Met deze 11 gouden tips herken jij voortaan elke phishingmail

Telkens weer worden wij verrast met de resultaten van de door ons uitgevoerde phishingcampagnes bij klanten. Hoewel veel mensen zeggen een phishingmail te herkennen, wordt er toch bijzonder vaak geklikt op onze nepmails. De cijfers staan als harde feiten die wij maar al te graag aan onze opdrachtgever laten zien om vervolgens in gesprek te gaan over de te nemen vervolgstappen. Op deze manier tonen wij aan hoe belangrijk bewustwording binnen organisaties is. Echter schrikken wij ook hoe gemakkelijk gebruikers inloggegevens uit handen geven. Mede daarom geven wij jou graag de nodige tips om phishing beter te herkennen. 



Phishingmail

Wat is een phishingmail? Vaak betreft het een e-mail die verdacht veel lijkt op een officiële mail van bijvoorbeeld een bank of telecombedrijf. Daarin wordt bijvoorbeeld aangegeven dat je je wachtwoord moet wijzigen omdat hij binnenkort verloopt. De link die daarachter zit, leidt naar een malafide website waar men vervolgens misbruik kan maken van jouw ingevoerde gegevens. Veel mensen trappen in deze vorm van criminaliteit. Dat blijkt ook weer uit dit nieuwsbericht:

“De politie heeft dinsdag drie verdachten in de leeftijd van 23 tot 28 jaar aangehouden op verdenking van phishing. Uit onderzoek is naar voren gekomen dat de drie mannen toegang hadden tot inloggegevens van verschillende klanten van banken en telecomproviders en mogelijk veel geld hebben verdiend aan deze vorm van criminaliteit.”



11 gouden tips om een phishingmail te herkennen

Om te zorgen dat jij niet de dupe wordt van een phishingactie hebben wij hier een aantal tips opgesomd van veelvoorkomende herkenningspunten bij phishingmails:

  • Kijk naar de afzender: vaak is het een samengestelde naam met een vreemd e-mailadres waar je weinig uit kan afleiden. Als voorbeeld uit een phishingmail: Afdeling Financiën ING ingfinancien@email123.inf.nu. Wat moet het dan wel zijn? Let extra op het gedeelte achter de @, want dat verwijst namelijk naar het webdomein van de organisatie. In het geval van de ING zou dit altijd @ing.nl moeten zijn. Niet @ingfinancien.nl en ook niet @ingbank.nl. Zie ook tip 6.
  • Kijk naar het onderwerp: deze is vaak dwingend of zeer urgent. Je krijgt er het gevoel van dat er iets aan de hand is waarbij je snel moet handelen. Bij onderwerpen zoals bankzaken, incasso’s, vorderingen, boetes, facturen, gemiste pakketleveringen, printerscans en autoschademelding moet je extra scherp zijn.
  • Is de aanhef onpersoonlijk, zoals beste heer/mevrouw? Dat kan wel eens wijzen op een phishingmail, aangezien bedrijven waar je daadwerkelijk klant bent ook op de hoogte zijn van je naam.
  • Vaak is de opmaak van de phishingmail van mindere kwaliteit dan je mag verwachten van bijv. een bank. Het logo is bijvoorbeeld onscherp of er is überhaupt geen opmaak van de e-mail te bekennen.


phishing2-ing Met deze 11 gouden tips herken jij voortaan elke phishingmail

  • Pas altijd op met bijlagen: De aanvallers gebruiken vaak bijlages die erg verleidelijk zijn om te downloaden en te openen. Vaak bevatten ze lange namen en valse herkenbare icoontjes die ervoor zouden moeten zorgen dat je de mail vertrouwt.
  • In de tekst zitten vaak een aantal, soms zelfs veel, spelfouten. Toch lijken criminelen ook steeds beter te worden in taal en kan het tegenwoordig best zijn dat een phishingmail met correcte spelling en grammatica in je inbox terechtkomt.
  • Er wordt bij een phishingmail altijd gevraagd om een actie: klik op de volgende link om je gegevens te wijzigen, om een prijs te winnen etc. Controleer dan altijd, door met je muis bovenop de link of knop te zweven (zonder te klikken!), wat voor link je te zien krijgt. Een link bestaat altijd uit meerdere delen waarbij de domeinnaam heel belangrijk is. Dat is het stukje vóór de .nl of .com. Bij de ING is dit ‘ING’: mijn.ing.nl is dus een officiële link van de ING. Maar ing.ditismijnbank.nl niet en mijn.ingdebank.nl dus ook niet. Als je twijfelt of niet zeker weet of de domeinnaam echt is, controleer dan zelf via bijvoorbeeld Google wat de officiële domeinnaam van je bank is en vergelijk deze.
  • Vergeet niet dat een bank nooit zal vragen je inloggegevens te wijzigen via e-mail! Krijg je zo’n dergelijk mail dan mag deze meteen in de junkmail. Of meldt deze phishingmail bij de fraudehelpdesk van je bank. Vaak heeft de fraudehelpdesk ook een overzicht van alle nieuwe phishingmails, dus je kunt ook kijken of jouw ontvangen phishingmail hier al bij staat. Natuurlijk komt het ook voor dat je een e-mail krijgt van een bank of creditcardmaatschappij waar je géén klant bij bent. Ook in dit geval is de junkmail de plek voor deze e-mail.
  • Twijfel je heel erg over een e-mail? Durf te vragen: bel je bank of telecomprovider op en vraag ze of het klopt dat zij jou een e-mail hebben gestuurd over een bepaald onderwerp.
  • Gebruik gezond verstand en wees kritisch. Als de inhoud van de e-mail te goed is om waar te zijn, dan is dat waarschijnlijk ook het geval.
  • Ga altijd op je intuïtie af. Vertrouw je het niet? Doe dan niks met de e-mail. Als het erg belangrijk is, weet de afzender wel een ander manier om contact met je te leggen. Better safe than sorry!


Smishing in plaats van phishing

Criminelen vinden steeds meer manieren om gegevens te achterhalen. Zo geldt ook voor phishing: ondertussen is hier namelijk ook een mobiele variant voor genaamd ‘smishing’. Via een SMS of app kan de ontvanger worden misleid malware, in de vorm van een app, te downloaden en daar vertrouwelijke gegevens in te vullen. Ook kan er via het smishingbericht een link worden aangeboden die leidt naar een nepwebsite waar wordt gevraagd je persoonlijke gegevens achter te laten.



voorbeeld-smishing-e1554113496603 Met deze 11 gouden tips herken jij voortaan elke phishingmail
voorbeelden van smishing


Valkuilen van smishing

  1. Omdat het zich afspeelt op je smartphone, ben je sneller geneigd de inhoud van iets te bekijken. Door omgevingsfactoren is iemand sneller afgeleid en daardoor klikt of drukt men doorgaans sneller op links.
  2. Via een SMS of app kan er makkelijker persoonlijk contact gelegd worden. Zo komt de verstuurder menselijk en mogelijk betrouwbaarder over waardoor de ontvanger de inhoud sneller vertrouwt en aanklikt.
  3. Op je zakelijke nummer kun je sneller een app of SMS krijgen van een onbekend nummer. Daardoor is het niet altijd duidelijk dat dit mogelijk van een kwaadwillende is.

Ook voor smishing geldt: ga op je gevoel af en doe niks met dwingende, overdreven appjes of SMSjes van nummers die je niet kent. Schroom niet om de verzender te vragen wie hij is of waar je elkaar van zou moeten kennen. Het is geen kwalijke zaak om aan te geven dat je uit veiligheidsoverwegingen toch even na moet gaan met wie je precies contact hebt.



Hoeveel risico loop jij?

Vandaag nog weten hoeveel risico jouw organisatie op dit moment loopt? Neem nu direct de eerste stap om de security van uw organisatie aanzienlijk te verbeteren tegen cybercriminaliteit. Je kunt vandaag nog jouw Free Phishing Security Test starten (maximaal 100 gebruikers). Je zult zien dat het percentage van mensen die op een “verkeerde” link klikken, helaas meestal een stuk hoger ligt dan je verwacht.



Hulp nodig?

Mocht je nog vragen hebben naar aanleiding van dit artikel of kom je er niet helemaal uit? Neem gerust even contact met ons op, we helpen je graag verder.