Phishing

Phishing (naar analogie van phreaking, is het afgeleid van fishing: "vissen", "hengelen") is een vorm van internetfraude. Het bestaat uit het oplichten van mensen door ze te lokken naar een valse (bank)website, die een kopie is van de echte website, om ze daar – nietsvermoedend – te laten inloggen met hun inlognaam en wachtwoord of hun creditcardnummer. Hierdoor krijgt de fraudeur de beschikking over deze gegevens met alle gevolgen van dien. De fraudeur doet zich hierbij voor als een vertrouwde instantie, zoals een bank. De meeste vormen van phishing gebeuren via e-mail. De slachtoffers worden hierbij met een e-mail naar deze valse website gelokt. De mail bevat een link naar de (valse) website met het verzoek om zogenaamd "de inloggegevens te controleren".

Voorbeeld van phishing-e-mail

Een variante vorm van phishing is spear fishing, waarbij de persoonlijke gegevens (naam, e-mailadres, telefoonnummer) van het slachtoffer worden gebruikt om hem een gevoel van vertrouwen te geven.

Methode

Bij phishing wordt dikwijls gebruikgemaakt van URL-spoofing. Dit is het nabootsen van de URL van bijvoorbeeld een bank, zodat de gebruiker denkt de echte site te bezoeken, terwijl de URL die van de bedrieger is. Ook wordt de valse site vaak voorzien van het logo van de het bedrijf of de bank in kwestie, zodat het voor de gebruiker net lijkt alsof hij op de echte site zit.

Sinds het gebruik van het IDN-systeem (Internationalized domain name), waarbij niet-ASCII-tekens kunnen worden gebruikt in domeinnamen, kan phishing hiervan gebruikmaken door een echte domeinnaam na te bootsen met gelijkwaardige buitenlandse tekens, zodat de gebruiker niet merkt dat het adres niet klopt.

Zelfs met een gewone ASCII-URL kan bedrog gepleegd worden: zo lijkt het adres www.googIe.com, waarin de kleine letter l vervangen is door een hoofdletter i (I), erg op www.google.com, en kan het er, afhankelijk van het lettertype, zelfs exact hetzelfde uitzien.

De meeste banken maken tegenwoordig gebruik van een Extended Validation-certificaat: in moderne internetbrowsers wordt het eerste gedeelte van de adresbalk weergegeven met een groene achtergrond of staat in de adresbalk voor het adres een groen slotje, zodat de gebruiker zeker weet dat hij op de echte pagina zit. Ook begint het adres van de sites van banken altijd met https:// in plaats van met http://, zodat ook hieraan is te zien dat de gebruiker op de echte site zit. Criminelen kunnen echter zelf ook een certificaat installeren op hun website waardoor zelfs een groen slotje geen zekerheid biedt. Het bekijken van de certificaatdetails door te klikken op het groen slotje geeft meer zekerheid, omdat daar de aanvrager vermeld wordt.

Meestal ontvangt het slachtoffer een mail waarin hem gevraagd wordt zijn account bij bijvoorbeeld een bank na te kijken en te bevestigen. Ook wordt er wel gebruikgemaakt van instant messaging, soms wordt er telefonisch contact opgenomen. Fraudeurs maken veelvuldig gebruik van nepsites van financiële instellingen, eBay en PayPal. Phishing is moeilijk te achterhalen, mensen op het internet moeten vooral zelf opletten en nooit ingaan op een mailverzoek waarin gevraagd wordt persoonlijke (financiële) gegevens te geven; zoals bankrekeningnummer, pincode, inloggegevens, BSN of creditcardgegevens. Banken vragen immers nooit via e-mail om dergelijke gegevens. Het eerste geval van phishing dateert uit 1996.

Kenmerken

In een phishing-bericht zijn vaak de volgende elementen te vinden:[1][2]

De mail is niet aan de klant persoonlijk gericht, maar begint met een algemene opening als "geachte klant".
De mail bevat taal- en stijlfouten.
Er wordt gesuggereerd dat het account "geverifieerd" (op juistheid onderzocht en bevestigd) moet worden met de inloggegevens van de klant.
Er wordt gedreigd met gevolgen als niet onmiddellijk gehoor gegeven wordt aan de mail.
De link waarnaar wordt verwezen bevat subtiele verschillen met de originele link, zoals een andere extensie of andere schrijfwijze.

Een veelgebruikte methode is dat de fraudeur een e-mail stuurt met een bijlage waarin een keylogger of andere malware zit verborgen. De mail functioneert dan als een Trojaans paard. Zodra de gebruiker de bijlage heeft geopend, wordt – op de achtergrond – de keylogger geactiveerd. Hierdoor kan de fraudeur via internet zien welke wachtwoorden de gebruiker gebruikt bij het inloggen bij zijn of haar bank.

Als slachtoffer

Wie slachtoffer is van phishing, wordt aanbevolen:

om de bank op de hoogte te brengen van het ontvangen bericht en van de phishingactie;
om codes van de online bankaccount te veranderen of deze te blokkeren;
om alle gegevens die bewijs kunnen leveren van de feiten en de geleden schade te verzamelen:[3]
om onmiddellijk aangifte te doen bij de politie.

Incidenten

In maart 2007 kreeg een groot aantal klanten van ABN AMRO te maken met een phishing-mail. Deze bevatte een Trojaans paard waarmee de inloggegevens van de klant achterhaald konden worden.
In oktober 2009 werd phishing gebruikt om de wachtwoorden van enkele duizenden gebruikers van maildiensten zoals Hotmail en Gmail te achterhalen.[4]
De Nederlandse Vereniging van Banken heeft op 13 oktober 2010 een mediacampagne gelanceerd. Die helpt onder het motto: "als je weet hoe ze werken, kun je je ertegen wapenen". De mediacampagne geeft inzicht in hoe internetcriminelen te werk gaan en wat je eraan kunt doen.
Begin 2015 berichtte de Belgische Federatie van de Financiële sector dat er 85% minder fraudegevallen waren in 2014 (277 gevallen) ten opzichte van 2013 (1772 gevallen).[5]
In december 2019 werd door het Openbaar Ministerie melding gemaakt van "een man uit Noord-Nederland" die bijna een miljoen euro zou zijn kwijtgeraakt door phishing, de grootste zaak in zijn soort tot nu toe.[6][7]
Op 19 januari 2020 trapte een Nederlandse jeu-de-boules-vereniging in een phishingbericht, waardoor hun hele bankrekening werd leeggeroofd. Er werd € 78.000 buitgemaakt. Dit geld kregen ze later weer terug van de bank.[8][9]

Zie ook

Pharming
Skimmen
Whaling

Externe links

(en) Phishing-test
(nl) veiligbankieren.nl

Wikibooks heeft meer over dit onderwerp: Cursus veilig op het internet: Phishing.

Zie de categorie Phishing van Wikimedia Commons voor mediabestanden over dit onderwerp.

Bronnen, noten en/of referenties

Cranor, Lorrie Faith. 2008. Can Phishing Be Foiled? Understanding the human factors that make people vulnerable to online criminals can improve both security training and technology. Scientific American. Jg 2008, Vol. 299, Issue 6. p104-110.
"Spamsquad. Phishing: identiteitsdiefstal."
Phishing en vishing, lokalepolitie.be, 2014
(fpe). Hackers bemachtigen duizenden wachtwoorden. De Standaard, 07/10/2009. pE29.
Fraudegevallen internetbankieren dalen sterk, 30 januari 2015
Man uit Noord-Nederland is miljoen euro kwijt in grootste 'smishing-zaak' ooit
Enorme phishingzaak: slachtoffer bijna miljoen euro kwijtgeraakt
https://www.omroepwest.nl/nieuws/3988107/78-000-euro-weg-na-phishing-bankrekening-Rijswijkse-jeu-de-boulesclub-leeggetrokken. Geraadpleegd op 30 januari 2020.
https://www.omroepwest.nl/nieuws/3988377/Bestolen-jeu-de-boulesvereniging-krijgt-78-000-euro-terug-van-Rabobank. Geraadpleegd op 12 februari 2020.

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.

[foiled-1] Cranor, Lorrie Faith. 2008. Can Phishing Be Foiled? Understanding the human factors that make people vulnerable to online criminals can improve both security training and technology. Scientific American. Jg 2008, Vol. 299, Issue 6. p104-110.

[2] "Spamsquad. Phishing: identiteitsdiefstal."

[3] Phishing en vishing, lokalepolitie.be, 2014

[hackers-4] (fpe). Hackers bemachtigen duizenden wachtwoorden. De Standaard, 07/10/2009. pE29.

[5] Fraudegevallen internetbankieren dalen sterk, 30 januari 2015

[6] Man uit Noord-Nederland is miljoen euro kwijt in grootste 'smishing-zaak' ooit

[7] Enorme phishingzaak: slachtoffer bijna miljoen euro kwijtgeraakt

[8] ttps://www.omroepwest.nl/nieuws/3988107/78-000-euro-weg-na-phishing-bankrekening-Rijswijkse-jeu-de-boulesclub-leeggetrokken. Geraadpleegd op 30 januari 2020.

[9] ttps://www.omroepwest.nl/nieuws/3988377/Bestolen-jeu-de-boulesvereniging-krijgt-78-000-euro-terug-van-Rabobank. Geraadpleegd op 12 februari 2020.