Veel mensen denken nog steeds dat ze een phishing-mail in één oogopslag zouden herkennen. Dat is onterecht, want phishing-mails worden met de dag overtuigender. Als je onderschat hoe gerafineerd phishing-mails inmiddels zijn, ben je daardoor extra kwetsbaar. In dit artikel geven we daarom een aantal voorbeelden van phishing-mails die momenteel rondgaan, zodat jij als ondernemer weet wat je kunt verwachten.
De voorbeelden uit dit artikel komen uit de database van de Fraudehelpdesk. Wil je op de hoogte blijven van phishing-mails die rondgaan en andere vormen van fraude die jou kunnen raken? Houd de website in de gaten, of volg de Fraudehelpdesk op LinkedIn.
Wat is phishing?
Je hebt vast al vaker gehoord van phishing, maar wat is het precies en welke gevolgen heeft het voor jou als ondernemer? Bij phishing hengelen cybercriminelen naar jouw vertrouwelijke (inlog)gegevens. Via een link in een email laten ze jou je gegevens invullen op een nagemaakt formulier. Je denkt dat je de gegevens invult om in te loggen of iets te bevestigen, maar verstrekt ze onbewust aan de fraudeur. Met die gegevens kan de fraudeur toegang krijgen tot jouw online-accounts, bijvoorbeeld bij de bank, webwinkels of in je eigen IT-systeem. Ook worden deze gegevens misbruikt voor verschillende vormen van identiteitsfraude.
In de praktijk leidt dit er vaak toe dat er geld wordt weggesluisd van jouw bankrekening. Ook worden accounts van betaalde diensten als Netflix en Spotify zo gekaapt en doorverkocht op het darkweb. Bovendien kunnen jouw gegevens en toegang worden misbruikt om jouw contacten tot slachtoffer te maken.
Een gevaarlijke misvatting
Teveel mensen denken nog steeds dat je een phishing-mail gemakkelijk herkent, bijvoorbeeld aan taalfouten, een slordige opmaak of een schimmige afzender. Dit was vroeger vaak het geval, maar gaat steeds minder op. Dat is een probleem, omdat de signalen waar we door de jaren heen op hebben leren letten inmiddels niet meer betrouwbaar zijn.
Cybercriminelen worden steeds beter in wat ze doen. Net als de meeste van ons leren ze van hun fouten. Het is dan ook niet gek dat ze steeds meer tijd en energie investeren in het omzeilen van bekende signalen. Het taalgebruik wordt steeds beter, de huisstijl van de organisatie die ze imiteren wordt steeds beter nagemaakt en dankzij spoofing wordt het steeds moeilijker om de afzender te achterhalen. Denk dus vooral niet dat je een phishing-mail in één oogopslag herkent.
Voorbeeld 1: Kamer van Koophandel
Bovenstaand voorbeeld laat zien wat je mag verwachten van een moderne phishing-mail. De fraudeur schrijft hier uit naam van de Kamer van Koophandel (KvK), een organisatie waar iedere ondernemer mee te maken heeft. Het taalgebruik is niet perfect, maar de kleine foutjes passen wel binnen de marges. Een medewerker van de KvK kan immers ook eens een tikfoutje maken of een onhandige formulering kiezen.
Bovendien zijn het de kleine details die het afmaken: de hyperlinks naar de echte socials en nieuwsbrief van de KvK kunnen ontvangers doen geloven dat ze echt met de KvK te maken hebben. Besef echter goed dat fraudeurs ook links naar bonafide websites in een phishing-mail kunnen plaatsen. Van alle links in de e-mail hoeft er maar eentje kwaadaardig te zijn. Ook een laatste detail als de zin: “Denk aan het milieu voordat u deze mail print.” draagt bij aan de overtuigingskracht van deze phishing-mail.
Voorbeeld 2: International Card Services
Als je een credit card hebt, heb je waarschijnlijk te maken met International Card Services (ICS). Dit bedrijf heeft een belangrijke rol in de onderliggende infrastructuur, ongeacht welke bank of organisatie jouw credit card uitgeeft. Criminelen versturen dan ook graag phishing-mails uit naam van ICS.
Nog meer dan in het vorige voorbeeld is het taalgebruik in deze mail keurig. In grote lijnen wordt dezelfde strategie toegepast: je hebt een verplichte handeling nog niet uitgevoerd en moet dit per ommegaande doen om problemen te voorkomen. Wat deze mail onderscheidt is echter de adressering. Waar de meeste phishing-mails niet persoonlijk geadresseerd zijn aan de ontvanger, is deze dat wel. De naam van de ontvanger is vermoedelijk buitgemaakt tijdens een hack of datalek. Ben je ervan bewust dat een phishing-mail ook wel degelijk aan jou persoonlijk geadresseerd kan zijn.
Voorbeeld 3: Mijn Overheid
Een bericht van de overheid nemen we al snel serieus. Als we instructies niet opvolgen, kan dat immers verstrekkende gevolgen hebben. Fraudeurs maken daar gretig misbruik van door phishing-mails te versturen uit naam van diverse overheidsorganisaties.
In deze mail zien we twee opvallende trucjes. Allereerst zien we dat de fraudeur een QR-code gebruikt. Nu steeds meer mensen beseffen hoe terughouden ze moeten zijn met linkjes, zijn fraudeurs op zoek naar alternatieven. De QR-code leent zich hier goed voor, omdat het een instrument is waar steeds meer mensen vertrouwd mee raken. Besef echter dat een QR-code feitelijk niet anders is dan een link. Dit is weinig meer dan een andere manier om je door te leiden naar een bepaalde website. Ook de tekst onderin is een listige truc: door te stellen dat de app wegens technisch onderhoud niet beschikbaar is, probeert de fraudeur te voorkomen dat jij de benodigde controles uitvoert.
99% weerbaarheid is niet genoeg
Phishing is bij uitstek een probleem dat we alleen aan kunnen pakken door de hele samenleving weerbaar te maken. Deze fraude-strategie richt zich namelijk juist op de minderheid die nog niet weerbaar genoeg is. Het is – zoals men dat in het Engels zo mooi zegt – een numbers game. Het is voor de cybercrimineel geen probleem als zijn fraude in 99% van de gevallen wordt doorzien. Alles draait om dat laatste procentje. Als de fraudeur een phishing-mail aan tienduizend mensen stuurt en slechts dat ene procentje trapt er in, heeft de fraudeur alsnog honderd slachtoffers te pakken.
Het is daarom niet genoeg dat de overgrote meerderheid van ons weerbaar is tegen phishing. Zolang we niet op 100% weerbaarheid zitten, blijft dat laatste procentje dit criminele verdienmodel in leven houden. Alleen met 100% weerbaarheid roepen we deze hardnekkige vorm van fraude een halt toe.