Spoofing, phishing en smishing: wat is het en hoe voorkom je het?
Van een e-mail, telefoongesprek en sms tot WhatsApp, Instagram en zelfs oude vertrouwde post: criminelen gebruiken alle kanalen die ze kunnen om via spoofing, phishing en smishing jouw gegevens buit te maken. Vaak nemen ze hierbij de identiteiten aan van organisaties of mensen die je kent en vertrouwt. Scary! In dit blog lees je hoe je spoofing, phishing en smishing kunt herkennen én voorkomen.
Het verschil tussen phishing, spoofing en smishing
De termen phishing, spoofing en smishing horen alle drie tot dezelfde overkoepelende vorm van oplichting en (cyber)criminaliteit. Hieronder leggen we uit wat precies de verschillen zijn tussen de termen.
Phishing
Bij phishing vissen cybercriminelen naar gevoelige gegevens zoals wachtwoorden, betaalgegevens of pincodes. Vaak word je via mail of telefoon verleid om naar een bepaalde website te gaan. Die lijkt op de echte site van een bepaalde organisatie, maar is in dat geval een kopie, zodat jij nietsvermoedend gevoelige – en voor de oplichter waardevolle – gegevens achterlaat.
Spoofing
Spoofing is een vorm van phishing waarbij de criminelen een valse identiteit aannemen, zoals de Belastingdienst, je bank of zelfs een familielid of vriend. Dit kan via de mail, WhatsApp, Instagram, maar ook via de telefoon of zelfs per post gebeuren. Zo kunnen ze je een mailtje sturen met een betaalverzoek namens de Belastingdienst of je krijgt een sms’je van je bank dat je moet inloggen. Banken en organisaties benoemen daarom vaak dat ze jou nooit een sms’je zullen sturen of van een afstand je computer besturen, of zomaar geld over te maken. Op dat soort berichtjes moet je dus niet ingaan.
Smishing
Laten we hopen van niet, maar misschien herken je het wel: je ontvangt een sms van zogenaamd de Belastingdienst of PostNL die suggereert dat je een belastingschuld moet afbetalen of een app moet downloaden om een pakketje te kunnen volgen. ‘Smishing’ is een vorm van phishing en staat dan ook voor sms-phishing. Smishing is relatief effectief: bijna iedereen kent immers phishing per e-mail, maar omdat smishing een vrij nieuw fenomeen is zijn maar weinig mensen erop bedacht.
Daarnaast worden er vaak tactieken ingezet die ervoor zorgen dat je snel reageert of op een link klikt: je moet zo snel mogelijk een belastingschuld betalen want anders krijg je een boete, of een vriend of familielid wil graag geld van je lenen om iets af te betalen. De criminelen achter smishing willen zo inspelen op gevoelige onderwerpen als geldstress en vrienden in nood.
Zo herken je phishing, spoofing en smishing
Als je goed kijkt, valt meestal al snel op dat er iets niet klopt. Zo communiceert de Belastingdienst alleen via Mijn Overheid, sms’t PostNL niet vanuit een 06-nummer, staan er vaak foutjes in de berichten, wijken WhatsApp-conversaties af van iemands normale taalgebruik en zijn mails vaak afkomstig van een gek of ietwat afwijkend e-mailadres.
Begin 2022 kwam een bijzonder phishing-geval aan het licht. Iemand kon jarenlang nog niet gepubliceerde manuscripten van schrijvers buitmaken door e-mails te sturen vanuit 160 valse domeinnamen van uitgeverijen, denk aan ‘penguinrandornhouse.com’ in plaats van ‘penguinrandomhouse.com’.
Twijfel je over een bepaald bericht? Kijk goed, klik nergens op en bel eventueel naar het échte nummer van de zogenaamde afzender of de Fraudehelpdesk.
Aan deze signalen kun jij spoofing, phishing en smishing herkennen:
- Onscherpe logo’s
- Gekke of ietwat afwijkende e-mailadressen.
- Fouten in de tekst, zoals spelling, namen of interpunctie.
- De strekking van het bericht: banken vragen nooit – en dan ook echt nooit – om je inlogcode of bankpas.
- Een telefoontje van een niet herkend of buitenlands telefoonnummer waarbij je een vreemd verzoek of een computerstem te horen krijgt.
- E-mailbijlagen met een verdacht bestandsformaat (zoals .exe of .zip) of een gekke link.
- Urgentie: je moet binnen 24 uur of voor vanmiddag 13.00 u. reageren.
Dit zijn de vormen van phishing, spoofing en smishing
We leggen uit welke vormen er zijn van phishing, spoofing en smishing, zodat jij ze sneller herkent.
Mails
Een phishing-mail lijkt te komen van een vertrouwde afzender zoals je bank, je telecomprovider of Amazon. Meestal word je gevraagd om je gegevens op te sturen of op een link of bijlage te klikken. Denk je dat het een scam is? Kijk goed naar het e-mailadres en zweef met je muis over de hyperlink om onderin de URL te checken waarnaar wordt gelinkt. Twijfel je nog steeds? Bel dan met de organisatie die de mail gestuurd zou hebben, gebruik daarbij natuurlijk niet (zonder het te checken) het telefoonnummer dat in de e-mail staat.
Websites en valse URL’s
Al dan niet via een phishingmail kun je op een phishingwebsite komen. Vaak lijkt de website op de originele site, maar kun je vrij snel herkennen dat ‘ie malafide is. Bijvoorbeeld omdat er taalfouten of onscherpe afbeeldingen op de site staan, je gegevens moet invullen via een pop-up, er geen slotje in de adresbalk staat – of de URL gewoon niet klopt.
Telefoontje
Word je gebeld door een onbekend 06-nummer? Een gek buitenlands nummer? Of een Nederlands telefoonnummer, waarbij men zich voorstelt als de helpdesk van een groot bedrijf? Al deze tactieken worden gebruikt voor spoofing.
Sms
Smishing kan zeer geavanceerd zijn: het telefoonnummer kan zijn verborgen, de ‘echte’ bedrijfsnaam kan zichtbaar zijn in je sms-applicatie en het smishingbericht kan zelfs zijn opgenomen in een al bestaand sms-gesprek op je telefoon. Let goed op de urgentie waar we het eerder ook al hebben: vaak moet je binnen X-uur reageren zodat je minder tijd hebt om na te denken. Vaak word je gevraagd een app te downloaden. Installeer op je Android-telefoon alleen apps via de Play Store (op een iPhone kun je sowieso geen apps buiten de App Store om downloaden).
Word je geappt door een nummer dat je niet kent maar wél met de profielfoto van een bekende? Dan is de conclusie bijna altijd: phishing. Soms is het lastiger te herkennen: de phisher kan iemands gehele account overnemen. Dat doen ze door de activatiecode voor een nieuw toestel bij iemand te ontfutselen. De strekking bij deze zogeheten vriend in nood-fraude is altijd: je wordt om geld gevraagd. In dat geval is het ‘t beste om de bekende dan gewoon even op te bellen – maar dan wel met het echte nummer.
Bron: nos.nl
Op Instagram maken phishers onder meer gebruik van nepprofielen: via een nagemaakt profiel van iemand die je kent proberen ze je via een persoonlijk bericht informatie afhandig te maken of door te sturen naar een phishing-site.
Post
Per post kun je worden gevraagd om bijvoorbeeld je bankpas op te sturen of je gegevens ergens te wijzigen. Hierbij geldt ook: denk je dat het niet pluis is? Bel de geïmiteerde afzender. Vaak zie je al aan de vormgeving van de brief dat het zaakje stinkt.
Beveilig je smartphone
Om te voorkomen dat je in de val wordt gelokt door internetcriminelen die gebruikmaken van phishing of spoofing is het belangrijk om je smartphone goed te beveiligen. Bij veel apps kun je er bijvoorbeeld voor kiezen om gebruik te maken van tweestapsverificatie. Naast je inloggegevens heb je voor het inloggen dan ook een code nodig die je per sms of authenticator-app ontvangt.
Daarnaast kun je ook gebruikmaken van een passkey. Via een passkey wordt er achter de schermen gebruikgemaakt van twee beveiligingen: een privé en een publieke sleutel. De privésleutel is alleen opgeslagen op jouw apparaat, waardoor er niet van een afstand ingelogd kan worden. Ga je bijvoorbeeld inloggen bij een website of app waarbij je een passkey hebt ingesteld? Dan kun je alleen inloggen met de vingerafdruk, gezichtsherkenning, een veegpatroon of een pincode die je hebt ingesteld.
Supersnel én veilig surfen op je smartphone
Met het betrouwbare netwerk van KPN heb jij met je Simyo Sim Only abonnement of Prepaid altijd razendsnel internet én goed bereik, zodat je in een handomdraai de website van de ‘echte’ afzender opzoekt. Wel zo handig! Meer data nodig? Ga naar Mijn Simyo of de Mijn Simyo app om je bundel aan te passen.
