Phishing: verschil tussen versies
Nieuwe pagina aangemaakt met 'TODO' |
Geen bewerkingssamenvatting |
||
| (20 tussenliggende versies door 2 gebruikers niet weergegeven) | |||
| Regel 1: | Regel 1: | ||
Social engineering is een verzamelnaam voor trucs die cybercriminelen gebruiken om mensen te misleiden. Ze doen zich voor als iemand anders om zo toegang te krijgen tot jouw persoonlijke gegevens of geld. Het gevaarlijke aan social engineering is dat criminelen inspelen op menselijke emoties zoals angst, nieuwsgierigheid of behulpzaamheid. | |||
Criminelen kunnen zich voordoen als: | |||
* Medewerkers van je bank | |||
* Collega's of leidinggevenden | |||
* Helpdesk medewerkers | |||
* Medewerkers van bekende bedrijven (Microsoft, PostNL, etc.) | |||
* Overheidsinstanties | |||
== Vormen van social engineering == | |||
=== Wat is phishing? === | |||
Phishing is een vorm van digitale oplichting waarbij criminelen proberen om mensen te verleiden tot het delen van persoonlijke gegevens of het overmaken van geld. Ze doen dit door zich voor te doen als een betrouwbare organisatie, zoals een bank, overheidsinstantie of bekend bedrijf. De naam 'phishing' komt van het Engelse 'fishing' (vissen), omdat criminelen met een lokaas proberen om slachtoffers te 'vangen'. Bij phishing ontvang je meestal een '''e-mail''' die er betrouwbaar uitziet, met daarin een dringend verzoek om actie te ondernemen. Vaak moet je op een link klikken die naar een valse website leidt, waar je vervolgens je gegevens moet invullen. Deze gegevens komen dan direct in handen van de criminelen. | |||
'''Veelvoorkomende phishing-trucs:''' | |||
# Bankfraude | |||
#* Nep e-mails over "verdachte transacties" | |||
#* Verzoeken om in te loggen via een link | |||
#* Waarschuwingen over verlopen passen of accounts | |||
# CEO-fraude | |||
#* E-mails die lijken te komen van je directeur | |||
#* Verzoeken om dringende betalingen | |||
#* Vaak persoonlijk geschreven met details over je organisatie | |||
# '''Inloggegevens'''-phishing | |||
#* Verzoeken om je wachtword te vernieuwen | |||
#* Meldingen over volle mailboxen | |||
#* Waarschuwingen over geblokkeerde accounts | |||
'''Voorbeelden:'''<blockquote>Je krijgt een e-mail die lijkt te komen van je bank. Er staat dat er verdachte activiteit is gezien op je rekening en dat je direct moet inloggen om je rekening te controleren. De link in de mail leidt naar een nepwebsite die sprekend lijkt op die van je bank. | |||
Je ontvangt een e-mail van "de baas" waarin staat dat er met spoed een betaling moet worden gedaan aan een leverancier. Het rekeningnummer is anders dan normaal, maar er wordt benadrukt dat het zeer dringend is.</blockquote> | |||
=== Smishing === | |||
Smishing is eigenlijk 'phishing via SMS'. De term is een combinatie van 'SMS' en 'phishing'. Bij smishing ontvang je een SMS-bericht dat lijkt te komen van een betrouwbare organisatie. Deze berichten zijn vaak kort en krachtig en spelen in op je nieuwsgierigheid of bezorgdheid. Ze bevatten bijna altijd een link waar je op moet klikken. Criminelen gebruiken smishing vaak om zich voor te doen als pakketbezorgers of banken. De berichten suggereren dat er iets mis is - bijvoorbeeld dat een pakket niet bezorgd kon worden of dat er een probleem is met je bankrekening - en dat je snel actie moet ondernemen. Als je op de link klikt, kom je op een valse website terecht waar criminelen je persoonlijke gegevens of bankgegevens proberen te stelen. | |||
'''Veelvoorkomende smishing-berichten:''' | |||
# Pakketbezorging | |||
#* "Je pakket kan niet bezorgd worden" | |||
#* Kleine bedragen voor "herbezorging" | |||
#* Tracking-links voor nepzendingen | |||
# Bankberichten | |||
#* Waarschuwingen over geblokkeerde rekeningen | |||
#* Verzoeken om je bankapp te updaten | |||
#* Meldingen over verdachte transacties | |||
# Overheidsberichten | |||
#* Nepberichten over toeslagen | |||
#* Valse belasingteruggaven | |||
#* Boetes die direct betaald moeten worden | |||
'''Voorbeelden:'''<blockquote>Je krijgt een SMS: "PostNL: Uw pakket kon niet bezorgd worden. Betaal €1,50 verzendkosten via: [link]". De link leidt naar een nepwebsite waar criminelen je bankgegevens proberen te stelen. | |||
Je ontvangt een SMS: "DigiD: Uw account wordt geblokkeerd. Update nu via [link]". Ze proberen zo je DigiD-gegevens te stelen.</blockquote> | |||
=== Helpdeskfraude === | |||
Helpdeskfraude, ook wel bekend als 'tech support scam', is een vorm van oplichting waarbij criminelen zich voordoen als medewerkers van een technische helpdesk. Ze '''bellen mensen onverwacht''' op en beweren dat ze van Microsoft, Windows of een andere bekende organisatie zijn. De oplichters vertellen hun slachtoffers dat er een ernstig probleem is met hun computer, zoals een virus of een beveiligingslek. Ze proberen mensen bang te maken door te suggereren dat hun gegevens in gevaar zijn. Vervolgens bieden ze aan om het probleem op te lossen, maar daarvoor moeten ze wel toegang krijgen tot de computer van het slachtoffer. Als ze die toegang krijgen, kunnen ze persoonlijke gegevens stelen, schadelijke software installeren of zelfs je computer vergrendelen en losgeld eisen. | |||
'''Veelvoorkomende scenarios:''' | |||
# Microsoft/Windows support | |||
#* Beweren dat je computer geïnfecteerd is | |||
#* Willen op afstand meekijken | |||
#* Vragen om software te installeren | |||
# Bankmedewerkers | |||
#* Zeggen dat er verdachte transacties zijn | |||
#* Vragen om geld "veilig te stellen" | |||
#* Willen je pincode of inloggegevens | |||
# IT-helpdesk | |||
#* Doen zich voor als interne IT-afdeling | |||
#* Melden problemen met je account | |||
#* Vragen om inloggegevens te verifiëren | |||
'''Voorbeelden:'''<blockquote>Je wordt gebeld door "Microsoft": er zou een virus op je computer zitten. Ze willen je helpen door op afstand in te loggen op je computer. In werkelijkheid willen ze toegang tot je gegevens of software installeren om je computer over te nemen. | |||
Een "bankmedewerker" belt je over verdachte transacties. Ze vragen je om geld over te maken naar een "veilige rekening" of om je bankpas door te knippen. Dit is altijd nep - een echte bank vraagt dit nooit.</blockquote> | |||
== Preventie en bescherming == | |||
=== Herkenning === | |||
Het herkennen van phishing- of spoofing-pogingen is cruciaal om jezelf te beschermen tegen deze vorm van cybercriminaliteit. Hoewel phishing-aanvallen steeds geavanceerder worden, zijn er enkele aanwijzingen en waarschuwingssignalen die je kunnen helpen om potentiële phishing-pogingen te identificeren. Hier zijn enkele belangrijke punten om op te letten: | |||
==== Verdachte e-mails en berichten ==== | |||
Let goed op verdachte e-mails en berichten die je ontvangt, vooral als ze afkomstig lijken te zijn van bekende organisaties. Enkele indicatoren van een phishing-e-mail kunnen zijn: | |||
* '''Afzenderadres''': Controleer het e-mailadres van de afzender. Let op spelfouten, ongebruikelijke domeinen of vreemde tekens die kunnen wijzen op een '''valse afzender'''. | |||
* '''Spelfouten en grammaticale fouten''': Phishing-e-mails bevatten vaak spelfouten, grammaticale fouten of onjuistheden die niet gebruikelijk zijn in legitieme communicatie van professionele organisaties. | |||
* '''Dringende en dreigende toon''': Phishing-e-mails proberen vaak angst of urgentie op te wekken om je te dwingen snel te handelen zonder goed na te denken. | |||
* '''Verzoek om persoonlijke informatie''': Wees voorzichtig met e-mails die vragen om persoonlijke informatie, zoals wachtwoorden, pincodes of creditcardgegevens. Legitieme organisaties vragen niet naar dergelijke informatie via e-mail. | |||
==== Valse websites ==== | |||
Phishing-aanvallers creëren vaak valse websites die er identiek uitzien aan legitieme websites om slachtoffers te misleiden. Hier zijn enkele punten om op te letten bij het beoordelen van de legitimiteit van een website: | |||
* '''[[Phishing - Herkenning - URL|URL-controle]]''': Controleer zorgvuldig de URL (het webadres) van de website. Phishing-aanvallers gebruiken soms vergelijkbare domeinnamen met kleine wijzigingen om legitiem te lijken, dus let goed op spelfouten, extra tekens of afwijkende domeinextensies. | |||
* '''Beveiligingspictogrammen''': Controleer of er beveiligingspictogrammen, zoals een hangslotje of een "https://" -protocol, aanwezig zijn in de adresbalk van de browser. Dit geeft aan dat de verbinding met de website veilig is en dat je gegevens versleuteld worden verzonden. | |||
* '''Algemene lay-out en inhoud''': Valse websites kunnen er visueel vergelijkbaar uitzien met legitieme websites, maar let op inconsistenties in de lay-out, taalgebruik en algemene presentatie van de inhoud. | |||
==== Sociale manipulatie ==== | |||
Phishing-aanvallers maken gebruik van sociale manipulatie (ook wel social engineering genoemd) om slachtoffers te misleiden en hun vertrouwen te winnen. Hier zijn enkele tactieken die ze kunnen gebruiken: | |||
* '''Spoofing van bekende contacten''': Wees voorzichtig met berichten of oproepen van bekende contacten die om ongebruikelijke verzoeken of vertrouwelijke informatie vragen. Hun accounts kunnen zijn gecompromitteerd door phishing-aanvallers. | |||
* '''Emotionele manipulatie''': Phishing-aanvallen kunnen inspelen op je emoties door bijvoorbeeld te beweren dat er een probleem is met je account of dat er dringende hulp nodig is. Wees op je hoede voor berichten die proberen angst, nieuwsgierigheid of medeleven op te wekken zonder duidelijke reden. Deze sociale manipulatie is ook wel bekend in de vorm van 'helpdeskfraude'. Hierbij belt een nep-medewerker van bijvoorbeeld Microsoft op om je te 'helpen' bij een niet-bestaand beveiligingsrisico in jouw programma. | |||
=== Maatregelen === | |||
==== Beveiligingssoftware ==== | |||
Gebruik up-to-date beveiligingssoftware, zoals antivirusprogramma's, firewalls en anti-phishing-tools. Deze software kan helpen bij het detecteren en blokkeren van phishing-pogingen, evenals andere vormen van malware (virussen, scahdelijke software, etc.). Zorg ervoor dat je de software regelmatig bijwerkt om ervoor te zorgen dat je beschermd bent tegen de nieuwste bedreigingen. Check ook onze [[Spelregel: beveiligingsmaatregelen|spelregels]] met betrekking tot te nemen beveiligingsmaatregelen. | |||
==== Tweefactorauthenticatie (2FA) ==== | |||
Gebruik [[Spelregel: beveiligingsmaatregelen|tweefactorauthenticatie (2FA)]] wanneer mogelijk. 2FA voegt een extra beveiligingslaag toe aan je online accounts door te vereisen dat je naast een wachtwoord een tweede vorm van verificatie verstrekt, zoals een unieke code die naar je mobiele apparaat wordt gestuurd. Hierdoor wordt het voor aanvallers moeilijker om toegang te krijgen tot je accounts, zelfs als ze je wachtwoord hebben verkregen. | |||
== Help! Phishing. Wat nu? == | |||
Het melden van phishing- of spoofing-aanvallen is een belangrijke stap om niet alleen jezelf te beschermen, maar ook anderen te helpen. Je organisatie kan collega's waarschuwen en zorgen dat de e-mail in het vervolg door spam-filters wordt tegengehouden. Indien er iemand in de e-mail is getrapt, kan de organisatie proberen de schade te beperken. Daarnaast moet het in sommige gevallen ook gemeld worden aan de toezichthouder. Daar zal de organisatie voor zorgen. | |||
Huidige versie van 19 nov 2024 om 17:11
Social engineering is een verzamelnaam voor trucs die cybercriminelen gebruiken om mensen te misleiden. Ze doen zich voor als iemand anders om zo toegang te krijgen tot jouw persoonlijke gegevens of geld. Het gevaarlijke aan social engineering is dat criminelen inspelen op menselijke emoties zoals angst, nieuwsgierigheid of behulpzaamheid.
Criminelen kunnen zich voordoen als:
- Medewerkers van je bank
- Collega's of leidinggevenden
- Helpdesk medewerkers
- Medewerkers van bekende bedrijven (Microsoft, PostNL, etc.)
- Overheidsinstanties
Vormen van social engineering
Wat is phishing?
Phishing is een vorm van digitale oplichting waarbij criminelen proberen om mensen te verleiden tot het delen van persoonlijke gegevens of het overmaken van geld. Ze doen dit door zich voor te doen als een betrouwbare organisatie, zoals een bank, overheidsinstantie of bekend bedrijf. De naam 'phishing' komt van het Engelse 'fishing' (vissen), omdat criminelen met een lokaas proberen om slachtoffers te 'vangen'. Bij phishing ontvang je meestal een e-mail die er betrouwbaar uitziet, met daarin een dringend verzoek om actie te ondernemen. Vaak moet je op een link klikken die naar een valse website leidt, waar je vervolgens je gegevens moet invullen. Deze gegevens komen dan direct in handen van de criminelen.
Veelvoorkomende phishing-trucs:
- Bankfraude
- Nep e-mails over "verdachte transacties"
- Verzoeken om in te loggen via een link
- Waarschuwingen over verlopen passen of accounts
- CEO-fraude
- E-mails die lijken te komen van je directeur
- Verzoeken om dringende betalingen
- Vaak persoonlijk geschreven met details over je organisatie
- Inloggegevens-phishing
- Verzoeken om je wachtword te vernieuwen
- Meldingen over volle mailboxen
- Waarschuwingen over geblokkeerde accounts
Voorbeelden:
Je krijgt een e-mail die lijkt te komen van je bank. Er staat dat er verdachte activiteit is gezien op je rekening en dat je direct moet inloggen om je rekening te controleren. De link in de mail leidt naar een nepwebsite die sprekend lijkt op die van je bank.
Je ontvangt een e-mail van "de baas" waarin staat dat er met spoed een betaling moet worden gedaan aan een leverancier. Het rekeningnummer is anders dan normaal, maar er wordt benadrukt dat het zeer dringend is.
Smishing
Smishing is eigenlijk 'phishing via SMS'. De term is een combinatie van 'SMS' en 'phishing'. Bij smishing ontvang je een SMS-bericht dat lijkt te komen van een betrouwbare organisatie. Deze berichten zijn vaak kort en krachtig en spelen in op je nieuwsgierigheid of bezorgdheid. Ze bevatten bijna altijd een link waar je op moet klikken. Criminelen gebruiken smishing vaak om zich voor te doen als pakketbezorgers of banken. De berichten suggereren dat er iets mis is - bijvoorbeeld dat een pakket niet bezorgd kon worden of dat er een probleem is met je bankrekening - en dat je snel actie moet ondernemen. Als je op de link klikt, kom je op een valse website terecht waar criminelen je persoonlijke gegevens of bankgegevens proberen te stelen.
Veelvoorkomende smishing-berichten:
- Pakketbezorging
- "Je pakket kan niet bezorgd worden"
- Kleine bedragen voor "herbezorging"
- Tracking-links voor nepzendingen
- Bankberichten
- Waarschuwingen over geblokkeerde rekeningen
- Verzoeken om je bankapp te updaten
- Meldingen over verdachte transacties
- Overheidsberichten
- Nepberichten over toeslagen
- Valse belasingteruggaven
- Boetes die direct betaald moeten worden
Voorbeelden:
Je krijgt een SMS: "PostNL: Uw pakket kon niet bezorgd worden. Betaal €1,50 verzendkosten via: [link]". De link leidt naar een nepwebsite waar criminelen je bankgegevens proberen te stelen.
Je ontvangt een SMS: "DigiD: Uw account wordt geblokkeerd. Update nu via [link]". Ze proberen zo je DigiD-gegevens te stelen.
Helpdeskfraude
Helpdeskfraude, ook wel bekend als 'tech support scam', is een vorm van oplichting waarbij criminelen zich voordoen als medewerkers van een technische helpdesk. Ze bellen mensen onverwacht op en beweren dat ze van Microsoft, Windows of een andere bekende organisatie zijn. De oplichters vertellen hun slachtoffers dat er een ernstig probleem is met hun computer, zoals een virus of een beveiligingslek. Ze proberen mensen bang te maken door te suggereren dat hun gegevens in gevaar zijn. Vervolgens bieden ze aan om het probleem op te lossen, maar daarvoor moeten ze wel toegang krijgen tot de computer van het slachtoffer. Als ze die toegang krijgen, kunnen ze persoonlijke gegevens stelen, schadelijke software installeren of zelfs je computer vergrendelen en losgeld eisen.
Veelvoorkomende scenarios:
- Microsoft/Windows support
- Beweren dat je computer geïnfecteerd is
- Willen op afstand meekijken
- Vragen om software te installeren
- Bankmedewerkers
- Zeggen dat er verdachte transacties zijn
- Vragen om geld "veilig te stellen"
- Willen je pincode of inloggegevens
- IT-helpdesk
- Doen zich voor als interne IT-afdeling
- Melden problemen met je account
- Vragen om inloggegevens te verifiëren
Voorbeelden:
Je wordt gebeld door "Microsoft": er zou een virus op je computer zitten. Ze willen je helpen door op afstand in te loggen op je computer. In werkelijkheid willen ze toegang tot je gegevens of software installeren om je computer over te nemen.
Een "bankmedewerker" belt je over verdachte transacties. Ze vragen je om geld over te maken naar een "veilige rekening" of om je bankpas door te knippen. Dit is altijd nep - een echte bank vraagt dit nooit.
Preventie en bescherming
Herkenning
Het herkennen van phishing- of spoofing-pogingen is cruciaal om jezelf te beschermen tegen deze vorm van cybercriminaliteit. Hoewel phishing-aanvallen steeds geavanceerder worden, zijn er enkele aanwijzingen en waarschuwingssignalen die je kunnen helpen om potentiële phishing-pogingen te identificeren. Hier zijn enkele belangrijke punten om op te letten:
Verdachte e-mails en berichten
Let goed op verdachte e-mails en berichten die je ontvangt, vooral als ze afkomstig lijken te zijn van bekende organisaties. Enkele indicatoren van een phishing-e-mail kunnen zijn:
- Afzenderadres: Controleer het e-mailadres van de afzender. Let op spelfouten, ongebruikelijke domeinen of vreemde tekens die kunnen wijzen op een valse afzender.
- Spelfouten en grammaticale fouten: Phishing-e-mails bevatten vaak spelfouten, grammaticale fouten of onjuistheden die niet gebruikelijk zijn in legitieme communicatie van professionele organisaties.
- Dringende en dreigende toon: Phishing-e-mails proberen vaak angst of urgentie op te wekken om je te dwingen snel te handelen zonder goed na te denken.
- Verzoek om persoonlijke informatie: Wees voorzichtig met e-mails die vragen om persoonlijke informatie, zoals wachtwoorden, pincodes of creditcardgegevens. Legitieme organisaties vragen niet naar dergelijke informatie via e-mail.
Valse websites
Phishing-aanvallers creëren vaak valse websites die er identiek uitzien aan legitieme websites om slachtoffers te misleiden. Hier zijn enkele punten om op te letten bij het beoordelen van de legitimiteit van een website:
- URL-controle: Controleer zorgvuldig de URL (het webadres) van de website. Phishing-aanvallers gebruiken soms vergelijkbare domeinnamen met kleine wijzigingen om legitiem te lijken, dus let goed op spelfouten, extra tekens of afwijkende domeinextensies.
- Beveiligingspictogrammen: Controleer of er beveiligingspictogrammen, zoals een hangslotje of een "https://" -protocol, aanwezig zijn in de adresbalk van de browser. Dit geeft aan dat de verbinding met de website veilig is en dat je gegevens versleuteld worden verzonden.
- Algemene lay-out en inhoud: Valse websites kunnen er visueel vergelijkbaar uitzien met legitieme websites, maar let op inconsistenties in de lay-out, taalgebruik en algemene presentatie van de inhoud.
Sociale manipulatie
Phishing-aanvallers maken gebruik van sociale manipulatie (ook wel social engineering genoemd) om slachtoffers te misleiden en hun vertrouwen te winnen. Hier zijn enkele tactieken die ze kunnen gebruiken:
- Spoofing van bekende contacten: Wees voorzichtig met berichten of oproepen van bekende contacten die om ongebruikelijke verzoeken of vertrouwelijke informatie vragen. Hun accounts kunnen zijn gecompromitteerd door phishing-aanvallers.
- Emotionele manipulatie: Phishing-aanvallen kunnen inspelen op je emoties door bijvoorbeeld te beweren dat er een probleem is met je account of dat er dringende hulp nodig is. Wees op je hoede voor berichten die proberen angst, nieuwsgierigheid of medeleven op te wekken zonder duidelijke reden. Deze sociale manipulatie is ook wel bekend in de vorm van 'helpdeskfraude'. Hierbij belt een nep-medewerker van bijvoorbeeld Microsoft op om je te 'helpen' bij een niet-bestaand beveiligingsrisico in jouw programma.
Maatregelen
Beveiligingssoftware
Gebruik up-to-date beveiligingssoftware, zoals antivirusprogramma's, firewalls en anti-phishing-tools. Deze software kan helpen bij het detecteren en blokkeren van phishing-pogingen, evenals andere vormen van malware (virussen, scahdelijke software, etc.). Zorg ervoor dat je de software regelmatig bijwerkt om ervoor te zorgen dat je beschermd bent tegen de nieuwste bedreigingen. Check ook onze spelregels met betrekking tot te nemen beveiligingsmaatregelen.
Tweefactorauthenticatie (2FA)
Gebruik tweefactorauthenticatie (2FA) wanneer mogelijk. 2FA voegt een extra beveiligingslaag toe aan je online accounts door te vereisen dat je naast een wachtwoord een tweede vorm van verificatie verstrekt, zoals een unieke code die naar je mobiele apparaat wordt gestuurd. Hierdoor wordt het voor aanvallers moeilijker om toegang te krijgen tot je accounts, zelfs als ze je wachtwoord hebben verkregen.
Help! Phishing. Wat nu?
Het melden van phishing- of spoofing-aanvallen is een belangrijke stap om niet alleen jezelf te beschermen, maar ook anderen te helpen. Je organisatie kan collega's waarschuwen en zorgen dat de e-mail in het vervolg door spam-filters wordt tegengehouden. Indien er iemand in de e-mail is getrapt, kan de organisatie proberen de schade te beperken. Daarnaast moet het in sommige gevallen ook gemeld worden aan de toezichthouder. Daar zal de organisatie voor zorgen.