NOSop3

Hang op, klik weg of bel... je oom?

NOS

Ik weet dat dit bericht als een verrassing komt, maar je hebt 1 miljard dollar geërfd van dokter David Koni. Klik hier om je bankgegevens in te vullen en dan regelen we de transactie.

Een willekeurige notaris uit Nigeria

Goed, hier trap je natuurlijk niet in. En ook stuur je niet zomaar je pinpas als je bank dat in een mailtje vraagt. Helemaal niet met je pincode op een briefje erbij.

Met jou zijn er steeds minder mensen die in dit soort 'simpele' phishing stinken, zeker in verhouding tot vijf jaar geleden. Campagnes lijken dus te werken, maar criminelen zitten natuurlijk ook niet stil.

"Het is een stuk geavanceerder geworden. De traditionele phishingmailtjes zitten steeds beter in elkaar en ook worden er steeds meer gericht berichten verstuurd", zegt Pim Takkenberg. Hij is directeur van cybersecuritybedrijf Northwave en voormalig teamleider van het Team High Tech Crime van de politie.

NOS

Volgens hem is phishing daarmee "actueler dan ooit". "Het is een van de meest gebruikte manieren om cyberaanvallen uit te voeren. Je ziet zelfs dat criminelen die eerder inbraken pleegden nu hierop overstappen, omdat het gewoonweg werkt."

Waar vroeger gewoon naar duizenden tegelijk dezelfde e-mail werd verstuurd met daarin een neplink, wordt er nu veel gerichter gewerkt. Daarbij wordt eerst je Facebook afgestruind om te checken wie je vrienden zijn, waar je werkt en van welke voetbalclub je bijvoorbeeld fan bent. Dit wordt spearphishing genoemd.

De Fraudehelpdesk herkent dat de pogingen steeds persoonlijker worden. Aparte cijfers voor spearphishing worden niet bijgehouden, omdat in de 50.000 berichten die de organisatie maandelijks doorgestuurd krijgt geen onderscheid wordt gemaakt in verschillende soorten. "Maar je ziet wel dat phishing de laatste jaren veel gerichter wordt ingezet", aldus een woordvoerder.

Minder argwaan

Want een berichtje van je oom of baas open je met veel minder argwaan dan van die Nigeriaanse prins. En zonder er echt bij na te denken, klik je ook nog op een bijlage of link, waarmee je je inloggegevens prijsgeeft of je computer wordt geïnfecteerd. En via jou kan de aanvaller ook toegang krijgen tot bijvoorbeeld het netwerk op je werk.

NOS

Voorbeelden zijn er genoeg. De mega-datalek bij Yahoo, The Fappening, de hacks bij de Amerikaanse Democratische Partij, de ransomware Wannacry: het begon allemaal met phishing. Eerder deze maand Google nog, via een nep-Google Doc. Wie klikte en inlogde, gaf de verzender toegang tot zijn of haar account - via de officiële omgeving van Google, waardoor het ook voor de meest oplettende gebruikers lastig te herkennen was.

Sociale media zijn ook steeds meer een geliefde plek om phishing te verspreiden. Mensen wanen zich hier onder vrienden, waardoor ze nog eerder zonder nadenken op iets klikken. Volgens The New York Times werd met een tweet op deze manier in het Pentagon ingebroken.

"Veel mensen onderschatten hoe nuttig ze kunnen zijn voor een hacker", zegt Takkenberg. Jouw account kan namelijk weer gebruikt worden om je baas te manipuleren, of toegang te verschaffen tot data die beter niet openbaar kunnen worden.

Hoe dat in zijn werk gaat, laat ethisch hacker Patrick de Brouwer (26) zien door het versturen van enkel een 'cv':

Zo gaat het in zijn werk

Omdat de methodes steeds geloofwaardiger worden, zijn ze ook lastiger te bestrijden. Bij onder meer de Rijksoverheid en verschillende energie- en telecombedrijven is (spear-)phishing aan de orde van de dag. Ook in het jaarlijkse Cybersecuritybeeld Nederland van het Nationaal Cyber Security Centrum (NCSC) wordt spearphishing genoemd als een steeds populairdere manier om gegevens buit te maken of systemen te besmetten met bijvoorbeeld malware.

Even bellen

Maar betekent dit dat je nu elk mailtje van een vriend of collega moet wantrouwen? "Je moet in elk geval je boerenverstand gebruiken", zegt Takkenberg.

Ga na of het logisch is dat diegene jou dit nu mailt. Ook moet je natuurlijk altijd checken waar de link naartoe gaat en of het bestand dat in de bijlage zit wel is wat het lijkt. En bij twijfel diegene gewoon even bellen.