Phishing is vandaag de dag jammer genoeg geen onbekend fenomeen meer. Zo goed als iedereen die online actief is, heeft er al mee te maken gehad. Uit recente signalen die we uit onze trefpunten krijgen, blijkt trouwens dat ook verenigingen niet immuun zijn voor deze vorm van online oplichting. Zowel leden als vrijwilligers worden hierbij geviseerd.

Wat is phishing?

Phishing kan je het beste vertalen als ‘hengelen’. Dit woord geeft eigenlijk al een goed beeld van wat het in de feiten is: oplichters hengelen naar persoonlijke informatie om jouw online beveiliging te doorbreken om op die manier geld te kunnen stelen, mensen af te persen, andere informatie los te weken, … De oplichters gaan hierbij steeds gewiekster te werk. De tijd van amateuristische pogingen is allang voorbij en steeds vaker gaat het bij phishing over georganiseerde misdaad door phishingbendes.

Hoe zit phishing in elkaar?

De manier waarop aan phishing gedaan wordt, is erg divers. Hierdoor is het een breed begrip geworden en is het moeilijk om een volledig overzicht te geven. In de plaats daarvan gaan we dieper in op een aantal gemene delers en geven we een aantal tips om je niet te laten vangen.

Eerste gemene deler: iemand geeft zich uit voor iemand anders

Wat nagenoeg alle vormen van phishing met elkaar gemeen hebben, is dat de oplichter zich uitgeeft voor iemand anders. Vaak is dat iemand van de bank of iemand die werkt bij Cardstop. Of iemand van één of andere overheidsinstantie, zoals bv. een belastingambtenaar, een politieagent, … Soms doen ze zich zelfs voor als iemand die daar effectief werkt en die je misschien wel kent.

Tweede gemene deler: ze doen jou geloven dat je een probleem hebt

Wat opvalt aan phishing is dat de oplichters vaak al over heel wat gegevens van jou beschikken. Vaak zijn ze online bijeengeharkt. Op die manier proberen ze jouw vertrouwen te wekken en geven ze de indruk dat ze echt die persoon of functionaris zijn voor wie ze zich onterecht uitgeven. Nadat het vertrouwen gewekt is, doen ze jou geloven dat je een probleem hebt. Standaardzinnen die ze gebruiken zijn:

  • “Er zijn verdachte transacties vastgesteld op jouw rekening.”
  • “Iemand heeft geld proberen afhalen van jouw rekening.”
  • “Er is een uitgave met jouw kredietkaart gedaan die niet past binnen jouw uitgavenpatroon.”

Het sluwe aan deze methodiek is dat je dit ook echt kan tegenkomen in het dagelijkse leven. Het feit dat iemand jou hiervoor contacteert, is dan ook op zich niet noodzakelijk verdacht. Op die manier wordt het soms wel heel moeilijk om legitieme vragen van oplichting te onderscheiden.

Derde gemene deler: ze proberen jou te overtuigen van de urgentie van het probleem

Typisch bij dit soort van oplichting is dat de oplichters jou in paniek doen proberen geraken. Paniek is immers een slechte raadgever en in dergelijke situaties doen mensen vaak dingen waarvan ze achteraf spijt hebben. Het eerste wat vaak achterblijft in zo’n situaties is een gezonde dosis kritische zin…

Oplichters zullen dus een gevoel van hoogdringendheid proberen opwekken door de nadruk te leggen op het belang van directe en onmiddellijke actie, door de mogelijke gevolgen van het probleem te benadrukken, door de schuld van het probleem bij jou te leggen en te spreken in termen van ‘grove nalatigheid’, ‘eigen aansprakelijkheid’, … Ook hier is het sluwe van deze techniek dat het in reële situaties vaak opgaat.

Vierde gemene deler: ze hebben (samen met jou) de oplossing

Eens het vertrouwen gewekt is en jij ongerust genoeg bent gemaakt, is het tijd om jou een kant-en-klare oplossing aan te reiken. Niets zo geruststellend als het idee dat je met een paar eenvoudige stappen of informatieverstrekkingen zelf de oplossing kan geven of er tenminste aan kan meewerken.

Oplichters vragen in deze fase vaak naar vertrouwelijke informatie zoals codes, wachtwoorden, … of leiden jou naar een – al dan niet vervalste – website waar je deze gegevens moet ingeven. Op die manier los je samen met hen het probleem zogezegd stap voor stap op, al geef je hen in de feiten op die manier ongelimiteerde toegang tot jouw bankrekening en andere vertrouwelijke gegevens.

Ter volledigheid

Niet alle vormen van phishing gaan exact op die manier te werk, al gaat het vaak om variaties op hetzelfde thema. Sommige vormen van phishing laten jou bv. geloven dat je geluk hebt i.p.v. een probleem, omdat je een prijs kan claimen of één of andere lotto hebt gewonnen. Of doen zich helemaal niet anders voor dan ze zijn, maar ‘gijzelen’ jou door een website te blokkeren met een gijzelprogramma (ransomware). Tegen betaling van losgeld wordt jouw website dan terug vrijgegeven.

Welke vormen van phishing bestaan er zoal?

Zoals eerder aangegeven, is het onmogelijk om een volledig overzicht te geven van alle vormen van phishing. Mensen worden zowel via mail, Facebook, Instagram als via Messenger, WhatsApp, sms, telefoon, … opgelicht en de oplichters gaan alsmaar professioneler en creatiever te werk.

We overlopen kort een aantal veelgebruikte technieken in ‘phishingland’:

  • Spoofing: Telefoonnummers worden gekopieerd en overgenomen door oplichters. Hierdoor lijkt het alsof je bv. door jouw bank gecontacteerd wordt, terwijl het eigenlijk oplichters zijn die jou vertrouwelijke gegevens afhandig willen maken.
  • Vriendschapsfraude: Mensen krijgen een vriendschapsverzoek via Facebook. Indien ze er op ingaan, komt er een ingewikkeld en langdurig proces op gang waarbij langzamerhand een vertrouwensrelatie opgebouwd wordt. Eens het vertrouwen er volgens de oplichter is, wordt de band misbruikt om mensen geld af te troggelen en te profiteren van de goedgelovigheid van mensen.
  • Postpakjesfraude: Mensen krijgen een mail dat er een pakje voor hen op komst is, maar dat er nog gegevens ontbreken. Wie erin trapt en op de bijgevoegde link klikt, komt op een valse website terecht waar persoonlijke gegevens afgetroggeld worden. Een variant hierop is dat mensen het bericht krijgen dat er douanekosten betaald moeten worden vooraleer overgegaan kan worden tot aflevering. Vervolgens moeten mensen een betaling uitvoeren op een vervalste website die alle gegevens registreert. Vervolgens is het een koud kunstje om de rekening van het slachtoffer te plunderen.
  • Sms-fraude: Mensen krijgen een sms’je van een overheidsinstantie, vaak de belastingdienst, met de boodschap dat ze ofwel nog moeten bijbetalen dan wel moeten terugkrijgen. Wie op het sms’je reageert, wordt doorgestuurd naar een vervalste website die alle gegevens registreert. Vervolgens kan de oplichter probleemloos aan jouw bankrekening. Kan ook telefonisch gebeuren, via mail, …
  • Sextortion: Je krijgt een mail waarin iemand schrijft dat ze jouw camera gehackt hebben en daardoor beelden hebben van jou waarbij je naar porno kijkt of masturbeert. Vervolgens vragen ze jou om geld over te schrijven naar een rekening, anders gaan de beelden viraal op het internet of sturen ze die door naar al jouw mailcontacten. Niet op ingaan, dit is een loos dreigement waarbij ze van jouw paniek gebruik maken om je iets te laten doen waar je anders nooit op zou ingaan.
  • Valse hulpvraag: Deze vorm van phishing bestaat in diverse vormen, maar het principe is altijd hetzelfde. Iemand die je zogezegd kent, heeft dringend jouw hulp nodig: een buurman die in het buitenland op reis is en wiens kaart geblokkeerd is, een kind wiens gsm kapot is en om geld verlegen zit, … Vervolgens vragen ze jou dringend om hulp: geld overschrijven op een rekening, een geldtransfer via bv. UPS, enz …
  • Bingofraude: Je krijgt een mail met daarin een positieve boodschap: je komt in aanmerking voor een prijs, je kunt tegen hoge korting luxegoederen aanschaffen, je hebt een lotto gewonnen, … Addertje onder het gras is evenwel dat er eerst dossier- of transactiekosten betaald moeten worden.
  • BV-scam: Mensen krijgen een fake nieuwsbericht te zien over één of andere BV die uit de biecht heeft geklapt over hoe hij/zij rijk en succesvol is geworden. Op die manier worden mensen gelokt naar een valse website waar ze zogezegd op dezelfde manier rijk kunnen worden. Vervolgens troggelen ze je vertrouwelijke gegevens en geld af.

In extreme gevallen proberen de oplichters zelfs fysiek af te spreken of bij jou thuis binnen te geraken. In dat geval gaat phishing vaak gepaard met bijkomende criminaliteit zoals bv. fysieke diefstal van geld en goederen, geweldpleging, afpersing en intimidatie, … Dat komt echter niet zo veel voor: meestal zijn phishers helemaal niet uit op een confrontatie, maar verschuilen ze zich vaak achter de relatieve veiligheid van een computerscherm en een toetsenbord.

Beter voorkomen dan genezen

Daders zijn vaak moeilijk op te sporen en nog moeilijker te vervolgen. Phishing is immers vaak een internationale vorm van misdaad, waardoor politie en justitie achter de feiten aanhollen. Bovendien is het als slachtoffer meestal niet evident om schade vergoed te krijgen. Beter voorkomen dan genezen dus, en volgende tips kunnen hierbij alvast helpen:

  • Ga na of de manier van communiceren wel past bij de afzender. Overheidsdiensten zullen altijd communiceren via e-box, een brief, mijnburgerprofiel, … en nooit per sms of via Messenger, WhatsApp, … Kies bij twijfel voor de zekerheid en ga niet in op de vraag of verwachting. Contacteer de andere partij achteraf desnoods op een andere manier om na te gaan of de communicatie wel klopt.

  • Geef nooit persoonlijke informatie online door. Overheidsdiensten, banken, … vragen dit nooit op deze manier op. Dat geldt voor codes, wachtwoorden, …
  • Kies bij het inloggen op websites zo veel mogelijk voor de zogenaamde ‘tweestapsverificicatie’. Dat is een systeem waarbij je naast een wachtwoord of code ook nog een bijkomende veiligheid hebt door bv. bevestiging met een code die je via sms doorgestuurd krijgt, gezichtsherkenning, … Zelfs als oplichters jouw wachtwoord of code achterhaald hebben, is er nog een barrière tussen hen en jouw vertrouwelijke gegevens.
  • Vraag jezelf af of de vraag naar actie logisch is. Een sms of mail met de vraag om jouw accountgegevens aan te vullen i.v.m. een pakketje dat onderweg is terwijl je niets besteld hebt, is ongetwijfeld frauduleus.
  • Aanbiedingen die te mooi zijn om waar te zijn, zijn dat meestal ook. Vaak zijn ze een lokmiddel om jou te verleiden tot het delen van persoonlijke informatie, in te schrijven op commerciële nieuwsbrieven, in te gaan op een gratis aanbieding waarna je zogezegd gebonden bent aan een bestelabonnement, …
  • Boodschappen die een gevoel van hoogdringendheid geven, zijn vaak vals en zijn er op gericht om jouw kritische zin en jouw gezond verstand te omzeilen en een impulsieve reactie uit te lokken. Typische zinnen in dergelijke berichten zijn: ‘Claim je prijs nu!’, ‘Aanbieding vervalt na vandaag’, ‘Reageer voor het te laat is’, ‘Al duizenden Belgen gingen jou voor’, …
  • Wees voorzichtig met het installeren van bepaalde apps op jouw smartphone. Tiktok en Temu zijn twee bekende voorbeelden van apps die op zich wel doen wat ze verondersteld worden te doen, maar waarbij de gebruiksvoorwaarden absurde schendingen inhouden van jouw recht op privacy, zoals het kunnen opnemen van gesprekken, het bijhouden van de locatie, …
  • Vraag jezelf af of de boodschap past bij de afzender. Als het iemand is die je kent, kun je bij twijfel altijd op een andere manier contact opnemen om de boodschap te verifiëren. Ken je de persoon niet en twijfel je? Neem het zekere voor het onzekere en ga niet in op de vraag of verwachting.
  • Ook al is de afzender bekend en lijkt de mail legitiem: klik nooit zomaar op links en bijlages bij de mail. Bij twijfel: neem op een andere manier contact op met de afzender.
  • Wees in het aanvaarden van vriendschapsverzoeken op Facebook voldoende kritisch. Een richtlijn zou kunnen zijn dat je enkel mensen toevoegt waarmee je ook in de echte wereld een connectie hebt. Ga via Facebook nooit in op vragen naar geld, intieme foto’s of video’s, persoonlijke en financiële gegevens, … Krijg je een twijfelachtig vriendschapsverzoek? Wijs dit af en blokkeer de persoon.

    Doe dat zeker ook als je een vriendschapsverzoek krijgt van iemand waarmee je al bevriend bent op Facebook. In bijna alle gevallen is de Facebookpagina van de betreffende persoon gehackt.
  • Check altijd het webadres van de website waar je naartoe geleid wordt. Veilige website beginnen altijd met ‘https’ i.p.v. ‘http’ en zijn herkenbaar aan het ‘slotje’ dat je in de adresbalk van jouw internetprogramma (browser) ziet. Websites met vreemde extensies zoals ‘tk’ of ‘co’, … zijn vaak vals. Ook de vervanging van letters door cijfers in het webadres zoals bijv. ‘www.tw1tt3r.com’ zouden een alarmbelletje moeten doen afgaan.
  • Check het bericht op spellings- en grammaticafouten. Ook een gebrekkige zinsbouw kan er op wijzen dat het bericht vals is. Meestal maken de oplichters dan gebruik van eenvoudige en zeer beperkte vertaalsoftware, met fouten tot gevolg.
  • Bij mails altijd het mailadres van de afzender checken. Een vraag om jouw klantenkaart van een supermarkt te vernieuwen die afkomstig is van consumenten@colyrut.be zou argwaan moeten wekken…

Wat als het toch fout is gelopen?

Als je toch in de val gelopen bent, is het van belang om het hoofd koel te houden:

  • Heb je kaartgegevens van een bank- of kredietkaart doorgegeven aan oplichters: bel onmiddellijk cardstop: 078 170 170. Of je kunt terecht op hun website: www.cardstop.be
  • Verwittig ook de bank, zodat transacties eventueel nog geblokkeerd kunnen worden. Al geleden verlies krijg je er niet mee terug, maar het voorkomt verdere schade.
  • Geef de fraude aan via https://meldpunt.belgie.be/meldpunt en dien klacht in bij de politie. Vaak verhindert schaamte deze laatste stap, maar besef dat jij slachtoffer bent en enkel de dader schuld treft. Klacht indienen bij de politie is vaak een noodzakelijke voorwaarde bij banken om jouw schadedossier in behandeling te nemen. Bovendien geef je hen op die manier geen argument om ‘grove nalatigheid’ in te roepen als grond om jou niet te vergoeden. Trouwens: hoe meer klachten er over één specifieke phishingpraktijk komen, hoe beter de politie het in kaart kan brengen en hoe groter de kans dat het netwerk toch ontmanteld kan worden.
  • Phishingmails stuur je best door naar verdacht@safeonweb.be. Je kunt dat in sommige mailprogramma’s zelfs doen zonder de mail te openen. Hiervoor moet je de ‘voorbeeldmodus’ in jouw mailprogramma inschakelen.

Volgens de letter van de wet zijn banken altijd verplicht om gedupeerde klanten te vergoeden, tenzij er sprak is van ‘grove nalatigheid’. De banken interpreteren deze term heel ruim en vergoeden dan ook meer niet dan wel. Onlangs trok de ombudsman Financiën, Jean Cattaruzza, hiervoor nog aan de alarmbel. OKRA is van mening dat er dringend bijkomend wetgevend werk nodig is om een beter wettelijk kader hierrond te scheppen, dat de rechten van gedupeerde consumenten beter beschermd. En de macht inperkt van banken om de kaart van ‘grove nalatigheid’ te trekken.

Tot slot nog één tip om de phishers te snel af te zijn en dat is maken dat je goed op de hoogte bent van de meest recente phishingtechnieken. Mensen met een smartphone kunnen bv. de app van ‘safeonweb’ installeren. Je krijgt dan meldingen van recente phishingaanvallen, zodat je extra op je hoede kunt zijn. De app is volledig gratis te downloaden via ‘Apple Store’ en ‘Google Play Store’.