Het gaat vaak als volgt. Iemand bezoekt een van de sociale media en klikt op een verleidelijke link, waarna er een blauw waarschuwingsscherm verschijnt met het advies een gratis telefoonnummer te bellen om een ernstig computerprobleem op te lossen.
De vriendelijke technicus die de telefoon opneemt wil heel graag helpen – maar het kost wel wat. De zwendel is compleet wanneer het slachtoffer de creditcardgegevens doorgeeft om de software te betalen die het computerprobleem kan verhelpen – en daarvoor een hoge prijs betaalt.
De software werkt niet en de behulpzame technicus verdwijnt spoorloos en laat nooit meer iets van zich horen. De gebruiker is het volgende slachtoffer geworden van een fraudevorm die "vishing” wordt genoemd.
Vishing in een notendop
De meeste mensen hebben wel eens van “phishing” gehoord. Phishing gebeurt via e-mails of sms-berichten die mensen uitnodigen om op een link te klikken die naar bestanden of websites met malware leidt. Ook online advertenties die op consumenten ziin gericht, kunnen zulke links bevatten.
Vishing gebruikt het gesproken woord om mensen te laten geloven dat ze bepaalde acties moeten ondernemen die in hun eigen belang zijn. Vaak gaat vishing verder waar phishing ophoudt.
In het hiervoor genoemde voorbeeld klikte het slachtoffer op een link in een online advertentie die inspeelde op persoonlijke interesses. De malware, die in de link was geïntegreerd, liet de computer vastlopen en dit probleem kon zogenaamd alleen worden opgelost door de behulpzame “technicus” aan de telefoon. Het zou het slachtoffer wel wat geld kosten om het probleem te verhelpen. Het was natuurlijk één grote zwendel en het “bedrijf” van de technicus was juist de bron van het probleem.
Hoe vaak komt vishing voor?
Volgens the BBC bracht creditcardfraude in 2015 wereldwijd 13 miljard euro op, waarvan vishing 0,8 miljard euro voor zijn rekening nam. Het komt erop neer dat vishing mogelijk is zodra overtreders toegang krijgen tot iemands persoonlijke gegevens.
Cybercriminelen creëren doelbewust de omstandigheden om nietsvermoedende slachtoffers zover te krijgen dat ze hun kostbare persoonlijke gegevens vrijwillig overhandigen, waaronder hun volledige naam, adres, telefoonnummer en creditcardnummer.
Met die informatie kunnen cybercriminelen verschillende frauduleuze aanvallen uitvoeren, te beginnen met zogenaamde vergoedingen voor computerreparaties of anti-virussoftware.
Vishing gedijt goed wanneer cybercriminelen een idee hebben van de interesses van een gebruiker. Ze profiteren van deze kennis om een mate van urgentie te creëren rond een probleem in het leven van het slachtoffer. En dan bieden zij zich aan als reddende engel door in sussende bewoordingen een eenvoudig oplossing voor het probleem aan te reiken.
Vishing herkennen
Soms vinden mensen het moeilijk om te herkennen dat ze het slachtoffer van vishing zijn. Slachtoffers beseffen vaak niet dat de behulpzame persoon aan de lijn hen oplicht, totdat ze hun gegevens verstrekt hebben. Er zijn echter waarschuwingssignalen die kunnen helpen om potentiële oplichters te herkennen.
In veel gevallen zijn de personen aan de telefoon zelfbenoemde experts of autoriteiten op hun vakgebied. Ze kunnen zich vermommen als computertechnicus, bankier, politieagent of zelfs als medeslachtoffer.
Maar als deze personen werkelijk legitiem zijn, dan is het niet moeilijk om met een simpel telefoontje hun professionele status te verifiëren. Als ze de informatie om hun identiteit te verifiëren niet kunnen – of willen – leveren, dan zijn ze onbetrouwbaar. Als ze wel contactinformatie geven, dan is het nog steeds belangrijk om hun legitimiteit te verifiëren door naar een officieel algemeen telefoonnummer van de betrokken organisatie te bellen.
Hoewel het verleidelijk is om onder druk toe te geven, zouden bij een panisch gevoel van urgentie de alarmbellen moeten gaan rinkelen. Gebruikers zouden een paar keer diep moeten ademhalen en alle informatie die de persoon aan de lijn geeft, noteren – zonder gegevens over zichzelf te verstrekken. Nogmaals, ze kunnen de hulp van derden inroepen om een telefoonnummer te vinden waar ze de informatie kunnen verifiëren.
De ontvangers van vishingtelefoontjes moeten ook nooit op links klikken in e-mails (phishing) of sms-berichten (smishing) die de persoon aan de lijn ze wellicht toestuurt. Alle correspondentie bevat waarschijnlijk “valstrikken” die malware downloaden, waarmee hackers computersystemen kunnen overnemen, gebruikersgegevens kunnen stelen en zelfs gebruikers kunnen bespioneren.
Als gebruikers ongevraagd worden gebeld door iemand die een of andere computerdienst aanbiedt, dan moeten ze niet proberen terug te bellen met dezelfde telefoon als waarop ze het gesprek hebben aangenomen.
Er bestaat tegenwoordig technologie om de telefoon van een slachtoffer te blokkeren op het moment dat het gesprek wordt beëindigd, waarna alle volgende oproepen vanaf die telefoon naar de frauduleuze beller leiden. Iedereen die gelooft een serieus probleem te hebben, moet met een andere telefoon naar een officieel algemeen telefoonnummer bellen.
Doe aangifte van de misdaad
Een echte technicus die zich aanbiedt om een computer na een malware-incident te redden, zou consumenten dringend adviseren om de wachtwoorden van hun accounts te wijzigen, hun banken en creditcardmaatschappijen op de hoogte te stellen en financiële transacties zorgvuldig in de gaten te houden. Consumenten in de Verenigde Staten zouden vishing-telefoontjes ook moeten melden bij de The Federal Trade Commision online of via (888) 382-1222. Het Internet Crime Complaint Center van de FBI doet eveneens onderzoek naar vishing-praktijken.
Hoewel vishing en z’n online neefje phishing niet snel de wereld uit zullen zijn, kunnen waakzaamheid en een flinke dosis scepsis helpen om het risico op deze vorm van fraude te verkleinen.
Gerelateerde artikelen:
- Wat is adware?
- Wat is een trojan?
- Feiten en veelgestelde vragen over computervirussen en malware
- Spam en phishing