Wegwijzer Veilig Online

Wees alert op phishing

Cybercriminelen proberen met valse e-mails, WhatsAppberichten of QR-codes je geld, persoonlijke gegevens of wachtwoorden te stelen. Hoe herken je phishingberichten? En wat doe je als je zo’n nepbericht hebt geopend?

Phishing is een vorm van digitale oplichting. Fraudeurs misleiden je met gerichte nep e-mails, QR-codes, sms of WhatsAppberichten. De berichten lijken afkomstig van bekende, en vaak betrouwbare, organisaties. Zoals overheidsinstellingen en banken. Zo proberen oplichters je inloggegevens, creditcardinformatie, pincode of andere persoonlijke informatie te stelen.

Hoe herken je phishingmails?

Het is vaak lastig om het verschil te zien tussen een valse en echte e-mail. Je herkent een phishingmail aan de volgende kenmerken:

Een phishing-mail herken je aan de volgende kenmerken: nep domein, onpersoonlijke aanhaf, schadelijke software in bijlage, spoed, taalfouten, schadelijke link.

Afzender

Let goed op het e-mailadres van de afzender. De gebruikte naam van de afzender onderaan de mail kan sterk lijken op die van bijvoorbeeld je bank of webwinkel, maar toch nep zijn. Criminelen gebruiken een vreemd e-mailadres of een afgeleide versie van een echte bedrijfsnaam. Check daarom de domeinnaam in het e-mailadres. De domeinnaam herken je aan alles wat achter het @-teken staat. Kijk of de domeinnaam overeenkomt met het websiteadres. Een andere veel voorkomende manier om valse e-mails te verspreiden is het vervangen van letters uit de domeinnaam door cijfers.

Onpersoonlijk

Vervalste e-mails zijn meestal niet persoonlijk aan jou gericht. Let goed op e-mails die beginnen met een algemene aanhef zoals ‘geachte klant’ of ‘geachte heer, mevrouw’.

Taalfouten

Phishingmails bevatten vaak stijl- en taalfouten. Check het bericht daarom goed op slordig taalgebruik.

Spoed

In phishingmails probeert de oplichter je onder druk te zetten. Bijvoorbeeld door gebruik te maken van urgentie, in de vorm van tekst zoals ‘laatste waarschuwing’ of ‘laatste kans’. De fraudeur zegt dat je account verloopt of dat je een speciale aanbieding misloopt als je niet direct reageert.

Persoonlijke gegevens

In nep e-mails wordt vaak gevraagd naar je persoonsgegevens. Bijvoorbeeld om deze ‘te controleren’ of ‘te actualiseren’. Je moet dan op een link klikken om dit te doen. Wees alert en doe dit niet zomaar. Banken, creditcardmaatschappijen en overheidsinstanties vragen nooit via een bericht naar persoonlijke gegevens. Neem telefonisch contact op met de organisatie die de e-mail heeft verstuurd. Gebruik hiervoor niet de contactgegevens in de e-mail, maar zoek deze zelf op.

Schadelijke link of bijlage

Klik nooit zomaar op links of bijlagen in een e-mail die je niet vertrouwt. Links of bijlagen in valse e-mails kunnen ervoor zorgen dat er schadelijke software op je computer wordt geïnstalleerd. Of ze leiden je naar een nepwebsite waar je persoonlijke gegevens moet achterhalen. Wil je zien naar welke webpagina een link leidt? Zweef met het muispijltje boven een link. Vlak boven de muiscursor verschijnt het webadres waarnaar de link verwijst.

Phishing via social media

Fraudeurs sturen phishingberichten niet alleen per e-mail. Ze gebruiken ook andere kanalen waar ondernemers actief zijn. Via sms-berichten en social media zoals WhatsApp en LinkedIn verspreiden criminelen nepberichten.

WhatsApp-fraude is in 2020 sterk toegenomen, vooral door nepberichtjes in de persoonlijke sfeer, ook wel ‘vriend-in-noodfraude’ genoemd. Reageer nooit op een WhatsApp-bericht van je ‘dochter’ met de vraag om bijvoorbeeld een code door te sturen of om snel geld over te maken. Neem altijd telefonisch contact op en vraag wat er aan de hand is. Ondernemers gebruiken WhatsApp ook zakelijk. Twijfel je of een appje echt is? Controleer dan via een ander kanaal bij de afzender of het bericht klopt.

Bekend zijn ook de sms-berichten die oplichters versturen om achter gegevens te komen. Antwoord nooit zomaar op een sms van je ‘bank’ of ‘creditcardmaatschappij’ om je gegevens te controleren of een nieuwe code aan te vragen. Waarschijnlijk is het een nepbericht. Zodra je buiten de sms om inlogt op de webpagina van je eigen bank, zie je de werkelijke berichten van je bank. Neem bij twijfel telefonisch contact op.

Phishing met QR-code

Een nieuwe oplichterstruc is phishing met QR-codes waarmee criminelen proberen je bankrekening te plunderen. Dit werkt zo: je ontvangt een valse e-mail of brief uit naam van je bank. In het nepbericht staat dat je een nieuwe bankpas moet aanvragen of akkoord moet gaan met een nieuwe bank-app. Om dit te doen, moet je de QR-code in het bericht scannen. Deze QR-code leidt naar een phishingwebsite waar de oplichters je inloggegevens stelen. Hiermee hebben ze vervolgens toegang tot je bankrekening.

Een QR-code bestaat uit een vierkantje dat is opgebouwd uit zwarte en witte blokjes. In die blokjes zit informatie zoals een internetadres, telefoonnummer of een betaalverzoek. Het risico is dat je voordat je scant niet weet welke informatie er in zo’n QR-code staat. Wees daarom terughoudend met het scannen van QR-codes. Zorg dat je zeker weet met wie je te maken hebt voordat je scant.

Misdadigers zoeken steeds nieuwe manieren om geld of informatie van slachtoffers te krijgen. Blijf alert op berichten die je niet verwacht, en waar ‘tijdsdruk’ op zit en waarin de afzender jou vraagt om informatie te geven of ergens op te klikken.

Na een phishingincident

Het is belangrijk om vast te stellen wat voor phishing er heeft plaatsgevonden. Zijn er wachtwoorden of persoonsgegevens gestolen? Zijn er ongewenste betalingen gedaan? Is er software geïnstalleerd die het computersysteem verstoort, zoals malware?

  • Wachtwoorden: wanneer er wachtwoorden of andere inloggegevens zijn gestolen, is het belangrijk deze gegevens direct te wijzigen. Mocht je hetzelfde wachtwoord op meerdere plekken gebruiken, pas deze dan overal aan.
  • Betalingen: soms kun je ongewenste betalingen terugdraaien. Neem bij signalering direct contact op met je bank of creditcardmaatschappij.
  • Gevaarlijke software: malware is een verzamelnaam voor alle software die criminelen hebben gemaakt om computers of andere apparaten expres te beschadigen. Heb je een bijlage geopend die je niet vertrouwt? Controleer je systeem via je beveiligingssoftware op schadelijke bestanden of programma's.
  • Persoonsgegevens: als er persoonlijke gegevens van bijvoorbeeld klanten, leveranciers of personeel zijn gestolen, gewijzigd of verwijderd, heb je te maken met een datalek. Zo’n datalek moet je binnen 72 uur melden aan de Autoriteit Persoonsgegevens.

Bescherm je tegen cybercrime

Steeds meer bedrijven worden slachtoffer van cybercriminaliteit. Bescherm je hiertegen en ga actief aan de slag met de digitale veiligheid van je bedrijf. Zorg er ook voor dat je updates aan je beveiligingssoftware niet uitstelt.

De Fraudehelpdesk houdt je op de hoogte van de meest recente waarschuwingen over online fraude en phishing. Abonneer je op deze alerts.

Phishing melden

Ben je slachtoffer van phishing? Maak er melding van bij de fraudehelpdesk en doe aangifte bij de politie. Dit kan alleen op het politiebureau. Bel 0900 – 8844 voor het maken van een afspraak.

Neem ook contact op met de organisatie uit wiens naam je de phishingberichten krijgt. Veel organisaties hebben een speciaal e-mailadres waar je nepberichten kunt melden.

Is jouw bedrijf getroffen door phishing? We komen graag met je in contact. Deel je ervaring via kvk.cyber@kvk.nl.

Meer weten over fraude en cybercriminaliteit? Lees alles over veilig zakendoen.
Jan van der Beek

Als KVK-adviseur informeer ik ondernemers over (duurzame) bedrijfshuisvesting, fraudepreventie en wet- en regelgeving. Ik heb kennis van data-analyse en een brede belangstelling voor regionale economische ontwikkelingen.

InspiratiePage