Online veiligheid wordt onderschat: 4 tips tegen phishing

Phishing, het listige vissen naar persoonlijke informatie, blijft voor fraudeurs een populaire vorm van internetfraude. Een op de tien Nederlanders heeft inmiddels weleens in een bericht op een foute link geklikt. Phishing via e-mail is nog altijd aanvalsstrategie nummer 1. Tegelijkertijd maken we ons (te) weinig zorgen over onze online veiligheid. Wat kun je doen?

Phishing

Phishing is een verzamelterm voor (internet)fraude, waarbij criminelen je door middel van namaak e-mails en diverse trucs proberen te verleiden om vertrouwelijke informatie prijs te geven. Ongeveer 9 op de 10 incidenten rond informatieveiligheid beginnen met een phishing e-mailtje, maar aanvallers gebruiken bijvoorbeeld ook telefoon, sms en social media. Zo is ook WhatsApp-fraude fors toegenomen.

In de IT wordt e-mailbeveiliging als een voortdurende zorg beschouwt. Ongeveer 3 op de 4 eindgebruikers (74 procent) zeggen dat de meeste aanvallen via e-mail binnenkomen, en dat daar in de voorbije jaren bovendien een gestage groei in heeft plaatsgevonden. Maar liefst 87 procent van IT-beslissers voorspelt bovendien dat cyberdreigingen via e-mail de komende tijd alleen maar toe zal namen. 

E-mailveiligheid

E-mail is daarmee nog steeds een groot punt van zorg binnen bedrijven, zo niet het grootste punt: maar liefst 94 procent geeft aan dat het e-mailverkeer het meest kwetsbare deel van de informatiebeveiliging is. Althans, dat zijn enkele resultaten uit een onderzoek van Barracuda Networks onder 280 beslissingsmakers in verschillende industrieën in de EMEA-regio. De bevindingen staan opvallend genoeg haaks op de resultaten van een onderzoek over online veiligheid onder Nederlanders dat Motivaction heeft uitgevoerd in opdracht van internetprovider XS4ALL. In een peiling onder 1500 respondenten gaf de helft aan zich ‘enige zorgen’ te maken, terwijl bijna 4 op de 10 zich ‘weinig’ of ‘heel weinig’ zorgen maken. “Maar dat betekent niet dat de meeste mensen hun veiligheid op orde hebben", zei Arjan van Hattum van XS4ALL in het NOS Radio 1 Journaal. "Mensen nemen gewoon niet altijd de juiste maatregelen, terwijl ze wel begrijpen wat er allemaal aan de hand is."

Phishing via e-mail is niet alleen de favoriete strategie van cybercriminelen, maar wordt ook steeds geavanceerder. E-mails worden niet alleen in grote aantallen naar potentiële slachtoffers gestuurd, maar ook steeds vaker op maat gemaakt. Hackers bestuderen bijvoorbeeld je social media om te achterhalen wat je bezighoudt, of waarmee ze je kunnen bereiken. Fraudeurs doen zich voor als een vertrouwde instantie, zoals je bank of LinkedIn, of als een bekende klant of relatie uit je netwerk. Via een valse e-mail proberen ze je wachtwoord, creditcardgegevens of andere vertrouwelijke gegevens te achterhalen, of zelfs direct een financiële transactie in gang te zetten.

Wat kun je doen?

Bij Domein-Registreren hechten we grote waarde aan informatieveiligheid. Daarom voldoen we bijvoorbeeld aan de strenge eisen van de ISO en zijn we ISO-27001 gecertificeerd voor hosting en domeinregistratie, software development en online marketing. Dankzij deze certificering voldoen we aantoonbaar aan alle eisen op het gebied van informatiebeveiliging.

Omdat we werken volgens deze normen, kunnen we ervoor zorgen dat jouw data nog beter beschermd is. Zo maken we dagelijks – en soms zelfs nog vaker – backups, scannen we e-mails en websites op virussen en malware, en monitoren we de activiteiten op onze servers. Daarnaast bieden we TLS-certificaten aan. Daarmee vergroot je de kans op meer omzet én op een hogere score in Google, maar zorg je ook voor een veilige verbinding tussen jouw server en de browser van je webbezoeker. Maar wat kun je als eindgebruiker zelf doen om je te wapenen tegen de dreiging van phishing en andere vormen van internetfraude?

We geven je 4 tips. 

1. Begin met voorzorgsmaatregelen

Dankzij slimme e-mailfilters worden in de praktijk al veel verdachte berichten onderschept, om te voorkomen dat je dagelijks overspoeld wordt door foute e-mail. Phishing helemaal tegengaan is niet gemakkelijk, zeker niet omdat strategieën van fraudeurs allang wat geavanceerder zijn dan in de begindagen van digitale post. Een voorbeeld is ‘spoofing’, waarbij het lijkt alsof het bericht van een betrouwbare afzender komt, misschien zelfs van een bekende. Die pogingen zijn een stuk lastiger te negeren dan berichtje van een loterij, een Nigeriaanse prins met een zak geld of een elektronicagigant (‘klik hier voor een gratis iPhone!’). Gelukkig kun je wel een aantal stappen zetten om jezelf beter af te schermen.

Begin met de juiste instellingen van je spamfolder, zodat het leeuwendeel van de phishing-mails je inbox niet eens bereikt. En een goede virusscanner is ook een must. Maar zorg vooral dat je je e-mailadres niet zomaar overal achterlaat. Hoe vaker je je gegevens op willekeurige websites invult, hoe groter de kans dat ze in jouw inbox komen vissen. Maak daarom een extra mailbox aan speciaal voor alle websites waar je je ‘gewone e-mailadres (zakelijk of privé) niet wil achterlaten.

2. Deel nooit persoonsgegevens of financiële informatie

Een bank, verzekeraar of abonnementendienst zal je via e-mail nooit vragen naar je burgerservicenummer of je pincode, bankrekening of creditcardnummer. Ook een medewerker van Domein-Registreren zal je nooit om je wachtwoord vragen. Deel deze gegevens daarom nooit als er in een e-mail om gevraagd wordt. En neem bij twijfel altijd contact op met de betreffende partij alvorens ergens inhoudelijk op in te gaan – grote kans dat de boodschap niet van hen komt. Je kunt dat vaak zelf al bevestigen door via je browser (niet via de e-mail!) naar de website te gaan om een en ander te checken.

3. Wees ook buiten je inbox alert

Phishing beperkt zich niet tot e-mailverkeer, dus wees ook bij andere online gewoontes op de hoede. Kwaadaardige URL’s en linkjes die je om de tuin willen leiden zijn net zo goed op websites te vinden (“Welkom 1.000.000ste bezoeker, klik hier voor je prijs!”), en worden steeds vaker ook via social media verspreid. Op een platform als Facebook en tegenwoordig ook WhatsApp zijn ze doorgaans nog effectiever ook, omdat je daar eerder geneigd bent om een linkje te volgen dan in een vreemde e-mail van een onbekende afzender. Zeker wanneer dat bericht van een bevriende relatie lijkt te komen. Klik dus ook elders op internet niet zomaar op een linkje!

Naast waakzaamheid, ook buiten de inbox, is er nog een tweede tip tegen fraudeurs op WhatsApp: tweefactorverificatie. Ook WhatsApp gebruikt namelijk 2FA. Dat beschermt je niet voor ongewenste berichtjes van vreemde nummers, maar zorgt er wel voor dat het voor kwaadwillenden een stuk lastiger is om jouw account over te nemen om anderen (jouw relaties!) lastig te gaan vallen. Via Instellingen > Account > Verificatie in twee stappen kun je eenvoudig een 6-cijferige code toevoegen om je WhatsApp te beschermen.

4. Twijfels? Die zijn vaak terecht!

We noemden het bij tip 1 al: geavanceerde phishing e-mails zijn allang niet meer anoniem, maar lijken van een bekende of in ieder geval betrouwbare afzender te zijn. Die worden doorgaans dus ook niet door spamfilters of virusscanners onderschept. Toch zijn er dan vaak in het bericht zelf de nodige red flags waar je dubieuze bedoelingen aan kunt herkennen. De boodschap is een beetje vreemd, de betreffende persoon of instantie zou iets nooit zodanig formuleren, de toon is niet in orde – et cetera. Als een mailtje niet ‘pluis’ voelt, dan is het waarschijnlijk ook niet pluis. Kortom: als je twijfelt, is dat vaak terecht.

Check vervolgens de andere signalen waar je phishing aan kunt herkennen: een vreemd e-mailadres van de afzender, een overdreven (positieve) boodschap, een vorm van druk of dreiging, veel taalfouten of rare vertalingen, een merkwaardige URL onder een linkje of een afwijkende, onpersoonlijke aanhef. Onzeker? Ga ook dan rechtstreeks (niet via de e-mail) naar de website van de afzender om de waarheid te achterhalen. En onthoud: te mooi om waar te zijn is vaak inderdaad te mooi om waar te zijn.