Pas op voor phishing

Cybercriminelen proberen met valse berichten je geld, persoonlijke gegevens of wachtwoorden te stelen. Dit heet phishing. Maar wat is het precies en hoe herken je het? Ontdek ook wat je moet doen als je een phishingbericht hebt geopend.

Wat is phishing?

Van alle digitale gevaren werden ondernemers in 2023 het vaakst slachtoffer van Phishing. Het is een vorm van oplichting: criminelen misleiden je met nep e-mails, nep QR-codes en valse sms- of WhatsAppberichten. De berichten lijken van bekende en vaak betrouwbare organisaties te komen. Denk aan overheidsinstellingen en banken. Oplichters sturen je berichten om persoonlijke informatie te stelen. Bijvoorbeeld inloggegevens, creditcardinformatie of pincodes. Er zijn ook criminelen die mails sturen uit naam van KVK. Controleer dus altijd of een bericht wel echt van KVK komt.

Hoe herken je phishingmails?

Het is vaak lastig om het verschil te zien tussen een valse en echte e-mail. Toch kun je een phishingmail soms herkennen aan de volgende kenmerken:

Kenmerken phishingmail

Een phishing-mail herken je aan de volgende kenmerken: nep domein, onpersoonlijke aanhef, schadelijke software in bijlage, spoed, taalfouten, schadelijke link.

Afzender

Criminelen gebruiken een vreemd e-mailadres of een dat lijkt op een echte bedrijfsnaam. Bijvoorbeeld van je bank of je favoriete webwinkel. Check daarom de domeinnaam in het e-mailadres. De domeinnaam is alles wat achter het @-teken staat. Bij een betrouwbaar bericht zijn de domeinnaam en het websiteadres vaak gelijk. Twijfel meteen aan de afzender als de letters uit de domeinnaam cijfers zijn. Criminelen gebruiken bijvoorbeeld info@ub0.kvk.nl.

Let op: soms zie je helemaal niets vreemds aan de afzender. Criminelen gebruiken dan als afzender het echte e-mailadres van een bedrijf. Die techniek heet spoofing. Een e-mailadres dat er precies zo uitziet als het e-mailadres dat je van een bedrijf kent is dus niet altijd een teken dat het bericht betrouwbaar is.

Onpersoonlijk

Valse e-mails zijn meestal niet persoonlijk aan jou gericht. Let goed op e-mails die beginnen met een algemene aanhef zoals ‘geachte klant’ of ‘geachte heer, mevrouw’. Je bank of zorgverzekeraar zal altijd je naam gebruiken.

Taalfouten

Je herkent phishingberichten vaak aan het slechte taalgebruik. De crimineel weet dit ook. Ze sturen daarom steeds vaker berichten zonder taalfouten. Blijf toch alert op slordige berichten met stijl- en taalfouten. Weet ook dat criminelen websites en logo’s goed namaken.

Spoed

In phishingmails probeert de crimineel je onder druk te zetten. De crimineel zegt dat je account verloopt of dat je een speciale aanbieding misloopt als je niet meteen reageert. Het bericht lijkt dan dus een laatste waarschuwing of laatste kans.

Persoonlijke gegevens

Cybercriminelen vragen in nep e-mails vaak naar je persoonsgegevens. Bijvoorbeeld om deze te controleren of bij te werken. Je moet dan op een link in de e-mail klikken. Doe dit niet zomaar. Banken, creditcardmaatschappijen of overheidsinstanties vragen nooit op deze manier naar je gegevens. Bel met de echte organisatie. Hun contactgegevens zoek je in je eigen administratie of op internet. Haal ze niet uit het bericht dat je ontving.

Schadelijke link of bijlage

Klik nooit zomaar op links of bijlagen in een e-mail die je niet vertrouwt. Zo’n link of bijlage kan schadelijke software op je computer installeren. Of ze leiden je naar een nepwebsite waar je persoonlijke gegevens moet achterhalen. Wil je zien naar welke webpagina een link leidt? Zweef dan met het muispijltje boven een link. Vlak boven de muiscursor verschijnt de link naar het webadres.

Komt dit bericht van KVK?

Grote kans dat je de laatste tijd een neppe mail van ‘KVK’ hebt gekregen. Criminelen gebruiken de naam van KVK om ondernemers op te lichten. Er zijn inmiddels meer dan vijftig verschillende phishingmails uit naam van KVK in omloop.

Dit moet je weten:

• KVK deelt nooit boetes uit en dreigt daar niet mee.
• KVK dreigt nooit je KVK-inschrijving stop te zetten.
• KVK vraagt je nooit in e-mails of sms’jes om gegevens door te geven.

Lees meer op Komt dit bericht wel echt van KVK?

Andere vormen van phishing

Criminelen sturen phishingberichten niet alleen per e-mail. Overal waar ondernemers actief zijn, zoeken cyberdieven naar inbreekmogelijkheden. Ze gebruiken sms-berichten, maar ook WhatsApp, LinkedIn en QR-codes.

SMS

Je kunt phishingberichten ook per sms ontvangen. Antwoord nooit zomaar op zo’n sms-bericht van je bank of creditcardmaatschappij. Waarschijnlijk is het nep. Wil je weten of het echt is? Log in op de website van je eigen bank. En bel ze als je twijfels houdt.

WhatsApp

WhatsApp-fraude is populair. Vooral de nepberichtjes die van bekenden lijken te komen. Ook wel ‘vriend-in-noodfraude’ genoemd. Reageer nooit op een WhatsAppbericht van iemand die doet alsof die je dochter is en dringend geld nodig heeft. Bel altijd na om te checken of het appje klopt. Als ondernemers gebruik je WhatsApp misschien ook zakelijk. Twijfel je aan een bericht van een zakenpartner? Controleer op de website van de zakenpartner of je het kunt vertrouwen.

LinkedIn

Niet iedereen gebruikt LinkedIn met goede bedoelingen: criminelen misbruiken het als informatiebron en om phishingberichten naar slachtoffers te sturen. Weet wat je deelt op LinkedIn, en met wie. Dat geldt natuurlijk voor alle socialmediakanalen die je hebt.

QR-code

Via phishing met QR-codes willen criminelen je bankrekening leeghalen. Je ontvangt bijvoorbeeld een valse e-mail of brief uit naam van je bank. In het nepbericht staat dat je een nieuwe bankpas moet aanvragen of akkoord moet gaan met een nieuwe bank-app. Je moet dan de QR-code in het bericht scannen. Deze QR-code leidt naar een website die lijkt op die van je eigen bank. Vanaf die nepwebsite stelen de oplichters je inloggegevens. Daarmee komen ze binnen in je bankrekening.

Een QR-code is een vierkantje met kleine zwarte en witte blokjes. In de blokjes zit informatie zoals een internetadres, telefoonnummer of een betaalverzoek. Scan pas als je weet met wie je te maken hebt.

Nieuwe oplichtingsmanieren

Criminelen zijn altijd uit op geld of waardevolle informatie. Ze verzinnen daarom telkens nieuwe manieren om ondernemers op te lichten. De berichten waarmee ze je verleiden veranderen steeds. Laat je niet verrassen en blijf alert als je een bericht ontvangt dat je niet verwacht. Reageer nooit als de afzender je dwingt meteen iets te doen, vraagt om persoonlijke informatie of om ergens op te klikken.

Slachtoffer van phishing?

Als je slachtoffer bent van phishing zijn twee dingen belangrijk: ga na wat voor phishing het is en meld het altijd.

Na een phishingincident

Heb je met een phishingincident te maken? Check wat voor phishing het is. Hebben criminelen je wachtwoorden of persoonsgegevens gestolen? Of geld van je rekening gehaald? Heb je onbedoeld malware op je computer geïnstalleerd? Dit kun je doen:

  • Wachtwoorden: verander je wachtwoorden of andere inloggegevens meteen als ze zijn gestolen. Gebruik je hetzelfde wachtwoord op meerdere plekken, pas deze dan overal aan naar een nieuw uniek wachtwoord.
  • Betalingen: soms kun je ongewenste betalingen terugdraaien. Neem meteen contact op met je bank of creditcardmaatschappij als merkt dat er geld van je rekening weg is dat je niet zelf hebt uitgegeven.
  • Malware is gevaarlijke software die je computer of andere apparaten beschadigt. Heb je een bijlage geopend die je niet vertrouwt? Controleer je computer op schadelijke bestanden of programma's met beveiligingssoftware.
  • Persoonsgegevens: als er persoonlijke gegevens van bijvoorbeeld je klanten, leveranciers of personeel zijn gestolen, gewijzigd of verwijderd, heb je te maken met een datalek. Je moet zo'n datalek binnen 72 uur melden aan de Autoriteit Persoonsgegevens.
  • Heb je persoonlijke gegevens verstuurd, bijvoorbeeld in reactie op een phishingmail? Wees dan ook alert op helpdeskfraude. Een oplichter belt je op en doet alsof die een vriendelijke helpdeskmedewerker is van bijvoorbeeld een bank of een softwarebedrijf. De oplichter wil je zogenaamd helpen bij problemen met je bankrekening of met je computer. Ga er niet op in en verbreek de verbinding.
  • Ben je gehackt of denk je dat je gehackt bent? Op Hackhelpdesk.nl vind je een stappenplan en praktische oplossingen waarmee je verdere schade voorkomt.

Phishing melden

Ben je slachtoffer van phishing? Geef het door bij de volgende instanties:

  • Meld het bij de Fraudehelpdesk.
  • Doe aangifte bij de politie. Dit kan alleen op het politiebureau. Bel 0900 – 8844 voor het maken van een afspraak.
  • Laat de organisatie waarvan criminelen de naam misbruiken weten dat je een phishingbericht hebt ontvangen. Veel organisaties hebben een speciaal e-mailadres waar je de phishingbericht kunt melden. Krijg je een phishingbericht van KVK? Mail ons op valse-email@kvk.nl.

Is je bedrijfsnaam misbruikt voor het versturen van phishingberichten? We horen het graag. Deel je ervaring via kvk.cyber@kvk.nl.