Phishing

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken
Voorbeeld van phishing-e-mail

Phishing is een vorm van internetfraude. Het bestaat uit het oplichten van mensen door ze te lokken naar een valse (bank)website, die een kopie is van de echte website en ze daar — nietsvermoedend — te laten inloggen met hun inlognaam en wachtwoord of hun creditcard-nummer. Hierdoor krijgt de fraudeur de beschikking over deze gegevens met alle gevolgen van dien. De slachtoffers worden vaak met een e-mail naar deze valse website gelokt met daarin een link naar de (valse) website met het verzoek om zogenaamd "de inloggegevens te controleren".

Een gelijkaardige vorm van oplichting werd uit analogie pharming genoemd. Beide methoden worden gebruikt voor identiteitsfraude.

Methode[bewerken]

Bij phishing wordt dikwijls gebruikgemaakt van URL-spoofing. Dit is het nabootsen van de URL van bijvoorbeeld een bank, zodat de gebruiker denkt de echte site te bezoeken, terwijl de URL die van de bedrieger is.

Sinds het gebruik van het IDN-systeem (Internationalized domain name), waarbij niet-ASCII-tekens kunnen worden gebruikt in domeinnamen, kan phishing hiervan gebruikmaken door een echte domeinnaam na te bootsen met gelijkwaardige buitenlandse tekens, zodat de gebruiker niet merkt dat het adres niet klopt.

Zelfs met een gewone ASCII-URL kan bedrog gepleegd worden: zo lijkt het adres www.googIe.com, waarin de kleine letter l vervangen is door een hoofdletter i (I), erg op www.google.com, en kan het er, afhankelijk van het lettertype, zelfs exact gelijk uitzien.

De meeste banken maken tegenwoordig gebruik van een Extended Validation Certificate, in moderne internetbrowsers wordt het eerste gedeelte van de adresbalk weergegeven met een groene achtergrond, zodat de gebruiker zeker weet dat hij op de echte pagina zit.

Meestal ontvangt het slachtoffer een mail waarin hem gevraagd wordt zijn account bij bijvoorbeeld een bank te checken en bevestigen. Ook wordt er wel gebruikgemaakt van instant messaging, soms wordt er telefonisch contact opgenomen. Fraudeurs maken veelvuldig gebruik van nepsites van financiële instellingen, eBay en PayPal. Phishing is moeilijk te achterhalen, internetters moeten vooral zelf alert zijn en nooit ingaan op een mailverzoek waarin gevraagd wordt persoonlijke (financiële) gegevens te geven; zoals bankrekeningnummer, pincode, BSN of creditcardgegevens. Het eerste geval van phishing dateert uit 1996.

Hoe te herkennen[bewerken]

In een phishing-bericht vind je vaak de volgende elementen:[1][2]

  • De mail is niet aan de klant persoonlijk gericht maar begint met een algemene opening als "geachte klant".
  • De mail bevat taal- en stijlfouten.
  • Er wordt gesuggereerd dat het account "geverifieerd" moet worden met de inloggegevens van de klant.
  • Er wordt gedreigd met gevolgen als niet onmiddellijk gehoor gegeven wordt aan de mail.
  • De link waarnaar wordt verwezen bevat subtiele verschillen met de originele link, zoals een andere extensie of andere schrijfwijze.

Een veelgebruikte methode is dat de fraudeur een e-mail stuurt met een bijlage waarin een Keylogger zit verborgen. De mail functioneert dan als een Trojaans paard. Zodra de gebruiker de bijlage heeft geopend, wordt — op de achtergrond — de keylogger geactiveerd. Hierdoor kan de fraudeur via internet zien welke wachtwoorden de gebruiker gebruikt bij het inloggen bij zijn of haar bank.

Hoe te voorkomen[bewerken]

  • Zorg dat de computer goed beveiligd is met een virusscanner en een firewall. Zorg dat het besturingssysteem, virusscanner en de browser up-to-date zijn.
  • Regel bankzaken alleen vanaf een account met beperkte rechten (niet altijd mogelijk wanneer bijkomende software dient geïnstalleerd te worden).
  • Stel het spamfilter zodanig in dat alle mail die de naam van een bank in de afzender of de onderwerpregel bevat automatisch verwijderd wordt. Als een bank iets belangrijks te melden heeft zullen ze dat nooit per email doen, dus er is geen enkele reden om mail van de bank in de inbox te laten arriveren.

Wat te doen als slachtoffer[bewerken]

  • Breng de bank op de hoogte van het ontvangen bericht en van de phishingactie.
  • Verander de codes van de online bankaccount.
  • Doe aangifte bij de politie.

Incidenten[bewerken]

  • In maart 2007 kreeg een groot aantal klanten van ABN AMRO te maken met een phishing-mail. Deze bevatte een trojan horse waarmee de inloggegevens van de klant achterhaald konden worden.
  • In oktober 2009 werd phishing gebruikt om de wachtwoorden van enkele duizenden gebruikers van maildiensten zoals Hotmail en Gmail te achterhalen.[3]
  • De Nederlandse Vereniging van Banken heeft op 13 oktober 2010 een mediacampagne gelanceerd. Die helpt onder het motto: "als je weet hoe ze werken, kun je je ertegen wapenen" inzicht in hoe internetcriminelen te werk gaan. En wat je eraan kunt doen.
  • ING-klanten slachtoffer van poging tot phishing. Gazet van Antwerpen, 19/10/2012.[4]

Zie ook[bewerken]

Externe link[bewerken]

Wikibooks Wikibooks heeft een studieboek over dit onderwerp: Cursus veilig op het internet: Phishing.
Bronnen, noten en/of referenties
  1. Cranor, Lorrie Faith. 2008. Can Phishing Be Foiled? Understanding the human factors that make people vulnerable to online criminals can improve both security training and technology. Scientific American. Jg 2008, Vol. 299, Issue 6. p104-110.
  2. "Spamsquad. Phishing: identiteitsdiefstal."
  3. (fpe). Hackers bemachtigen duizenden wachtwoorden. De Standaard, 07/10/2009. pE29.
  4. http://www.gva.be/nieuws/economie/aid1263530/klanten-van-ing-slachtoffer-van-poging-tot-phishing.aspx