Ik weet dat dit bericht als een verrassing komt, maar je hebt 1 miljard dollar geërfd van dokter David Koni. Klik hier om je bankgegevens in te vullen en dan regelen we de transactie.
Goed, hier trap je natuurlijk niet in. En ook stuur je niet zomaar je pinpas als je bank dat in een mailtje vraagt. Helemaal niet met je pincode op een briefje erbij.
Met jou zijn er steeds minder mensen die in dit soort 'simpele' phishing stinken, zeker in verhouding tot vijf jaar geleden. Campagnes lijken dus te werken, maar criminelen zitten natuurlijk ook niet stil.
"Het is een stuk geavanceerder geworden. De traditionele phishingmailtjes zitten steeds beter in elkaar en ook worden er steeds meer gericht berichten verstuurd", zegt Pim Takkenberg. Hij is directeur van cybersecuritybedrijf Northwave en voormalig teamleider van het Team High Tech Crime van de politie.
Volgens hem is phishing daarmee "actueler dan ooit". "Het is een van de meest gebruikte manieren om cyberaanvallen uit te voeren. Je ziet zelfs dat criminelen die eerder inbraken pleegden nu hierop overstappen, omdat het gewoonweg werkt."
Waar vroeger gewoon naar duizenden tegelijk dezelfde e-mail werd verstuurd met daarin een neplink, wordt er nu veel gerichter gewerkt. Daarbij wordt eerst je Facebook afgestruind om te checken wie je vrienden zijn, waar je werkt en van welke voetbalclub je bijvoorbeeld fan bent. Dit wordt spearphishing genoemd.
De Fraudehelpdesk herkent dat de pogingen steeds persoonlijker worden. Aparte cijfers voor spearphishing worden niet bijgehouden, omdat in de 50.000 berichten die de organisatie maandelijks doorgestuurd krijgt geen onderscheid wordt gemaakt in verschillende soorten. "Maar je ziet wel dat phishing de laatste jaren veel gerichter wordt ingezet", aldus een woordvoerder.
Minder argwaan
Want een berichtje van je oom of baas open je met veel minder argwaan dan van die Nigeriaanse prins. En zonder er echt bij na te denken, klik je ook nog op een bijlage of link, waarmee je je inloggegevens prijsgeeft of je computer wordt geïnfecteerd. En via jou kan de aanvaller ook toegang krijgen tot bijvoorbeeld het netwerk op je werk.
"Veel mensen onderschatten hoe nuttig ze kunnen zijn voor een hacker", zegt Takkenberg. Jouw account kan namelijk weer gebruikt worden om je baas te manipuleren, of toegang te verschaffen tot data die beter niet openbaar kunnen worden.
Hoe dat in zijn werk gaat, laat ethisch hacker Patrick de Brouwer (26) zien door het versturen van enkel een 'cv':
Omdat de methodes steeds geloofwaardiger worden, zijn ze ook lastiger te bestrijden. Bij onder meer de Rijksoverheid en verschillende energie- en telecombedrijven is (spear-)phishing aan de orde van de dag. Ook in het jaarlijkse Cybersecuritybeeld Nederland van het Nationaal Cyber Security Centrum (NCSC) wordt spearphishing genoemd als een steeds populairdere manier om gegevens buit te maken of systemen te besmetten met bijvoorbeeld malware.
Even bellen
Maar betekent dit dat je nu elk mailtje van een vriend of collega moet wantrouwen? "Je moet in elk geval je boerenverstand gebruiken", zegt Takkenberg.
Ga na of het logisch is dat diegene jou dit nu mailt. Ook moet je natuurlijk altijd checken waar de link naartoe gaat en of het bestand dat in de bijlage zit wel is wat het lijkt. En bij twijfel diegene gewoon even bellen.