Phishing

Uit Wikipedia, de vrije encyclopedie
Naar navigatie springen Naar zoeken springen
Voorbeeld van phishing-e-mail

Phishing (naar analogie van phreaking, afgeleid van fishing: "vissen", "hengelen") is een vorm van internetfraude. Het bestaat uit het oplichten van mensen door ze te lokken naar een valse (bank)website, die een kopie is van de echte website, om ze daar – nietsvermoedend – te laten inloggen met hun inlognaam en wachtwoord of hun creditcardnummer. Hierdoor krijgt de fraudeur de beschikking over deze gegevens met alle gevolgen van dien. De fraudeur doet zich hierbij voor als een vertrouwde instantie, zoals een bank. De meeste vormen van phishing gebeuren via e-mail. De slachtoffers worden hierbij met een e-mail naar deze valse website gelokt. De mail bevat een link naar de (valse) website met het verzoek om zogenaamd "de inloggegevens te controleren".

Een andere vorm van phishing is spear fishing, waarbij de persoonlijke gegevens (naam, e-mailadres, telefoonnummer) van het doelwit worden gebruikt om diegene een gevoel van vertrouwen te geven. Er wordt vaak ingespeeld op diens persoonlijke voorkeuren en hobby's die de daders via sociale media hebben achterhaald. Een voetbalfan wordt bijvoorbeeld benaderd met een nep-aanbieding voor gratis seizoenskaarten van zijn favoriete voetbalclub, iemand die van mooie dure kleding houdt met een kortingsactie van haar favoriete kledingmerk. Dit kan ook gebeuren tijdens popconcerten. Fans van de artiest die gaat optreden krijgen dan via e-mail goedkope kaarten aangeboden voor dit concert. Deze blijken dan echter niet te werken bij de toegangspoorten. Op deze manier komen ze er dan achter dat ze opgelicht zijn.

Methode[bewerken | brontekst bewerken]

Bij phishing wordt dikwijls gebruikgemaakt van URL-spoofing. Dit is het nabootsen van de URL van bijvoorbeeld een bank, zodat de gebruiker denkt de echte site te bezoeken, terwijl de URL die van de bedrieger is. Ook wordt de valse site vaak voorzien van het logo van het bedrijf of de bank in kwestie, zodat het voor de gebruiker net lijkt alsof hij op de echte site zit.

Sinds het gebruik van het IDN-systeem (Internationalized domain name), waarbij niet-ASCII-tekens kunnen worden gebruikt in domeinnamen, kan phishing hiervan gebruikmaken door een echte domeinnaam na te bootsen met gelijkwaardige buitenlandse tekens, zodat de gebruiker niet merkt dat het adres niet klopt.

Zelfs met een gewone ASCII-URL kan bedrog gepleegd worden: zo lijkt het adres www.googIe.com, waarin de kleine letter l vervangen is door een hoofdletter i (I), erg op www.google.com, en kan het er, afhankelijk van het lettertype, zelfs exact hetzelfde uitzien.

De meeste banken maken tegenwoordig gebruik van een uitgebreid gevalideerd SSL-certificaat: in moderne internetbrowsers wordt het eerste gedeelte van de adresbalk weergegeven met een groene achtergrond of staat in de adresbalk voor het adres een groen slotje, zodat de gebruiker zeker weet dat hij op de echte pagina zit. Ook begint het adres van de sites van banken altijd met https:// in plaats van met http://, zodat ook hieraan is te zien dat de gebruiker op de echte site zit. Criminelen kunnen echter zelf ook een certificaat installeren op hun website, waardoor zelfs een groen slotje geen zekerheid biedt. Het bekijken van de certificaatdetails door te klikken op het groen slotje geeft meer zekerheid, omdat daar de aanvrager vermeld wordt.

Meestal ontvangt het slachtoffer een mail waarin hem gevraagd wordt zijn account bij bijvoorbeeld een bank na te kijken en te bevestigen. Ook wordt er wel gebruikgemaakt van instant messaging, soms wordt er telefonisch contact opgenomen. Vaak worden er allerlei smoezen bedacht om het slachtoffer onder druk te zetten of in paniek te brengen en zo tot medewerking aan te zetten. Het mailtje gaat bijvoorbeeld over een groot bedrag dat op het punt staat afgeschreven te worden en met de gegeven link naar de (nep)site van de bank kan dit tegengehouden worden. Een ander vaak voorkomend verhaal is dat er fraude is gepleegd met het rekeningnummer en dat het slachtoffer meteen moet inloggen via de link om de rekening te beveiligen dan wel te bevestigen, zo niet dan wordt de rekening bevroren en de politie ingelicht.

Fraudeurs maken veelvuldig gebruik van nepsites van financiële instellingen, eBay en PayPal. Phishing is moeilijk te achterhalen, mensen op het internet moeten vooral zelf opletten en nooit ingaan op een mailverzoek waarin - meestal dringend - gevraagd wordt persoonlijke (financiële) gegevens te geven; zoals bankrekeningnummer, pincode, inloggegevens, burgerservicenummer of creditcardgegevens. Banken vragen immers nooit via e-mail om dergelijke gegevens. Ook kunnen hier gevallen van phishing meestal worden gemeld door de mail door te sturen naar een specifiek e-mailadres. Op deze manier weet de bank dat haar bedrijfsgegevens worden misbruikt en kan deze direct actie ondernemen, bijvoorbeeld door de site in kwestie uit de lucht te laten halen. Ook als men een telefoontje krijgt van een bank met het verzoek om gegevens door te geven of geld over te maken dient men alert te zijn, banken bellen niet zomaar om gegevens op te vragen of geld over te maken.

Het eerste geval van phishing dateert uit 1996.

Kenmerken[bewerken | brontekst bewerken]

In een phishing-bericht zijn vaak de volgende elementen te vinden:[1][2]

  • De mail is niet aan de klant persoonlijk gericht, maar begint met een algemene opening als "geachte klant".
  • De mail bevat taal- en stijlfouten.
  • Er wordt gesuggereerd dat het account "geverifieerd" (op juistheid onderzocht en bevestigd) moet worden met de inloggegevens van de klant.
  • Er wordt gedreigd met gevolgen als niet onmiddellijk gehoor gegeven wordt aan de mail.
  • De link waarnaar wordt verwezen bevat subtiele verschillen met de originele link, zoals een andere extensie of andere schrijfwijze.
  • De afzender correspondeert niet met de naam van het bedrijf.[3]

Een veelgebruikte methode is dat de fraudeur een e-mail stuurt met een bijlage waarin een keylogger of andere malware zit verborgen. De mail functioneert dan als een Trojaans paard. Zodra de gebruiker de bijlage heeft geopend, wordt – op de achtergrond – de keylogger geactiveerd. Hierdoor kan de fraudeur via internet zien welke wachtwoorden de gebruiker gebruikt bij het inloggen bij zijn of haar bank.

Als slachtoffer[bewerken | brontekst bewerken]

Wie slachtoffer is van phishing, wordt aanbevolen:

  • om de bank op de hoogte te brengen van het ontvangen bericht en van de phishingactie;
  • om codes van de online bankaccount te veranderen of deze te blokkeren;
  • om alle gegevens die bewijs kunnen leveren van de feiten en de geleden schade te verzamelen:[4]
  • om onmiddellijk aangifte te doen bij de politie.

Voorkomen van phishing[bewerken | brontekst bewerken]

Men kan door voorzichtigheid te betrachten voorkomen een slachtoffer van een phishing-aanval te worden.

  • Voorlichting door bedrijven aan werknemers ter voorkoming dat het bedrijf slachtoffer wordt.
  • Voorzichtig zijn met social media, de toegankelijkheid van profielen zoveel mogelijk beperken, zo min mogelijk persoonlijke informatie online plaatsen. Hiermee verkleint men het risico op een aanval van spear fishing.
  • Analyseer een e-mail en zoek naar de eerdergenoemde kenmerken. Bekijk de link om de URL te zien en te analyseren alvorens die te openen. Gebruik indien inloggen echt nodig is de website van de bank of instantie in plaats van een link in een bericht.
  • Het is raadzaam ook andere mensen die men kent, bijvoorbeeld familieleden of leden van de club te waarschuwen wanneer men een phishingbericht heeft ontvangen, bijvoorbeeld door ze een waarschuwingsmail of een appje te sturen waarin men vermeldt wat voor bericht men heeft ontvangen. Zo weten ook zij dat ze alert moeten zijn als zij mogelijk hetzelfde bericht ontvangen. Ze kunnen het bericht dan herkennen en het dan gelijk verwijderen. Op deze manier helpt men ook deze mensen om te voorkomen dat ze slachtoffer worden.

Incidenten[bewerken | brontekst bewerken]

  • In maart 2007 kreeg een groot aantal klanten van ABN AMRO te maken met een phishing-mail. Deze bevatte een Trojaans paard waarmee de inloggegevens van de klant achterhaald konden worden.
  • In oktober 2009 werd phishing gebruikt om de wachtwoorden van enkele duizenden gebruikers van maildiensten zoals Hotmail en Gmail te achterhalen.[5]
  • De Nederlandse Vereniging van Banken heeft op 13 oktober 2010 een mediacampagne gelanceerd. Die helpt onder het motto: "als je weet hoe ze werken, kun je je ertegen wapenen". De mediacampagne geeft inzicht in hoe internetcriminelen te werk gaan en wat je eraan kunt doen.
  • Begin 2015 berichtte de Belgische Federatie van de Financiële sector dat er 85% minder fraudegevallen waren in 2014 (277 gevallen) ten opzichte van 2013 (1772 gevallen).[6]
  • In december 2019 werd door het Openbaar Ministerie melding gemaakt van "een man uit Noord-Nederland" die bijna een miljoen euro zou zijn kwijtgeraakt door phishing, de grootste zaak in zijn soort tot nu toe.[7][8]
  • Op 19 januari 2020 trapte een Nederlandse jeu-de-boules-vereniging in een phishingbericht, waardoor hun hele bankrekening werd leeggeroofd. Er werd € 78.000 buitgemaakt. Dit geld kregen ze later weer terug van de bank.[9][10]

Zie ook[bewerken | brontekst bewerken]

Externe links[bewerken | brontekst bewerken]

Wikibooks heeft meer over dit onderwerp: Cursus veilig op het internet: Phishing.
Zie de categorie Phishing van Wikimedia Commons voor mediabestanden over dit onderwerp.