12 soorten phishing

Er bestaan meerdere soorten van phishing . Maar het komt er altijd op neer dat iemand tracht persoonlijke informatie van jou los te krijgen, zoals wachtwoorden of kredietkaartnummers. Wij lijsten voor jou de 12 gekende phishing-varianten op. 

De 12 meest voorkomende phishing-methodes 

1. E-mail  spoofing  

Hoe werkt het? De aanvaller gebruikt een vals e-mailadres. Daardoor lijkt de mail te komen van een persoon die je kent of een bedrijf waar je klant bent. De fraudeur vraagt jou om op een link te klikken, in te loggen op een website en bepaalde actie te ondernemen, zoals bestanden te delen.  

Zo trap je er niet in: Jouw naam staat niet in het 'Aan' vakje, of staat er tussen een hele rij andere mensen die jij niet kent. Je bent geen klant bij dit bepaald bedrijf, of toch niet met het mailadres waarnaar de mail verzonden werd.  

 

2. URL Phishing  

Hoe werkt het? De fraudeur vermeldt in een mail of ander bericht een webadres (URL) dat op het eerste gezicht betrouwbaar lijkt. Maar achter die link zit eigenlijk een heel ander adres. Hij gebruikt hiervoor een van deze technieken:   

  • De fraudeur verbergt het webadres onder een knop 'Klik hier' of 'Abonneer je nu'  

  • Je kan het webadres niet lezen, want het is verkort met een link-verkorter zoals t.co/xz92drTT92  

  • Het webadres bevat de naam van een bekend bedrijf, maar is fout gespeld, bijvoorbeeld citiibank.com in plaats van citibank.com  

  • De fraudeur speelt met op elkaar lijkende letters, zoals arnazon.com in plaats van amazon.com, of Faceb00k.com in plaats van Facebook.com  

  • De domeinnaam van het adres lijkt legitiem, maar is eigenlijk een subdomein van een ander domein, bijvoorbeeld https://inlog.dnsbelgium.be.trading.be/inlog. Hier is trading.be de domeinnaam, en dnsbelgium.be een subdomein van trading.be.

Zo trap je er niet in: Bestudeer het webadres van nabij. 

  • Beweeg de cursor over de link. De volledige link zal op je scherm verschijnen.  

  • Bij je mobiele toestel druk je langere tijd op de link, en de volledige link zal in een pop-up verschijnen.  

  • Je kan ook met de rechterknop van de muis op de link klikken, en die naar je notitieblok kopiëren.   

  • Controleer de domeinnaam. Begin van rechts naar links - de woordcombinatie VOOR de / is de domeinextensie, met links daarvan de domeinnaam. Alles wat zich daarvoor bevindt, is een subdomein. 

3. Clone phishing 

Hoe werkt het? De fraudeurs maken een perfecte kopie of kloon van een mail die je wel vaker krijgt, zoals het overzicht van je betalingen per kredietkaart. Zij vervangen echter de koppeling in de mail door een link naar hun frauduleuze site, of de download door een bestand met een virus, ransomware of spyware.  

Zo trap je er niet in: Ga niet in op de mail wanneer het adres van de afzender afwijkt van gewoonlijk, als er taalfouten staan in de mail, of als het bericht verstuurd is op een ongewoon tijdstip. 

 

4. Invoice phishing

Hoe werkt het? De fraudeur zendt je een bericht per mail of sms, met de melding dat je iets dringend moet betalen op een bepaald rekeningnummer. Vaak staat er een link in het bericht om rechtstreeks via het web te betalen. 

Enkele voorbeelden van boodschappen die recent circuleerden:  

  • Bpost meldt je dat je pakje niet geleverd kan worden vooraleer je bijkomende kosten betaalt. 

  • Een deurwaarder meldt je dat je vergeten bent een belasting te betalen en je moet die nu aan het incassokantoor betalen. 

  • Een Nederlands incassobureau meldt dat je een verkeersovertreding gemaakt hebt in Nederland en dat zij belast zijn met de inning ervan.   

Zo trap je er niet in: Ga de feiten na. Ben je werkelijk in Nederland geweest op de datum in het bericht? Om welke belasting gaat het? En verwacht je wel degelijk een pakje, dat via Bpost verzonden werd? 

 

5. Phishing via gedeelde documenten

Hoe werkt het? Fraudeurs zenden je een goed nagemaakte melding dat je collega een document met je gedeeld heeft via Dropbox, OneDrive of WeTransfer. Klik je de link aan in het bericht, dan kom je op een nagemaakte website van deze sharing-dienst terecht. De site vraagt je naar je naam en wachtwoord bij deze dienst, of van je Microsoft365-account. 

Zo trap je er niet in: Geef je naam en wachtwoord niet. Normalerwijze ben je, op je eigen computer, altijd ingelogd op deze diensten. Twijfel je? Neem contact op met je collega en vraag of die het document naar jou verstuurd had. 

6. Phishing via smartphone apps 

Hoe werkt het? De fraudeurs ontwikkelen een eenvoudige app, maar zetten in de kleine lettertjes dat de app ook toegang moet krijgen tot de gegevens die jij in de cloud hebt staan. Mogelijk bewaar je daar je adresboekje (namen, telefoonnummer, e-mailadressen). Met die data kunnen de fraudeurs dan een nieuwe aanval inzetten op jouw contacten. 

Zo trap je er niet in: Download enkel apps uit de officiële app-winkels. Bekijk de reviews vooraleer je een app installeert. Vraagt je app toegang tot je persoonlijke gegevens, je contacten, je locatie, ga bij jezelf even na of die toegang werkelijk nodig is. 

 

7. Phishing via pop-up vensters  

Hoe werkt het? Je bezoekt een gewone website. Plots verschijnt er een pop-up venster met de boodschap dat je bepaalde software nodig hebt om een filmpje te kunnen bekijken. Klik je op de pop-up, dan ga je software downloaden. Bij Malvertising wordt van deze techniek gebruik gemaakt. Lees meer: 'Fraude via malvertising'  

Zo trap je er niet in: Sluit de pop-up. Soms verdwijnt de pop-up niet door op de Escape-toets te drukken of op het kruisje in de rechter bovenhoek. Sluit dan het tabblad.  

 

8. Phishing via de zoekmachines  

Hoe werkt het? De fraudeurs bouwen een perfecte kopie van de website van een bekend bedrijf. Zij kopen advertentieruimte bij Google: telkens een gebruiker naar dat bedrijf zoekt, moet de advertentie voor die frauduleuze site vertoond worden. Tik jij bij Google de naam van dat bedrijf in, dan verschijnt de website van de aanvallers bovenaan de zoekresultaten, tussen de gesponsorde links

Zo trap je er niet in: Advertenties boven de zoekresultaten herken je aan het woord "AD" naast de link. Vermijd die advertenties. Wees vooral wantrouwig wanneer je gelokt wordt met extra kortingen en superaanbiedingen. Ken je het webadres van het bedrijf, tik het gewoon in de adresbalk in.  

 

9. Phishing door filters te omzeilen  

Hoe werkt het? De filters in je mailprogramma en je antivirus waarschuwen je wanneer je een verdachte link aanklikt om die te openen in je browser . De aanvaller maakt daarom de link niet-aanklikbaar en geeft je de instructie om de link met copy/paste naar je browser te kopiëren. Zo kan de fraudeur de filters omzeilen.  

Zo trap je er niet in: Ga niet in op het verzoek om de link te kopiëren. 

10. Catphishing 

Hoe werkt het? De fraudeur maakt een vals online profiel aan. Via een datingsite probeert de fraudeur contact te leggen met jou en een (romantische) relatie uit te bouwen. Zo kunnen fraudeurs die informatie gebruiken bij andere phishing aanvallen. Of ze kunnen je geld aftroggelen, door te beweren verliefd op jou te zijn. 

Zo trap je er niet in: Wees wantrouwig wanneer je contact jou al meteen hoogst persoonlijke informatie vraagt. Ook het feit dat je contact een geplande ontmoeting op het laatste nippertje uitstelt, moet je achterdochtig maken. Net als zielige verhaaltjes over plotse geldnood, een ziek familielid, ... 

 

11. Business Email Compromise 

Hoe werkt het? Fraudeurs trachten eerst door spear phishing zoveel mogelijk informatie uit te vinden over de CEO van een bedrijf. Vervolgens richten ze zich tot een belangrijke persoon op de financiële of boekhoudafdeling van dat bedrijf. Zij geven zich uit voor de CEO, en verzoeken een betaling uit te voeren

Zo trap je er niet in: Controleer of het rekeningnummer voor de betaling overeenstemt met vorige betalingen. Neem zelf contact op met de financieel verantwoordelijke en vraag die of de betalingsopdracht klopt. 

 

12. Nigeriaanse zwendel 

Hoe werkt het? De fraudeur zegt een notaris te zijn van een rijke overleden persoon. Die heeft aan jou de erfenis nagelaten.  Maar je moet dan wel even je bankgegevens doorgeven…  

Zo trap je er niet in: Geef nooit je bankinformatie, je rekeningnummer aan onbekenden. 

 Wat is phishing en hoe kan je je ertegen beschermen?