Spoofing, phishing en smishing: wat is het en hoe voorkom je het?
Van e-mail, telefoongesprek en sms tot WhatsApp, Instagram en zelfs post: criminelen gebruiken al deze kanalen om via spoofing, phishing en smishing jouw gegevens buit te maken. Een beproefde techniek is dat ze identiteiten aannemen van organisaties of mensen die je vertrouwt of kent. Scary! In dit blog lees je hoe je spoofing, phishing en smishing kunt voorkomen én herkennen.
Het verschil tussen phishing, spoofing en smishing
De termen phishing, spoofing en smishing behoren alle drie tot dezelfde overkoepelende vorm van oplichting, we leggen uit wat precies de verschillen zijn tussen de termen.
Phishing
Bij phishing ‘cybercriminelen naar gevoelige gegevens zoals wachtwoorden, betaalgegevens of pincodes. Vaak word je verleid via mail of telefoon om naar een bepaalde website te gaan. Die lijkt op de echte site van een bepaalde organisatie, zodat jij nietsvermoedend gevoelige – en voor de oplichter waardevolle – gegevens achterlaat.
Spoofing
Spoofing is een vorm van phishing waarbij de criminelen een valse identiteit aannemen, zoals de Belastingdienst, je bank of zelfs een familielid. Dit kan via de mail, WhatsApp, Instagram, maar ook via de telefoon of de post. Zo kunnen ze je een mailtje sturen met een betaalverzoek namens de Belastingdienst of je krijgt een sms’je van je bank dat je moet inloggen.
Smishing
Smishing komt van sms-phishing. Misschien herken je het: een sms van zogenaamd de Belastingdienst of PostNL dat suggereert dat je een belastingschuld moet afbetalen of een app moet downloaden om een pakketje te kunnen volgen. Smishing is relatief effectief: bijna iedereen kent immers phishing per e-mail, maar omdat smishing een vrij nieuw fenomeen is zijn maar weinig mensen erop bedacht.
Zo herken je phishing, spoofing en smishing
Als je goed kijkt, valt meestal al snel op dat er iets niet klopt. Zo communiceert de Belastingdienst alleen via Mijn Overheid, sms’t PostNL niet vanuit een 06-nummer, staan er vaak foutjes in de berichten, wijken WhatsApp-conversaties af van iemands normale taalgebruik en zijn mails vaak afkomstig van een gek of ietwat afwijkend e-mailadres.
Begin 2022 kwam een bijzonder phishing-geval aan het licht. Iemand kon jarenlang nog niet gepubliceerde manuscripten van schrijvers buitmaken door e-mails te sturen vanuit 160 valse domeinnamen van uitgeverijen, denk aan ‘penguinrandornhouse.com’ in plaats van ‘penguinrandomhouse.com’.
Twijfel je over een bepaald bericht? Kijk goed, klik nergens op en bel eventueel naar de zogenaamde afzender of de Fraudehelpdesk.
Aan deze signalen kun jij spoofing, phishing en smishing herkennen:
Onscherpe logo’s
Gekke of ietwat afwijkende e-mailadressen.
Fouten in de tekst, zoals spelling, namen of interpunctie.
De strekking van het bericht: banken vragen nooit om je inlogcode of bankpas.
Een telefoontje van een niet herkend of buitenlands telefoonnummer waarbij je een vreemd verzoek of een computerstem te horen krijgt.
E-mailbijlagen met een verdacht bestandsformaat (zoals .exe of .zip) of een gekke link.
Urgentie: je moet binnen 24 uur of voor vanmiddag 13.00 u. reageren.
Corona is een geliefd phishing-onderwerp, wees extra scherp op berichten die van de GGD afkomstig zouden zijn.
Dit zijn de vormen van phishing, spoofing en smishing
We leggen uit welke vormen er zijn van phishing, spoofing en smishing, zodat jij ze sneller herkent.
Mails
Een phishing-mail lijkt te komen van een vertrouwde afzender zoals je bank, je telecomprovider of Amazon. Meestal word je gevraagd om je gegevens op te sturen of op een link of bijlage te klikken. Denk je dat het een scam is? Kijk goed naar het e-mailadres en zweef met je muis over de hyperlink om onderin de URL te checken waarnaar wordt gelinkt. Twijfel je nog steeds? Bel dan met de organisatie die de mail gestuurd zou hebben, gebruik daarbij natuurlijk niet (zonder het te checken) het telefoonnummer dat in de e-mail staat.
Websites en valse URL’s
Al dan niet via een phishing-mail kun je op een phishing-site komen. Vaak lijkt de website op de originele site, maar kun je vrij snel herkennen dat ‘ie malafide is. Bijvoorbeeld omdat er taalfouten of niet scherpe afbeeldingen op de site staan, je gegevens moet invullen via een pop-up, er geen slotje in de adresbalk staat of de URL niet klopt.
Telefoontje
Word je gebeld door een onbekend 06-nummer? Een gek buitenlands nummer? Of een Nederlands telefoonnummer, waarbij men zich voorstelt als de helpdesk van een groot bedrijf? Grote kans dat het nep is.
Sms
Smishing kan zeer geavanceerd zijn: het telefoonnummer kan zijn verborgen, de ‘echte’ bedrijfsnaam kan zichtbaar zijn in je sms-applicatie en het smishing-bericht kan zelfs zijn opgenomen in een legitieme sms-conversatie op je telefoon. Let goed op de urgentie: vaak moet je binnen X-uur reageren zodat je minder tijd hebt om na te denken. Vaak word je gevraagd een app te downloaden, installeer op je Android-telefoon alleen apps via de Play Store (op een iPhone kun je sowieso geen apps buiten de App Store om downloaden).
WhatsApp
Word je geappt door een nummer dat je niet kent maar wél met de profielfoto van een bekende? Dan is de conclusie bijna altijd: phishing. Soms is het lastiger te herkennen: de phisher kan iemands gehele account overnemen. Dat doen ze door de activatiecode voor een nieuw toestel bij iemand te ontfutselen. De strekking bij deze zogeheten vriend in nood-fraude is altijd: je wordt om geld gevraagd. Twijfel je? Bel je bekende dan gewoon even op.
Bron: nos.nl
Instagram
Op Instagram maken phishers onder meer gebruik van nepprofielen: via een nagemaakt profiel van iemand die je kent proberen ze je via een persoonlijk bericht informatie afhandig te maken of door te sturen naar een phishing-site.
Post
Per post kun je worden gevraagd om bijvoorbeeld je bankpas op te sturen of je gegevens ergens te wijzigen. Hierbij geldt ook: denk je dat het niet pluis is? Bel de vermeende afzender. Vaak zie je al aan de vormgeving van de brief dat het zaakje stinkt.
Beveilig je smartphone
Om te voorkomen dat je in de val wordt gelokt door internetcriminelen die gebruikmaken van phishing of spoofing kun je in ons artikel alles lezen over de beveiliging van je smartphone. Bij veel apps kun je er bijvoorbeeld voor kiezen om gebruik te maken van tweestapsverificatie. Naast je inloggegevens heb je voor het inloggen dan ook een code nodig die je per sms of authenticator-app ontvangt.
Supersnel surfen naar de ‘waarheid’
Bij het ontvangen van een vermeend phishing-bericht wil je natuurlijk in no time kunnen checken of het echt is of niet. Met het betrouwbare netwerk van KPN heb jij met je Simyo Sim Only abonnement of Prepaid altijd razendsnel internet én goed bereik, zodat je in een handomdraai de website van de ‘echte’ afzender opzoekt. Wel zo handig!