Spam en phishing gaan vaak hand in hand: Fraudeurs versturen massale mailinglijsten in de poging om zo persoonlijke informatie te verkrijgen van de ontvangers. Persoonlijke informatie van gebruikers is voor hen een zeer kostbaar en gewild goed. Dit is zichtbaar in zowel de hoge belangstelling in de media als in onze analyse van de hoeveelheid spam. Een veelvoorkomend doel van spam is het verkrijgen van toegang tot je accounts of bankgegevens door middel van e-mail phishing en social engineeringtechnieken.
In deze post kijken we naar de vijf trucs die spammers het meest gebruiken.
1. Nepmeldingen van social media
Spammers zijn zeer actief in het verzenden van nepmeldingen die afkomstig lijken van populaire social media platforms en gaan over nieuwe vrienden, hun activiteit, commentaar, likes, etc. Zulke meldingen zijn vaak niet te onderscheiden van de echte meldingen. Het enige verschil is dat ze een phishing-link bevatten, die niet altijd even gemakkelijk te herkennen is. Zodra gebruikers op deze link klikken, worden ze op een nep-pagina om hun gebruikersnaam en wachtwoord gevraagd.
Een andere veelvoorkomende variant is het versturen van berichten die zogenaamd afkomstig zijn van social media platforms, maar dit keer met waarschuwingen over verdachte activiteit op je account, of het bericht over een nieuwe functie en dat gebruikers die hier niet mee instemmen, geblokkeerd zullen worden. In beide gevallen bevat het bericht een knop met een link naar een phishing loginpagina.
2. Bankgerelateerde phishing
Phishing gericht op het verkrijgen van de bankgegevens van gebruikers is nog steeds de populairste soort fraude. Nepberichten kunnen verstuurd worden namens banken of betaalsystemen. De meest voorkomende onderwerpen van deze berichten hebben te maken met het blokkeren van accounts of verdachte activiteit op de persoonlijke inlogpagina van de gebruiker.
Met als smoes het opnieuw verkrijgen van toegang of het bevestigen van de identiteit, of het annuleren van een transactie, wordt de gebruiker naar zijn of haar bankgegevens gevraagd (vaak inclusief de CVV/CVC-code) op een nep-pagina van de bank. Bij het ontvangen van deze gegevens halen de criminelen onmiddellijk het geld van de rekening van het slachtoffer. Hetzelfde geldt voor betaalsystemen, maar in deze gevallen worden slachtoffers slechts gevraagd om in te loggen op hun account.
3. Nepmeldingen van Populaire services en verkopers
Op dezelfde manier worden nepmeldingen gecreëerd onder de naam van populaire merken of services, boeking sites, multimedia platforms, vacaturewebsites, en andere populaire onlineservices. Cybercriminelen vertrouwen op het toeval dat spamberichten op zijn minst enkele goedgelovige gebruikers bereiken, die hoogstwaarschijnlijk in paniek raken en goedwillig overal op klikken.
4. Nepmeldingen van e-mailservices
Scammers gebruiken dit soort spam om gebruikersnamen en wachtwoorden te vergaren van e-mailservices. Een van de twee meest gebruikte tactieken is dat gebruikers worden gevraagd hun wachtwoord te veranderen of om de opslagruimte in hun mailbox te vergroten, die zogenaamd vol zit. In dit laatste geval belooft de phishing-link een verhoging van de opslagruimte, iets wat in het cloud-tijdperk en de groeiende vraag naar meer opslagcapaciteit niet erg verdacht lijkt.
5. “Nigeriaanse prins” fraude
Tot slot, een van de oudste vormen van spam – het zogenaamd recht hebben op een deel van het vermogen van een overleden miljonair als beloning voor het overmaken van een voorschot – die nog steeds erg actief is. Een variatie hierop is die van een zogenaamde beroemdheid in geldnood. De spammers beloven de slachtoffers een ongelofelijk hoog bedrag als beloning voor het helpen van deze beroemdheid, een miljonair die op ongelukkige wijze vermogen heeft verloren. Hiervoor moeten ze gedetailleerde informatie versturen (paspoortinformatie, accountgegevens, etc.) en een bescheiden geldbedrag overmaken voor papierwerk.
De lijst van de favoriete onderwerpen en tactieken die spammers gebruiken, eindigt hier niet, maar de vijf bovengenoemde methoden zijn de meest effectieve en dus de meest voorkomende vormen.
Wordt geen slachtoffer
Het beste advies is zorgzaamheid. Om het wat concreter te maken, sommen we hier een aantal tips op:
- Wanneer je een bericht krijgt met een melding van een bedrijf of service, check eerst of het afkomstig is van een betrouwbare bron, dat wil zeggen, het originele e-mailadres van het bedrijf of service. Bij Google bijvoorbeeld, zou het bericht afkomstig moeten zijn van no-reply@accounts.google.com, en niet van no-reply@accounts.google.scroogle.com of iets wat hierop lijkt.
- Als je toch op de link in zo’n bericht klikt, wees er dan zeker van dat het naar de originele leidt, en niet naar een nepwebsite.
- Maak gebruik van een betrouwbare veiligheidsuitkomst met antispam en antiphishing bescherming — het signaleert fraude e-mails en waarschuwt onmiddellijk.