De PlayStation 5 ging afgelopen november in de verkoop, maar veel hoopvolle shoppers staan nog altijd met lege handen. Sony kreeg te maken met een tekort aan chips vanwege aan COVID gerelateerde leveringsrestricties en kon de vraag naar de spelcomputer niet bijbenen. Ondertussen maken scammers misbruik van de hype door mensen zogenaamd een kans de bieden om een PS5 te winnen.
Win een PS5 van een farmaceutisch bedrijf
Zoals bij de meeste phishing-pogingen zien we meteen al problemen als we eens goed kijken. Hoewel de e-mails in deze campagne geen flagrante fouten bevatten, is de naam van de verzender bijvoorbeeld (India Pharma in dit geval, een echte organisatie) op geen enkele wijze verbonden aan gaming-weggeefacties.
Wat ook verdacht is, is dat de algemene voorwaarden (de zeer kleine lettertjes onderaan het bericht die de meeste mensen niet lezen) een heel ander bedrijf vermelden: toleadoo GmbH. Dat bedrijf bestaat ook. Het is gebaseerd in Duitsland en is het onderwerp van tal van gebruikersklachten.
De kleine lettertjes vermelden ook zekere “Algemene voorwaarden voor deelname”, maar hier is geen link naar te vinden. Nogmaals, we zijn op zoek naar verdachte elementen, en tegenstrijdigheden in juridische teksten zijn erg verdacht.
Om uw geluk te beproeven vragen de organisatoren u vervolgens om u met uw e-mailadres te registreren.
Bij de volgende stap wordt er een website met het Amazon-logo geopend, maar dit is een URL die in niets op amazon.com lijkt.
Op deze pagina neemt de phishing-druk serieuze vormen aan, en wordt er gemeld dat u een van de tien gelukkigen bent die de felbegeerde spelcomputer deze week kan winnen, maar u moet dan wel binnen een minuut en 18 seconden handelen: precies genoeg tijd om een korte vragenlijst in te vullen en deel te nemen. Dit is natuurlijk een andere behoorlijk effectieve phishing-tactiek: de druk opvoeren met een kunstmatige tijdsbeperking zodat mensen paniekeren en haast maken en niet de tijd nemen om kritisch te zijn.
Rad van fortuin
Als u de vragenlijst invult en de rest van de velden aanvinkt, verschijnen er een stuk of tien geschenkdozen op het scherm, waarvan er één de winnaar is. Spoiler: u wint de prijs! Kunt u het niet geloven? Dan kunt u onderaan de nepreviews zien van eerdere “winnaars” om u lekker te maken en uw waakzaamheid laag te houden.
Dan volgt het addertje onder het gras. Er is een betaling van 1 Britse pond vereist (ten tijde van dit schrijven ongeveer € 1,16) om uw prijs op te eisen. De organisatoren geven geen reden op voor die betaling, maar in vergelijking met de prijs van de spelcomputer is het natuurlijk niets. Daarnaast beloven ze om alle verzendkosten te dekken en de schitterende nieuwe PS5 binnen één week te leveren.
Vervolgens komt er een verzoek om een adres, postcode, telefoonnummer en (opnieuw) een e-mailadres, wat natuurlijk logisch lijkt als ze de prijs naar u moeten opsturen. Maar dit is ook het moment waarop de prijs van £ 1 naar £ 1,78 stijgt, zonder enige verdere verklaring.
De laatste stap is het verstrekken van uw bankgegevens. Het vorstelijke bedrag van £ 1,78 zal de cybercriminelen niet rijk maken, maar uw kaartgegevens, en dan in het bijzonder de CVV2/CVC2-code, natuurlijk wel.
Houd het hoofd koel
Om dit soort oplichting te voorkomen, moet u de hype niet geloven. Als u een verleidelijk aanbod krijgt, houd het hoofd dan koel en volg altijd deze simpele richtlijnen om uzelf tegen phishing te beschermen:
- Controleer de informatie over weggeefacties en andere promoties op de website van de organisator;
- Klik niet op links in e-mails. Voer in plaats daarvan de URL handmatig in als u die kent, of gebruik een zoekmachine om op deze pagina te belanden (na te hebben gecontroleerd dat de link geen advertentie is);
- Wees op uw hoede bij prijzen die een betaling vereisen, zelfs als dit een klein bedrag is. U loopt dan namelijk het risico om meer geld kwijt te raken dan een gevraagde bedrag;
- Bewaar uw persoonlijke gegevens zorgvuldig, en als u twijfelt over een website, voer u contactgegevens hier dan niet in;
- Gebruik een betrouwbare beveiligingsoplossing die u waarschuwt als u op het punt staat om een frauduleuze website te bezoeken.