Criminelen azen met phishingmail op jouw persoonlijke gegevens. Die mails zijn bijna niet meer van echt te onderscheiden. Opletten geblazen, dus.
Fernando Rivadeneira – arts en onderzoeker – raakte 104,25 euro kwijt door een phishingmail die zogenaamd afkomstig was van Ziggo. “In de mail stond dat de betaling van ons alles-in-1-pakket niet was gelukt,” zegt Rivadeneira. “We hadden die maand net een pakket met extra zenders genomen, dus het bedrag vond ik niet verdacht. De link in de mail leidde direct naar een betaalscherm. Zonder echt goed te lezen heb ik de mail doorgestuurd naar mijn vrouw, die het bedrag vervolgens heeft overgemaakt. Toen ik een maand later mijn bankafschriften controleerde, zag ik dat we die maand twee keer aan Ziggo hadden betaald.”

Het bedrag kon niet worden teruggeboekt, zoals bij een automatische incasso. Een telefoontje met het kabelbedrijf wijst uit dat Rivadeneira en zijn vrouw slachtoffer zijn geworden van phishingmail. “Ik vind het onvoorstelbaar. Ik werk elke dag met computers en ben normaal gesproken erg alert op dit soort zaken. Maar deze mail was niet van echt te onderscheiden. Het logo, het lettertype, het beeldgebruik – in alles lijkt de mail een 1-op-1-kopie van de mails die Ziggo normaal stuurt. Daarnaast stond het rekeningnummer gek genoeg gewoon op naam van Ziggo.”

Het verhaal van Rivadeneira is er een van zovele. Bij de Fraudehelpdesk, de landelijke vraagbaak over fraude van het ministerie van Veiligheid en Justitie, kwamen dit jaar al bijna vijftigduizend doorgestuurde phishingmails binnen. De mails lijken afkomstig te zijn van bedrijven als Bol.com, Rabobank, Apple en de Belastingdienst, maar worden in feite verstuurd door criminelen. Het doel: jouw persoonlijke gegevens achterhalen om daar vervolgens fraude mee te plegen. De uitwerking is uiteenlopend en wordt steeds professioneler.

Voorheen stonden phishingmails vol spelfouten en niet lopende zinnen. Wie goed keek, zag direct dat het om een namaakmail ging. Maar dat is verleden tijd, zegt ook Fleur van Eck, directeur van de Fraudehelpdesk: “Tot een half jaar geleden kwamen phishingmails rechtstreeks uit een vertaalmachine. Tegenwoordig is negentig procent van de mails foutloos, waardoor het verschil tussen echt en nep moeilijk is te zien.”

In veel gevallen, zoals bij Rivadeneira, wordt in de mails gevraagd om een zogenaamde openstaande rekening te betalen. Onlangs nog hebben studenten van de Hogeschool Rotterdam phishingmail gekregen, met het verzoek om hun collegegeld te betalen. Volgens de Hogeschool hebben negen studenten dit ook gedaan.

Ook worden geregeld mails verstuurd waarin staat dat je een nieuwe betaalpas nodig hebt. Deze ontvang je door je oude pas naar een recyclebedrijf te sturen en je pincode in te vullen op een valse website, die lijkt op de website van je bank. En zo zijn er nog tig veel voorkomende varianten.

Tot een half jaar geleden werden vooral de grote banken nagebootst in nepmails, maar dat trucje hebben veel mensen inmiddels door. Van Eck: “En dus verleggen de fraudeurs hun focus naar onder andere kabelaars, overheidsinstanties en grote winkelketens.”

Veel dadergroepen

Gek genoeg zijn vooral hoogopgeleide jongeren onder de 35 jaar vatbaar voor phishingmail, blijkt uit onderzoek van de Fraudehelpdesk. De verklaring, aldus Van Eck: “Mensen van middelbare leeftijd en ouder zijn van nature voorzichtiger als het gaat om internetfraude.”

Banken en andere betrokken instanties hebben, net als de Fraudehelpdesk, speciale mailboxen ingericht waar mensen verdachte mail naartoe kunnen sturen. Aan de hand van deze mails kunnen de partijen vervolgens besluiten om een verzoek in te dienen tot het ‘neerhalen’ van de achterliggende frauduleuze websites. Op dat moment is er vaak al schade geleden.

De Nationale Politie zegt dat het lastig is om te achterhalen wie er achter phishingaanvallen zitten. “Criminelen maken steeds vaker gebruik van zogenoemde new payment methods, zoals Bitcoins. Deze methoden waarborgen een grote mate van anonimiteit en dat bemoeilijkt ons werk. We hebben wel indicaties dat veel dadergroepen zich in Nederland bevinden, en dan vooral grootstedelijke gebieden,” aldus een woordvoerder van de politie.

Omdat phishingmail uitbannen complex is, doen de betrokken instanties veel aan voorlichting, om zo schade voor de consument te kunnen beperken. Een bekend voorbeeld is de nationale campagne ‘Hang op, klik weg, bel uw bank’ van de Nederlandse Vereniging van Banken. Ook grote partijen als International Card Services (ICS) en Ziggo doen aan voorlichting. Een aantal basisregels (zie kader) kan je helpen om ervoor te zorgen dat je niet wordt beetgenomen. Al schuilt het gevaar altijd in een klein hoekje (of linkje).

Miljoenen euro’s

Dat weet ook Jacqueline de Smet: “Als ik een onbekende mail krijg, kijk ik normaal gesproken direct naar de afzender. Als daar iets raars staat, verwijder ik de mail direct.” En toch liet ze zich beetnemen. “Ik had net mijn oude iPhone aan mijn broer uitgeleend, toen ik een mail kreeg van Apple met de mededeling dat mijn Appleaccount uit veiligheidsoverwegingen was vergrendeld. Voor ik het wist, had ik op de link geklikt om mijn account weer te ontgrendelen, terwijl ik aan het mailadres had kunnen zien dat het een phishingmail was. Gelukkig ben ik geen geld verloren, omdat ik het scherm direct weer wegklikte.”

In de eerste helft van 2015 bedroeg de schade als gevolg van fraude met internetbankieren ruim 3,1 miljoen euro, blijkt uit een rapport van de Nederlandse Vereniging van Banken. In bijna alle gevallen ging het hier om phishing. Om slachtoffers tegemoet te komen, stellen veel banken hun klanten schadeloos.

Zo krijgen klanten van ING die ‘onverhoopt, te goeder trouw op een link hebben geklikt en schade hebben ondervonden’ hun geld terug van de bank. ABN Amro vergoedt eveneens de geleden schade ’tenzij er sprake is van grove nalatigheid’. De bank zegt dat in de praktijk uit coulance nagenoeg alle fraude uit naam van ABN Amro wordt vergoed. ICS stelt klanten in principe schadeloos, tenzij zij zelf hun pincode hebben verstrekt of hun creditcard hebben opgestuurd.

Van Eck van de Fraudehelpdesk: “In de ideale wereld hebben oplichters geen kans op internet, maar zo ver zijn we nog niet. Bovendien is het opsporen van daders een lastige en tijdrovende klus. Voorlopig aan alle partijen de taak de mensen zo goed mogelijk voor te lichten.”

ZO HERKEN JE PHISHINGMAIL

1. Het verzoek

De gouden regel: banken en andere grote instanties vragen in mailberichten nooit om beveiligingscodes en persoonlijke gegevens. Ga dus niet in op een verzoek om deze gegevens in te vullen of op te sturen.

2. De afzender

Banken en andere grote instanties mailen met vaste mailadressen. Zo eindigt mail van ING altijd op ‘@ing.nl’, ‘@ing.com’, ‘@mail.ing.nl’, ‘@verzekeren.ing.nl’ of ‘@emailing.ing.nl’. Eindigt de mail op ‘@noreply.ing.nl’, dan heb je te maken met phishing. Controleer het als je twijfelt.

3. De aanhef

Banken en andere grote instanties sturen je altijd mail met een gepersonaliseerde aanhef. ‘Geachte heer Jansen’, bijvoorbeeld. Krijg je zogenaamd mail van ICS met de aanhef ‘Geachte klant’ of ‘Beste lezer’, dan is er zeer waarschijnlijk sprake van phishing.

4. De links

Klikbare links in phishingmail leiden meestal naar frauduleuze websites – een lookalike website van Rabobank bijvoorbeeld. Je kunt de links controleren door met je cursor op de link te gaan staan, zonder erop te klikken. Het achterliggende internetadres verschijnt dan links onderaan in je scherm.

5. Het taalgebruik

Banken en andere grote instanties schrijven in nette taal. Staat er een dreigement in een mail van T-Mobile of word je in mail van de Belastingdienst verzocht iets met spoed te doen? Dan heb je te maken met phishingmail.

Twijfel je? Klik weg, bel de bank.

Verschenen in Het Parool (17-02-2016) en Algemeen Dagblad (01-03-2016).

Leave A Comment

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *