Technologie en Innovatie

Phishing: vertrouw je buikgevoel

Phishing is nog altijd de meest voorkomende cyberdreiging voor bedrijven. Het is belangrijk om te vertrouwen op je instinct en waakzaam te blijven. Kennisoverdracht kan helpen om je te beschermen tegen dergelijke vormen van fraude. Bijvoorbeeld door deze blog te lezen.

8 min leestijd
Sage Team

Je zou denken dat cyberbeveiliging een geavanceerd kat-en-muisspel is tussen criminelen en IT-professionals. Hackers in donkere kamers, turend naar hun scherm terwijl ze proberen de nieuwste verdedigingssystemen te doorbreken. Maar dat is al lang niet meer het geval. De criminelen richten zich op iedereen en op een epidemische schaal. Met andere woorden: jij, je collega’s, je familie en je vrienden. Bij 95% van alle succesvolle cyberaanvallen speelt de menselijke factor een rol.

Wat kan je doen? Eenvoudig gezegd: als je met een poging tot phishing wordt geconfronteerd, moet je op je intuïtie vertrouwen, zodat je instinctief weet dat er iets niet klopt. Dat houdt in dat je het gevaar begrijpt en weet hoe je moet reageren.

Dit bespreken we:

Bedrijven zijn een makkelijke prooi voor phishing

Bedrijven zijn een steeds populairder doelwit voor phishing. Volgens de Cybersecurity Barometer 2024 van VLAIO/ECOOM was 45,8 % van de Vlaamse ondernemingen al slachtoffer van een cyberaanval, waarvan 1 op 10 aanvallen schade veroorzaakte. Ruim 70% van de Vlaamse kmo’s dacht goed beschermd te zijn, maar dat zelfvertrouwen komt vaak niet overeen met de realiteit.

Volgens het rapport van de Britse CIFAS Global Anti-Scam Alliance doet 71% van de slachtoffers geen aangifte bij de politie. Vaak uit schaamte: ‘Hoe kon ik zo dom zijn om daarin te trappen?’ Consumenten verliezen gemiddeld 1.400 Britse pond als ze opgelicht worden, aldus het CIFAS-rapport, met in totaal 11,4 miljard pond dat werd gestolen in de twaalf maanden tot november 2024.

Wat is phishing precies?

Phishing kan je het best omschrijven als psychologische manipulatie: criminelen manipuleren je om iets te doen wat je anders niet zou doen. Bijvoorbeeld op een link klikken, een bijlage openen, een wachtwoord delen, een eenmalige verificatiecode geven of geld overmaken naar de rekening van de oplichter. Vaak is het alles tegelijk. Pogingen tot phishing kunnen binnenkomen via sms, sociale media, e-mails of zelfs brieven op je postadres.

Misschien denk je dat je er nooit in zou trappen. Je bent tenslotte niet onnozel, toch? Maar phishing laat je juist geloven dat het bericht afkomstig is van iemand die je kent en vertrouwt. Dat vertrouwde merk of die bekende naam wordt misbruikt om je waakzaamheid te verlagen. Een vriend sms’t je dat hij zijn smartphone kwijt is. Je baas stuurt je een bericht op WhatsApp omdat hij een nieuw account heeft aangemaakt. Je bank belt je uit het niets om te zeggen dat je account is gehackt. Microsoft stuurt je een e-mail omdat je computer een belangrijke beveiligingsupdate nodig heeft.

Phishing draait niet zozeer rond het kraken van wachtwoorden, maar is een uiterst effectieve vorm van misleiding. Daarom zijn juist menselijke verdedigingsmechanismen het effectiefst, namelijk:

  • je niet laten opjagen
  • letten op inconsistenties
  • luisteren naar je gevoel dat er iets niet klopt

Waarom is phishing zo effectief?

Phishing is niet nieuw. Het bestaat al sinds het midden van de jaren negentig, toen oplichters in de VS zich voordeden als AOL-medewerkers om de AOL-gebruikers op te lichten. Het kreeg toen ook zijn naam: het voorvoegsel ‘ph’ komt van een eerdere vorm van cybercriminaliteit, phreaking, waarbij hackers het telefoonnetwerk manipuleerden om gratis te kunnen bellen. Toen was het doel vooral om wachtwoorden buit te maken.

De psychologie is sindsdien niet veranderd maar de schaal en verfijning wel, met valse websites met een perfect nagemaakte huisstijl en dringende berichten. De oplichters maken vaak gebruik van de allernieuwste technologieën, zoals deepfakes met AI-gegenereerde stemmen, teksten, afbeeldingen of zelfs video’s (inclusief live videogesprekken).

De site die ze naar jou sturen, ziet er exact uit als die van je bank. Het voicemailbericht klinkt exact als dat van je collega of familielid. Het sms-bericht lijkt authentiek, compleet met de juiste vervalste naam of het juiste nummer. Soms vragen de oplichters niet direct om geld, maar vragen ze je om online cadeaubonnen te kopen en de codes door te sturen. Maar de kern van het verhaal is nog altijd hetzelfde als in de tijd van AOL: ‘Reageer nu voordat er iets ergs gebeurt.’ Dat patroon herkennen, is al de helft van de verdediging.

Hoe ziet een phishing-aanval eruit?

Concreet kan een phishingaanval verlopen als volgt.

1. Het lokaas

Je ontvangt een sms die afkomstig lijkt te zijn van je bank: ‘We hebben een verdachte betaling gedetecteerd. Klik hier om je account te beveiligen.’ Je krijgt een link die er op het eerste gezicht correct uitziet (bijvoorbeeld commerzbank-secure-banking.net). Enkele minuten later word je opgebeld. Op je scherm staat de naam van die bank. De beller verwijst rustig naar de sms en geeft je een ‘dossiernummer’. Hij kan zelfs je adres of geboortedatum noemen: gegevens uit gehackte databases.

2. De druk

De beller zegt dat het geld op dit eigenste moment wordt overgemaakt en dat je account moet worden ‘beveiligd’. Hij leidt je naar een professionele inlogpagina, een perfecte kopie van je bank. Zodra je inlogt, krijg je een sms, ook al ben je nog altijd aan de lijn met de ‘bank’. Je ziet dat je een eenmalige toegangscode hebt ontvangen. Je wordt gevraagd om de code hardop door te geven ‘ter verificatie’.

Een alternatief scenario is dat je wordt gevraagd om in te loggen via je vertrouwde link of bank-app en geld over te boeken naar een zogenaamd ‘veilige rekening’, waar het bewaard zal worden tot de bank het probleem heeft opgelost.

3. De doorbraak

Als je je inloggegevens op de valse site invoert, worden ze direct onderschept. Als je een wachtwoord voorleest (of een push-melding goedkeurt), gebruiken de oplichters ze in real time. En zo hebben ze de controle over je bankrekening. Zo eenvoudig is het.

Als je zelf geld overmaakt van je bankrekening naar de rekening van de oplichter, is dat geautoriseerde pushbetalingsfraude. Daarmee worden slachtoffers gemanipuleerd om geld over te maken. Het is zonder meer een van de meest voorkomende vormen van fraude.

4. De exit

De beller ‘sluit het dossier af’ en bedankt je voor je alertheid. Je hangt opgelucht op: ‘Dat was op het nippertje.’ Maar enkele uren later merk je ongeautoriseerde transacties op, of ontdek je dat de zogenaamd veilige rekening die van de criminelen was.

Het spreekt voor zich dat je onmiddellijk je bank moet bellen als dit werkelijk gebeurt. Hieronder lees je hoe je dat aanpakt.

Wat kan je eraan doen?

Bij het eerste teken van twijfel, het buikgevoel dat er iets niet in de haak is, moet je de verbinding verbreken en naar je bank of cardstop bellen. Bel het nummer bij voorkeur vanaf een andere telefoon dan die waarop je bent gebeld. Oplichters kunnen de lijn van een vaste telefoon openhouden, zodat je denkt dat je hebt opgehangen terwijl dat niet het geval is. Ze spelen zelfs valse kiestonen af om je te laten denken dat de lijn vrij is.

Als er sprake is van verdachte activiteiten, dan is dat goed nieuws: door je bank te bellen, spreek je nu met de juiste personen om het probleem op te lossen. Stuur verdachte sms’jes en e-mails door naar safeonweb.be en verwijder ze daarna.

Phishing proberen vermijden

Enkele praktische tips om jezelf en je bedrijf te beschermen tegen phishing:

  1. Neem je tijd om na te denken. Als er druk wordt uitgeoefend, is dat verdacht. Als je echt je bank aan de lijn hebt, komt het op vijf minuten niet aan. Controleer de gegevens via je app of met de telefoon.
  2. Schakel over naar een ander kanaal om te verifiëren. Reageer niet rechtstreeks. Klik niet op de link. Gebruik een vertrouwde route die je gewoonlijk gebruikt, zoals je bank-app, je eigen bookmark voor online bankieren of het officiële telefoonnummer van de bank. Bijvoorbeeld het nummer op de achterkant van je debet- en creditcards, maar zeker niet het nummer dat in de verdachte e-mail staat!
  3. Geef nooit, maar dan ook nooit een eenmalige code door. Eenmalige codes die je ontvangt via sms of uit een authenticator-app mag je nooit delen en zelfs niet hardop uitspreken! Dat is dé manier waarop oplichters hun fraude legitimeren. Vraagt iemand ernaar, stop dan meteen. Iemand die legitiem is, zal ooit zoiets vragen. Krijg je uit het niets een authenticatieverzoek? Niet op antwoorden.

Zorg ervoor dat jij en je collega’s vertrouwd zijn met de adviezen van het Centre for Cybersecurity Belgium. Het is een uitstekende en toegankelijke informatiebron. Maar bovenal: vergeet nooit dat we allemaal een buikgevoel hebben. Het is een krachtig verdedigingsmechanisme als je er maar naar luistert.

Slotopmerkingen

De onlinewereld is een geweldige plek, maar tegelijk een jungle waar criminelen dagelijks toeslaan. Waakzaamheid is essentieel. Het mag je onlineactiviteiten niet in de weg staan, maar je moet altijd alert blijven.

Schrijf je in voor de Sage Advice-nieuwsbrief en ontvang ons laatste advies rechtstreeks in je inbox.

Schrijf je in

Vanuit dit artikel door meer onderwerpen bladeren

Verken meer inzichten

Meer over dit onderwerp