Phishing blijft voor Cybercriminelen één van de succesvolste manieren om jouw persoonlijke inloggegevens en vertrouwelijke bankgegevens te bemachtigen. Deze nepmails zijn zelfs voor het getrainde oog soms moeilijk van echt te onderscheiden, toch zijn er een aantal punten waaraan je phishing kunt herkennen.

Phishing is een methode waarbij kwaadwillenden met voornamelijk nepmailtjes hengelen naar persoonlijke data, zoals inlog- en bankgegevens. Een simpele, maar doeltreffende vorm van fraude, die aan de hand van een aantal kenmerken te herkennen en te vermijden is.

Tip 1. Controleer het e-mailadres

Vaak verraden zelfs de overtuigendste phishingmails zichzelf met het gebruikte e-mailadres. Let er wel op dat de meeste diensten en apps voor e-mail de volledige naam van de afzender laten zien. Daar kan de afzender invullen wat hij wil, klik daarom altijd door naar het daadwerkelijke e-mailadres. Het gaat in alle gevallen om de domeinnaam in het e-mailadres. Dat is het deel wat na de “@” komt. Als voorbeeld een mailadres van de Rabobank zal altijd eindigen op “@rabobank.nl”.

Malafide e-mailadressen zijn vaak op twee manieren te herkennen. Het makkelijkste geval is een opvallend adres als mail@x23emm.net of belastingdienst@gmail.com. 

Ook wordt vaak geprobeerd een bestaand adres te imiteren. Zo stuurt de ING bijvoorbeeld berichten via klantenservice@ing.nl. Een phishingbericht waarin de afzender zich voordoet als de ING, zal bijvoorbeeld afkomstig zijn van klantenservice@ing.mail.nl. Let op de tekst achter de @: daar staat bij het malafide e-mailadres een punt tussen met een aanvullende tekst. E-mail van ING komt alleen van een adres dat eindigt op “@ing.nl”.

Tip 2. Klik niet op links, geef geen informatie

De criminelen achter phishingmails willen graag vertrouwelijke informatie bij mensen lospeuteren of ze laten doorklikken naar een (malafide) website. Dit is dan vaak een nep versie van een bekende originele inlogpagina. Klik daarom niet zomaar op links in berichten en geef geen persoonlijke informatie via de mail. Zeker als het gaat om berichten die van bijvoorbeeld de bank, creditcardaanbieder, overheid of sociale media lijken te komen.

Banken en de overheid stoppen daarom voor de zekerheid bijvoorbeeld geen links in hun e-mail en vragen ook niet om jouw persoonlijke informatie. Als er een bericht is waarvoor je moet inloggen, moet je zelf naar het juiste adres gaan in je browser. In plaats van te klikken op de aangeboden link. Dat is veel veiliger, aangezien je dan zelf controle hebt over welk adres je bezoekt.

Vertrouw je de email niet, kun je ook altijd even bellen met de support of helpdesk afdeling van de betreffende organisatie en navraag doen.

Tip 3. Let op taalgebruik

Phishingmails zijn vaak slordig geschreven en bevatten typefouten, vertaalfouten, spatiefouten of ongewoon taalgebruik. Ook is de vormgeving van de e-mail vaak niet zo verzorgd als die van echte e-mails van bijvoorbeeld banken en de overheid.

Ook kennen deze instanties vaak je volledige naam, terwijl cybercriminelen een net uitgooien. Als je naam in de aanhef staat, wekt dat ook wat meer vertrouwen dan de algemene aanhef “geachte heer/mevrouw”.

Er zijn echter ook zeer overtuigende en niet van echt te onderscheiden phishingmails in omloop, waar zelfs je eigen naam boven kan staan. Ook hierbij geldt dat je naar meer dan één kenmerk moet kijken.

Tip 4. Download en open geen vreemde bestanden

Als je een bestand krijgt toegestuurd van een afzender die je niet kent, download dat dan niet zomaar. Het bestand kan malware bevatten, dat bij het openen geïnstalleerd kan worden. Open op een apparaat met Windows niet zomaar bestanden die op .exe eindigen en op de Mac geen bestanden die eindigen op .dmg. Dat zijn installatiebestanden.

Open vooral geen bestanden die eindigen op punt js,  punt ink, punt wsf, punt scr of punt jar. Die bestanden bevatten scripts die na het aanklikken automatisch worden uitgevoerd.

Tip 5. Controleer bij twijfel

Op de site fraudehelpdesk.nl worden alle bekende phishingmails bijgehouden. Met dat overzicht kun je controleren of een verdachte e-mail inderdaad een phishingmail is.

Als je zeker weet dat je met malware te maken hebt, gooi de mail dan weg. Ook kun je melding maken van het bericht. Vooral vaak geïmiteerde instanties als banken en de overheid hebben interesse in welke phishingmails er rondgaan.

Wat nu te doen om phishing te voorkomen?

Deel deze tips binnen jouw organisatie en of met vrienden om Phishing te voorkomen.