"Uw pakket is onderweg, volg het hier", "Onbetaalde mobiele telefoonrekening", "Uw bankkaart is geblokkeerd". Hebt u wel eens zo'n bericht ontvangen waarin u wordt uitgenodigd om op een link te klikken?
Dan bent u het slachtoffer geworden van een poging tot phishing.
Wat is phishing?
Phishing is een online oplichting waarbij oplichters zich voordoen als een persoon, een bedrijf, een bekende organisatie (banken, energieleveranciers, telefoonoperatoren, enz.) of een openbare instelling zoals bijvoorbeeld bpost of de Federale Overheidsdienst Financiën. Ze sturen berichten (via sms, e-mail of sociale netwerken) in hun naam om informatie of bankgegevens te verkrijgen of een computer te infecteren met een virus of malware. De gevolgen kunnen desastreus zijn als u in de val trapt.
Hoe komen de oplichters aan uw gegevens?
Oplichters sturen frauduleuze berichten over verschillende onderwerpen: financiële kwesties (belastingen, bonussen, vergoedingen voor bedrijven), problemen met pakjes, updates van uw gegevens, problemen met uw bankkaart, enz. Die berichten bevatten een hyperlink naar een valse website die ontworpen is om u te laten geloven dat u te maken hebt met de organisatie die verondersteld wordt contact met u op te nemen. Die sites zien er erg professioneel uit en het is moeilijk om ze van echte websites te onderscheiden.
Eenmaal op de site moet u, om uw voordeel te krijgen of om het probleem op te lossen, uw persoonlijke gegevens (achternaam, voornaam, adres, identiteitskaartnummer, enz.) en/of uw en/of uw bankgegevens (rekeningnummer, kaartnummer) en gepersonaliseerde beveiligingsgegevens (uw pincode, een responscode die wordt gegenereerd door het digipas-apparaat waarmee u wordt geauthenticeerd bij uw bank, een veiligheidscode die u per sms hebt ontvangen van uw bank, enz.).
Soms organiseren oplichters ook nepwedstrijden of producttests door websites te creëren waar u uw identiteit of nog meer persoonlijke gegevens, bank- en gepersonaliseerde beveiligingsgegevens moet geven.
Met de gegevens die ze verzamelen, kunnen de oplichters online banktransacties verrichten of aankopen doen via uw bankrekening, een banktoepassing (gekoppeld aan uw bankprofiel) of een betaaltoepassing (waaraan ze uw kaart hebben gekoppeld) activeren, of zich zelfs voordoen als u om kwaadwillige handelingen uit te voeren.
Phishing via QR-codes
Sinds enige tijd gebruiken fraudeurs ook QR-codes om hun slachtoffers in de val te lokken. Bij die vorm van phishing plaatsen ze QR-codes in hun berichten, in plaats van hyperlinks, om hun slachtoffers naar frauduleuze applicaties of websites te leiden. Het doel van de scammers is altijd hetzelfde: het verkrijgen van uw persoonlijke gegevens, bank- en gepersonaliseerde beveiligingsgegevens of het infecteren van uw computer/smartphone met een virus of malware.
Oplichters maken misbruik van die technologie omdat u bij het scannen van een QR-code niet meteen kunt zien naar welke website u wordt geleid. Het is veel moeilijker om de URL in kwestie te controleren.
Hoe herkent u verdachte e-mails?
U kunt een verdacht bericht meestal herkennen aan de volgende kenmerken:
- Het e-mailadres is verdacht of behoort niet toe aan de persoon, het bedrijf, de organisatie of de instelling die contact met u opneemt.
- Het onderwerp van de e-mail is vaag, u begrijpt de context niet goed.
- De toon is dreigend, intrigerend, erg vasthoudend of wekt uw nieuwsgierigheid.
- Het bericht bevat spelfouten of grammaticale fouten; het is niet op een professionele manier geschreven.
- Het vraagt u om op een link te klikken of een bijlage te downloaden.
Tegenwoordig is het steeds moeilijker om phishing e-mails te herkennen. Oplichters zijn zeer vindingrijk. Ze ontwikkelen steeds meer geavanceerde, professioneel ogende e-mails die geen spelfouten bevatten en die e-mailfilters omzeilen. Ze maken ook gebruik van een specifieke context, zoals de Covid-crisis, om hun berichten te verspreiden.
Denk dus goed na voordat u op een link klikt of een QR-code scant!
Wat moet u doen als u een verdachte e-mail ontvangt?
- Reageer niet op de e-mail.
- Stel uzelf eerst een paar vragen en gebruik daarbij uw gezond verstand; als u geen logisch antwoord kunt vinden, wees dan op uw hoede en ga op zoek naar meer informatie:
- Is het logisch dat iemand contact met mij opneemt om de opgegeven reden?
- Waarom neemt die organisatie contact met mij op?
- Waarom neemt een bank waar ik geen klant van ben contact met me op over een probleem met mijn kaart?
- Waarom krijg ik te horen dat er een pakket onderweg is naar mijn huis terwijl ik niets heb besteld?
- Waarom vraagt mijn bank om mijn bankgegevens als ze die al in hun bezit hebben?
- Is het logisch dat een overheidsinstantie (zoals de FOD Financiën) mij vraagt om met een kredietkaart of via PayPal te betalen?...
- Controleer de authenticiteit van de afzender van het bericht. Controleer of het gebruikte e-mailadres het officiële adres van de organisatie is. Ga naar de officiële website van de organisatie, waarop soms wordt gewaarschuwd voor oplichting onder de naam van de organisatie.
- Neem bij twijfel via een ander kanaal contact op met de afzender van het bericht om te achterhalen of hij dat heeft verzonden (bijvoorbeeld door het telefoonnummer op de officiële website te bellen).
- Controleer of het adres van de afzender correct is door er met de muis overheen te gaan om het volledige adres te bekijken.
- Controleer de betrouwbaarheid van de links: sleep de muisaanwijzer over de links om de echte URL van de site te onthullen. En klik vooral niet op de link! Ga in plaats daarvan rechtstreeks naar de officiële website van de organisatie die geacht wordt contact met u op te nemen. Dat advies is vooral handig als u wordt gevraagd om een QR-code te scannen, omdat u dan niet de URL van de site te zien krijgt.
- Pas op voor bijlagen, bestanden en afbeeldingen: die kunnen virussen bevatten.
- Geef geen persoonlijke gegevens, om welke reden dan ook, of uw bank- of gepersonaliseerde beveiligingsgegevens.
- Betaal niets via de link die u wordt toegestuurd of de site waarnaar hij verwijst!
- Stuur de verdachte e-mail door naar het Centrum voor Cybersecurity België (CCB) via verdacht@safeonweb.be. Het CCB controleert de links en bijlagen in de berichten en laat verdachte links blokkeren. Dat systeem beschermt minder oplettende internetgebruikers tegen dat soort valstrikken.
Bent u in de val gelopen? Wat nu?
- Verbreek alle contact met de oplichters. En vooral: betaal niets meer!
- Neem onmiddellijk contact op met uw bank om te proberen de transactie te annuleren. Besef wel dat het in de meeste gevallen onmogelijk is om uw geld terug te krijgen.
- Neem onmiddellijk contact op met Card Stop (078 170 170) of uw bank om uw betaalinstrumenten te laten blokkeren (bankkaart, banktoepassing of betaalapplicatie, enz.).
- Als u andere persoonlijke informatie hebt gedeeld, verander dan onmiddellijk uw wachtwoorden en de pincode van uw ID-kaart.
- Dien een klacht in bij de lokale politie.
- Meld de oplichting aan via ConsumerConnect. U krijgt ook meteen informatie over de stappen die u nog kunt ondernemen en wie u daarbij kan helpen.
- Blijf op uw hoede: oplichters kunnen een tweede keer toeslaan door zich voor te doen als iemand die u wil helpen.
- Zie ook de pagina Phishing – niet-toegestane betalingstransacties voor meer informatie over uw rechten in het geval van niet-toegestane betalingstransacties.