De e-mail komt min of meer uit de lucht vallen. Er is geen eerdere communicatie aan vooraf gegaan. Je hebt geen e-mail gestuurd waarop dit het antwoord is, niemand telefonisch gesproken die heeft toegezegd je een bericht te sturen en geen web formulier ingevuld naar aanleiding waarvan je een e-mail zou kunnen verwachten. Let er wel op dat cybercriminelen wel het onderwerpveld zo aanpassen dat het een antwoord lijkt op een mail die je gestuurd hebt. Dit doen ze onder andere door de tekst in het onderwerp-veld te beginnen met “Antw:” zodat je bijvoorbeeld een e-mail ontvangt met als onderwerp “Antw: Informatie aanvraag”
Doordat cybercriminelen die zich bezighouden met phishing vaak alleen maar je e-mail adres bezitten en niet je naam, beginnen phishing e-mails vaak met “Beste”, “Beste Klant” of iets dergelijks. Maar let er wel op dat een persoonlijke aanhef geen garantie is voor een veilige e-mail!
Grammatica en spelfouten komen nog steeds vaak voor in phishingmails, alhoewel het tegenwoordig steeds minder wordt. Een e-mail zonder dergelijke fouten is dus niet per definitie geen phishingmail. Phishingmails beperken zich allang niet meer tot alleen de Engelse taal, en kunnen ook in perfect Nederlands verstuurd worden. Dus let extra op de overige kenmerken.
De phishing-e-mails of websites waarnaar wordt verwezen, vragen meestal om persoonlijke gegeven zoals gebruikersnamen, wachtwoorden, beveiligingscodes. Eigenlijk allemaal informatie die geen enkel normaal bedrijf via email of telefoon aan haar klanten zou vragen. Stel jezelf altijd vragen als “Waarom moeten zij deze informatie van mij hebben?”, “Mogen zij deze informatie van mij vragen?”
Phishing-e-mails spelen vaak in op jouw angst opgelicht te worden, je account kwijt te raken of op een andere dringende redenen om zo snel mogelijk te reageren. Maar ook zaken als:
Belofte om geld te krijgen waar geen of weinig inspanning tegenover staat.
Transacties die te mooi klinken om waar te zijn.
Vragen om geld aan een liefdadig doel te schenken nadat een ramp die in het nieuws is geweest.
Door in te spelen op je angst hopen cybercriminelen dat je snel en ondoordacht actie onderneemt.
Je moet meestal snel reageren op een bericht, doe je dat niet dan dreigen ze met zaken zoals vermeld in het voorgaande punt (angst). Ook hier speelt mee dat ze willen dat je snel en ondoordacht reageert en zo vergeet deze tips toe te passen. Ontvang je een e-mail waarbij je onder tijdsdruk wordt gezet, dan zal een aantal minuten niet uitmaken. Neem deze minuten de tijd om het bericht nog eens goed te controleren op bovenstaande phishing-kenmerken.
Een dergelijke gebeurtenis kan bijvoorbeeld een DDoS aanval op een bank zijn zoals we die in 2013 meerdere malen hebben gezien. Bij dergelijke aanvallen raken de systemen van de bank overbelast waardoor internetbankieren tijdelijk niet meer mogelijk is. Maar ze kunnen ook naar iets verwijzen waar je niets van weet, bijvoorbeeld de overstap van de bank naar een aantal nieuwe servers; “Om de beveiliging te verhogen is uw bank overgestapt op nieuwe servers. U moet uw account opnieuw activeren.”. Dit kunnen zowel echte als verzonnen gebeurtenissen zijn. Laat je hierdoor niet van de wijs brengen.
Het doel van de cybercriminelen met phishing-e-mails is dat ze willen dat je op een link klikt. Vaak moet je dan op de betreffende website je gegevens invullen of er wordt direct malware op je PC geïnstalleerd. Het installeren van malware kunnen ze doen door je iets te laten downloaden, maar het kan ook zonder iets extra’s te hoeven doen. Alleen het bezoeken van de website kan er al voor zorgen dat je PC geïnfecteerd wordt. Klik dus nooit op links in een e-mail.
Meer informatie over links vind je bij de tips voor veilig internetten.
De e-mail komt min of meer uit de lucht vallen. Er is geen eerdere communicatie aan vooraf gegaan. Je hebt geen e-mail gestuurd waarop dit het antwoord is, niemand telefonisch gesproken die heeft toegezegd je een bericht te sturen en geen web formulier ingevuld naar aanleiding waarvan je een e-mail zou kunnen verwachten. Let er wel op dat cybercriminelen wel het onderwerpveld zo aanpassen dat het een antwoord lijkt op een mail die je gestuurd hebt. Dit doen ze onder andere door de tekst in het onderwerp-veld te beginnen met “Antw:” zodat je bijvoorbeeld een e-mail ontvangt met als onderwerp “Antw: Informatie aanvraag”
Doordat cybercriminelen die zich bezighouden met phishing vaak alleen maar je e-mail adres bezitten en niet je naam, beginnen phishing e-mails vaak met “Beste”, “Beste Klant” of iets dergelijks. Maar let er wel op dat een persoonlijke aanhef geen garantie is voor een veilige e-mail!
Grammatica en spelfouten komen nog steeds vaak voor in phishingmails, alhoewel het tegenwoordig steeds minder wordt. Een e-mail zonder dergelijke fouten is dus niet per definitie geen phishingmail. Phishingmails beperken zich allang niet meer tot alleen de Engelse taal, en kunnen ook in perfect Nederlands verstuurd worden. Dus let extra op de overige kenmerken.
De phishing-e-mails of websites waarnaar wordt verwezen, vragen meestal om persoonlijke gegeven zoals gebruikersnamen, wachtwoorden, beveiligingscodes. Eigenlijk allemaal informatie die geen enkel normaal bedrijf via email of telefoon aan haar klanten zou vragen. Stel jezelf altijd vragen als “Waarom moeten zij deze informatie van mij hebben?”, “Mogen zij deze informatie van mij vragen?”
Phishing-e-mails spelen vaak in op jouw angst opgelicht te worden, je account kwijt te raken of op een andere dringende redenen om zo snel mogelijk te reageren. Maar ook zaken als:
Belofte om geld te krijgen waar geen of weinig inspanning tegenover staat.
Transacties die te mooi klinken om waar te zijn.
Vragen om geld aan een liefdadig doel te schenken nadat een ramp die in het nieuws is geweest.
Door in te spelen op je angst hopen cybercriminelen dat je snel en ondoordacht actie onderneemt.
Je moet meestal snel reageren op een bericht, doe je dat niet dan dreigen ze met zaken zoals vermeld in het voorgaande punt (angst). Ook hier speelt mee dat ze willen dat je snel en ondoordacht reageert en zo vergeet deze tips toe te passen. Ontvang je een e-mail waarbij je onder tijdsdruk wordt gezet, dan zal een aantal minuten niet uitmaken. Neem deze minuten de tijd om het bericht nog eens goed te controleren op bovenstaande phishing-kenmerken.
Een dergelijke gebeurtenis kan bijvoorbeeld een DDoS aanval op een bank zijn zoals we die in 2013 meerdere malen hebben gezien. Bij dergelijke aanvallen raken de systemen van de bank overbelast waardoor internetbankieren tijdelijk niet meer mogelijk is. Maar ze kunnen ook naar iets verwijzen waar je niets van weet, bijvoorbeeld de overstap van de bank naar een aantal nieuwe servers; “Om de beveiliging te verhogen is uw bank overgestapt op nieuwe servers. U moet uw account opnieuw activeren.”. Dit kunnen zowel echte als verzonnen gebeurtenissen zijn. Laat je hierdoor niet van de wijs brengen.
Het doel van de cybercriminelen met phishing-e-mails is dat ze willen dat je op een link klikt. Vaak moet je dan op de betreffende website je gegevens invullen of er wordt direct malware op je PC geïnstalleerd. Het installeren van malware kunnen ze doen door je iets te laten downloaden, maar het kan ook zonder iets extra’s te hoeven doen. Alleen het bezoeken van de website kan er al voor zorgen dat je PC geïnfecteerd wordt. Klik dus nooit op links in een e-mail.
Meer informatie over links vind je bij de tips voor veilig internetten.