gedaan hebt, hebt u een extra tijdelijke verificatiecode nodig om in te loggen. U ontvangt die per e-mail, sms of in een authenticator-app. De aanvallers ontvangen niets.
Houd er echter rekening mee dat phishers ook nep-inlogpagina’s kunnen maken die ook om eenmalige tweestapsverificatiecodes vragen. Daarom is het beter om belangrijke accounts te beschermen met hardware-gebaseerde authenticatie met een USB-sleutel zoals YubiKey of Titan Security Key van Google.
Sommige authenticators maken gebruik van NFC en bluetooth om verbinding te maken met mobiele apparaten. Het voordeel van het gebruik van een hardware-gebaseerde beveiligingssleutel is dat het geheim nooit wordt prijsgegeven op een valse website. Een website moet het juiste verzoek sturen om het juiste antwoord van de authenticator te krijgen, en dat is iets waarvan alleen de echte website weet hoe dat moet.
6. Gebruik betrouwbare bescherming
Het is zeker moeilijk om voortdurend op waarschuwingstekenen te letten en elk adres, elke link, enzovoort te moeten controleren. Maar dit is een taak die u kunt automatiseren, en u kunt op beveiligingsoplossingen zoals Kaspersky Security Cloud vertrouwen om uw tegen phishing te beschermen. De cloud-gebaseerde bescherming waarschuwt u op tijd als u naar een schadelijke pagina probeert te gaan en blokkeert de bedreiging.