De listige manieren om gegevens te bemachtigen worden bovendien steeds geavanceerder en met name het MKB is een geliefd doelwit van cybercriminelen. Waar moet je op letten, en wat kun je doen om je te wapenen?

Phishing

Phishing is een verzamelterm voor (internet)fraude, waarbij criminelen je door middel van namaak e-mails en diverse trucs proberen te verleiden om vertrouwelijke informatie prijs te geven. Ongeveer 9 op de 10 incidenten rond informatieveiligheid beginnen met een phishing e-mailtje, maar aanvallers gebruiken bijvoorbeeld ook telefoon, sms en social media. Zo is ook WhatsApp-fraude fors toegenomen.

Ruim 500.000 foute websites

We schreven al dat het aantal phishing websites met 22 procent is gestegen ten opzichte van vorig jaar, toen er mede door de coronacrisis al een explosieve groei van foute websites te zien was. Uit het aangehaalde rapport van PhishLabs blijkt dat er voor het eerst in de geschiedenis meer dan een half miljoen websites zijn waar financiële en andere vertrouwelijke of persoonlijke gegevens worden ondervangen voor financieel gewin.

Ongeveer 3 op de 4 websites zijn speciaal voor dat doel gelanceerd, terwijl het resterende kwart bestaat uit bestaande domeinen die werden gehackt. Daarnaast is de focus van phishing pogingen deels verlegd. Het zijn sowieso allang niet meer alleen de e-mails met vreemde links of verdachte bijlagen, maar in het afgelopen jaar alleen steeg phishing via foute advertenties op social media met 47 procent.

Phishing en e-mailveiligheid

Ondanks de toegenomen aanwezigheid van fraudeurs op social media blijft e-mail een groot punt van zorg voor veel bedrijven. Phishing via e-mail is niet alleen de favoriete strategie van cybercriminelen, maar wordt ook steeds geavanceerder. E-mails worden namelijk niet alleen in grote aantallen naar potentiële slachtoffers gestuurd, maar ook steeds vaker op maat gemaakt. Hackers bestuderen bijvoorbeeld je social media om te achterhalen wat je bezighoudt, of waarmee ze je kunnen bereiken.

Fraudeurs doen zich voor als een vertrouwde instantie, zoals je bank of LinkedIn, of als een bekende klant of relatie uit je netwerk. Via een valse e-mail proberen ze je wachtwoord, creditcardgegevens of andere vertrouwelijke gegevens te achterhalen, of zelfs direct een financiële transactie in gang te zetten.

Wat kun je doen?

Bij Domein-Registreren hechten we grote waarde aan informatieveiligheid. Daarom voldoen we bijvoorbeeld aan de strenge eisen van de ISO en zijn we ISO-27001 gecertificeerd voor hosting en domeinregistratie, software development en online marketing. Dankzij deze certificering voldoen we aantoonbaar aan alle eisen op het gebied van informatieveiligheid.

Omdat we werken volgens deze normen, kunnen we ervoor zorgen dat jouw data nog beter beschermd is. Zo maken we dagelijks – en soms zelfs nog vaker – backups, scannen we e-mails en websites op virussen en malware, en monitoren we de activiteiten op onze servers. Daarnaast bieden we TLS-certificaten aan. Daarmee vergroot je de kans op meer omzet én op een hogere score in Google, maar zorg je ook voor een veilige verbinding tussen jouw server en de browser van je webbezoeker. Maar wat kun je als eindgebruiker zelf doen om je te wapenen tegen de dreiging van phishing en andere vormen van internetfraude?

We geven je 4 tips.

1. Begin met voorzorgsmaatregelen
Dankzij slimme e-mailfilters worden in de praktijk al veel verdachte berichten onderschept, om te voorkomen dat je dagelijks overspoeld wordt door foute e-mail. Phishing helemaal tegengaan is niet gemakkelijk, zeker niet omdat strategieën van fraudeurs allang wat geavanceerder zijn dan in de begindagen van digitale post. Een voorbeeld is ‘spoofing’, waarbij het lijkt alsof het bericht van een betrouwbare afzender komt, misschien zelfs van een bekende. Die pogingen zijn een stuk lastiger te negeren dan berichtje van een loterij, een Nigeriaanse prins met een zak geld of een elektronicagigant (‘klik hier voor een gratis iPhone!’). Gelukkig kun je wel een aantal stappen zetten om jezelf beter af te schermen.

Begin met de juiste instellingen van je spamfolder, zodat het leeuwendeel van de phishing-mails je inbox niet eens bereikt. En een goede virusscanner is ook een must. Maar zorg vooral dat je je e-mailadres niet zomaar overal achterlaat. Hoe vaker je je gegevens op willekeurige websites invult, hoe groter de kans dat ze in jouw inbox komen vissen. Maak daarom een extra mailbox aan speciaal voor alle websites waar je je ‘gewone’ e-mailadres (zakelijk of privé) niet wil achterlaten.

2. Deel nooit persoonsgegevens of financiële informatie
Een bank, verzekeraar of abonnementendienst zal je via e-mail nooit vragen naar je burgerservicenummer of je pincode, bankrekening of creditcardnummer. Ook een medewerker van Domein-Registreren zal je nooit om je wachtwoord vragen. Deel deze gegevens daarom nooit als er in een e-mail om gevraagd wordt. En neem bij twijfel altijd contact op met de betreffende partij alvorens ergens inhoudelijk op in te gaan – grote kans dat de boodschap niet van hen komt. Je kunt dat vaak zelf al bevestigen door via je browser (niet via de e-mail!) naar de website te gaan om een en ander te checken.

3. Wees ook buiten je inbox alert
Phishing beperkt zich niet tot e-mailverkeer, dus wees ook bij andere online gewoontes op de hoede. Kwaadaardige URL’s en linkjes die je om de tuin willen leiden zijn net zo goed op websites te vinden (“Welkom 1.000.000ste bezoeker, klik hier voor je prijs!”), en worden steeds vaker ook via social media verspreid. Op een platform als Facebook en tegenwoordig ook WhatsApp zijn ze doorgaans nog effectiever ook, omdat je daar eerder geneigd bent om een linkje te volgen dan in een vreemde e-mail van een onbekende afzender. Zeker wanneer dat bericht van een bevriende relatie lijkt te komen. Klik dus ook elders op internet niet zomaar op een linkje!

Naast waakzaamheid, ook buiten de inbox, is er nog een tweede tip tegen fraudeurs op WhatsApp: tweefactorverificatie. Ook WhatsApp gebruikt namelijk 2FA. Dat beschermt je niet voor ongewenste berichtjes van vreemde nummers, maar zorgt er wel voor dat het voor kwaadwillenden een stuk lastiger is om jouw account over te nemen om anderen (jouw relaties!) lastig te gaan vallen. Via Instellingen > Account > Verificatie in twee stappen kun je eenvoudig een 6-cijferige code toevoegen om je WhatsApp te beschermen.

4. Twijfels? Die zijn vaak terecht!
We noemden het bij tip 1 al: geavanceerde phishing e-mails zijn allang niet meer anoniem, maar lijken van een bekende of in ieder geval betrouwbare afzender te zijn. Die worden doorgaans dus ook niet door spamfilters of virusscanners onderschept. Toch zijn er dan vaak in het bericht zelf de nodige red flags waar je dubieuze bedoelingen aan kunt herkennen. De boodschap is een beetje vreemd, de betreffende persoon of instantie zou iets nooit zodanig formuleren, de toon is niet in orde – et cetera. Als een mailtje niet ‘pluis’ voelt, dan is het waarschijnlijk ook niet pluis. Kortom: als je twijfelt, is dat vaak terecht.

Check vervolgens de andere signalen waar je phishing aan kunt herkennen: een vreemd e-mailadres van de afzender, een overdreven (positieve) boodschap, een vorm van druk of dreiging, veel taalfouten of rare vertalingen, een merkwaardige URL onder een linkje of een afwijkende, onpersoonlijke aanhef. Onzeker? Ga ook dan rechtstreeks (niet via de e-mail) naar de website van de afzender om de waarheid te achterhalen. En onthoud: te mooi om waar te zijn is vaak inderdaad te mooi om waar te zijn.

5. Blijf op de hoogte van de laatste ontwikkelingen
Het goed kunnen afwegen of je een e-mail veilig kunt openen is makkelijker gezegd dan gedaan. Het is vaak erg moeilijk om valse e-mails te herkennen, vooral als het gaat om gerichte aanvallen. Hieronder vind je een aantal adviezen om mogelijke valse e-mails te herkennen. Lees daarom ook deze tips van het Digital Trust Center voor het herkennen van phishing e-mails, en check zo af en toe de rubriek actualiteiten van de Fraudehelpdesk. Daar vind je een overzicht van recente, succesvolle strategieën op het gebied van phishing, die je kunnen helpen om niet in de nieuwste trucjes te trappen!