Cybercriminelen zijn nog altijd erg actief. Hoe zorgt u ervoor dat u straks niet één van de slachtoffers bent?
Ik ontving deze week een paar vreemde e-mails van vrienden en bekenden. Zij raden mij aan dieetpillen te bestellen. Van je vrienden moet je het maar hebben. Gelukkig waren de e-mails geschreven in gebrekkig Engels. Ik wist dus meteen dat het om een phishing-aanval ging. Je zult maar in een Engelstalig land wonen. Hoe weet je dan of e-mails van vertrouwde personen ook betrouwbare berichten zijn?
Cybercriminelen slaan hun slag
Mogelijk zijn mijn relaties slachtoffer van het datalek bij het online marketingbedrijf Epsilon. Dit bedrijf maakte op 1 april, helaas niet als grap, bekend dat haar klantenbestanden gekraakt werden door cybercriminelen. Daarmee kregen deze de beschikking over alle namen en e-mailadressen van de klanten van de bedrijven die zaken doen met Epsilon. En daarmee gingen de hackers voortvarend aan de slag: overal ter wereld ontvingen mensen al verdachte e-mails van ogenschijnlijk vertrouwde afzenders. Ook Nederlandse e-mailadressen zijn hiervoor al misbruikt, zo meldt de Volkskrant begin april
E-mail in verkeerde handen
De lijst van bedrijven van wie klantgegevens in handen van de cybercriminelen vielen, is indrukwekkend. Het bevat onder meer een aantal grote banken, hotels, winkelketens en entertainmentbedrijven. Volgens Epsilon gaat het om slechts 2 procent van alle klanten, maar dat zijn nog steeds ruim 50 grote multinationals. Daarmee kwamen de namen en e-mailadressen van miljoenen consumenten in verkeerde handen. Hoewel de klanten van Epsilon als de wiedeweerga hun klanten waarschuwden voor nepmailtjes, zullen sommige consumenten toch in deze phishing-mails trappen. Een dergelijke aanval wordt daarom ‘spear fishing’ (speervissen) genoemd. Dat maakt duidelijk dat het om gerichte aanvallen gaat die voor de cybercriminelen veel minder, maar wel waardevollere informatie oplevert. Epsilon probeert de gemoederen te bedaren met de melding dat er geen financiële gegevens van klanten openbaar zijn geworden. Maar dat hoeft ook helemaal niet
Het werkt namelijk zo
Het is bijna ondenkbaar, maar stel dat ik inderdaad wat kilootjes mag verliezen, dan zou ik op de link in de e-mail kunnen klikken. Ik kom dan op een website waar ik inloggegevens moet aanmaken. De speervissers hebben nu mijn naam en adresgegevens, maar ook mijn gebruikersnaam en wachtwoord. Waarschijnlijk moet ik, om mijn account nog beter te beveiligen, een ‘persoonlijke vraag’ aanmaken en beantwoorden. Wat is de meisjesnaam van mijn moeder? Hoe heette mijn eerste huisdier? Misschien kan ik nog een aantal potten dieetpillen gratis krijgen als ik mee wil doen aan een ‘vrijblijvende’ enquête. Daarmee geef ik nog meer persoonlijke of zakelijke informatie prijs. Vervolgens reken ik mijn bestelling af met een credit card of Paypal-account. En daarmee zijn ook mijn financiële gegevens in handen van de cybercriminelen gekomen.
Meer accounts
Omdat ik gemakzuchtig ben, gebruik ik vaak dezelfde gebruikersnaam, wachtwoord en meisjesnaam. U doet dat waarschijnlijk ook. En hier is het de phishing-lui om te doen. Want met deze gegevens zullen zij ook financiële en commerciële websites afstruinen om te kijken waar ik allemaal nog meer accounts heb. De eerste verdediginglinie die u kunt opwerpen is het gebruik van unieke wachtwoorden voor iedere account die u aanmaakt. Daarnaast helpen de volgende tips om, met een hoge mate van zekerheid, te weten dat u te maken hebt met phishing e-mail:
1. Houd de muis boven de link in de e-mail (maar klik niet!): Zelfs als de e-mail ‘echt’ lijkt, is het goed om even te controleren of de link naar de juiste koppeling verwijst. Door de muis boven de link te houden, ziet u in de statusbalk het webadres waar deze aan gekoppeld is. Is dat hetzelfde adres als in de tekst van de e-mail wordt genoemd? Zo niet, dan is de e-mail de harpoen van een speervisser.
2. Pas op voor hele lange (en hele korte) links: Normaal gesproken zou u een bijzonder lange link waarschijnlijk verdacht vinden. Toch beginnen deze vaak met een vertrouwde naam: bijvoorbeeld uw bank. Het gevaar schuilt dan ook niet in het begin van deze link, maar in het einde. Daar staat de (al dan niet gehackte) phishing site waar de link echt mee verbindt. Door deze link te verbergen achter tekst, hopen de vissers dat u het vishaakje niet ziet. Pas ook op voor afgekorte URLs, zoals vaak gebruikt worden in Twitter-berichten (bijvoorbeeld de afkortingen van bit.ly, ow.ly, etc.). Het is heel onwaarschijnlijk dat uw bank of ander bedrijf gebruik maakt van de afgekorte URLs voor een link in een e-mail.
3. Let op grammatica en spelling: Zoals gezegd verwacht u van uw Nederlandse bank of vriend geen e-mail in het Engels. Dat is een overduidelijk teken dat het om een phishing-aanval gaat. Maar ook Nederlanders doen steeds vaker zaken met Engelstalige websites, zoals webwinkels of Paypal. En dan is het feit dat Engels onze tweede taal is, een nadeel. Het is daarom zaak om in Engelstalige e-mails van schijnbaar vertrouwde afzenders goed te kijken naar het taalgebruik. De cybercriminelen zijn weliswaar technisch hoogbegaafd, maar hun Engels laat nog wel eens te wensen over. Bedrijven die miljarden euro’s beheren sturen meestal geen e-mails die geschreven lijken te zijn door kinderen tijdens de Engelse les.
Over het Podium: Ook uw visie geven op ontwikkelingen binnen uw vakgebied? Plaats een artikel op MT Podium. Log in op mt.nl/profiel en voeg onder 'activiteiten' uw artikel toe. Interessante bijdragen worden meegenomen in de nieuwsbrief en op home geplaatst. MT Magazine publiceert bovendien periodiek 'Het beste van MT Podium'.
