Als een mail phishing lijkt, maar het niet is

Na vele jaren van waarschuwingen over phishing, zijn de meeste mensen wel op hun hoede voor verdachte e-mails die naar hun informatie vissen. Maar wat als een mail verdacht lijkt maar het niet is?

Phishing

Een phishing mail is een valse e-mail die eruit ziet als een legitieme e-mail. Bijvoorbeeld van een bank of creditcardmaatschappij. De phishing mail hengelt naar persoonlijke informatie zoals je bank- of creditcardgegevens. Je wordt met een smoes verzocht op een link of knop in de mail te klikken, meestal om je gegevens opnieuw op te geven. Je komt dan op een phishing website die vaak sprekend lijkt op een betrouwbare website van het genoemde bedrijf. Als je daar je gegevens intypt, worden die vervolgens doorgestuurd naar de criminelen achter de phishing mail. Daarmee proberen ze je geld op te nemen of allerlei persoonlijke informatie te verzamelen.

Toen phishing nog in de kinderschoenen stond, waren de phishing mails vaak makkelijk te herkennen aan de amateuristische opmaak en inhoud. Teksten waren vertaald in slecht Nederlands en een aanhef als 'lieve klant' kwam regelmatig voor. Tegenwoordig zijn phishing mails en -websites zeer professioneel en meestal niet te onderscheiden van echt.

Je leest hier meer over echte phishing >>

Verdacht

Het is een bekend verschijnsel dat wanneer mensen na een aantal inbraken in hun buurt extra op hun hoede zijn, ze ook onschuldige situaties eerder als verdacht bestempelen.

Hetzelfde geldt voor phishing. De meeste mensen hebben weleens wat over phishing mails gelezen en weten inmiddels waar ze op moeten letten. Dus als er een e-mail binnenkomt  waarin gevraagd wordt om accountgegevens opnieuw in te vullen, dan gaat er een alarmbel af. Zelfs al ziet de e-mail er sprekend uit als een officieel bericht van een bank, verzekeringsmaatschappij of ander bekend bedrijf. Veel mensen denken dan aan phishing, terwijl het misschien juist gaat om een legitieme e-mail. Tenslotte wordt bij waarschuwingen tegen phishing vaak gezegd dat echte bedrijven je geen persoonlijke mails sturen om je te vragen je accountgegevens aan te passen.

Toch kregen bepaalde klanten bij een verzekeringsmaatschappij recent een mail opgestuurd met informatie over een nieuw, veiliger online systeem. Het verzoek was daarom ook om een nieuw account aan te maken via een knop in de e-mail. Daarbij moest je ook nog eens je gegevens voor online bankieren bij de hand houden voor identificatie via IDIN. Nou is IDIN een officieel en veilig identificatiesysteem, maar de meeste mensen kennen het nog niet. Bij veel mensen gaan in zo’n situatie dan ook dubbele alarmbellen af.

Een ander voorbeeld is een creditcardmaatschappij die aan zijn klanten een brief via de post stuurde. Daarin stond dat er, in verband met nieuwe regels van de EU, online een afspraak moest worden gemaakt. Bij die afspraak zou dan iemand aan de deur langskomen om de persoonlijke gegevens te controleren. Ook hierbij vroegen nogal wat mensen zich af of dit wel allemaal zuiver op de graat was. Want bijvoorbeeld op de website van de creditcardmaatschappij was geen enkele informatie over deze controleactie te vinden.

Controleren

Het is duidelijk dat je als bedrijf flink je doel voorbij schiet als je mails voor phishing worden aangezien. Maar dat is het probleem van het bedrijf dat zo onhandig communiceert. Het is voor jou als klant belangrijker hoe jij het onderscheid maakt tussen een phishing mail en een echte e-mail van een bedrijf. Tenslotte staat er ook soms belangrijke informatie in zo’n officiële mail of brief waar je wel naar moet handelen.

Helaas is controleren door op een knop of link in de e-mail te klikken niet altijd veilig genoeg. Er zijn gegevensvissers die veel werk maken van hun phishing en dus ook een hele website gedegen vervalsen. Een link of knop lijkt misschien zelfs naar de reguliere website van een bedrijf te verwijzen, maar zo’n link kan vervalst worden. Net als het afzendadres van de e-mail. Dat wordt spoofing genoemd.

Om deze reden is het verstandig om zelf via je internetbrowser naar de website van het bedrijf te gaan door het bijbehorende webadres in te typen. Als je het webadres niet weet, kun je met een zoekmachine op de naam van het bedrijf zoeken. De bijbehorende website zal gewoonlijk boven in de zoekresultaten verschijnen. Je weet zo zeker dat je op de echte website komt. Het is dan eventueel veilig in te loggen of een nieuw account aan te maken. Ook zal op de website vaak informatie te vinden zijn over de inhoud van de gestuurde e-mail. Gebruik hiervoor eventueel het zoekvak op de site.

Extra controle

Echte phishing mails raken vaak snel bekend omdat ze op grote schaal verspreid worden. Houd de media in de gaten voor berichten hierover of zoek met een zoekmachine op de titel of een deel van de inhoud van de mail. Als het gaat om oplichtingsmails in combinatie met bekende banken en andere bedrijven, verschijnen hier meestal wel berichten over in de media. Dit biedt overigens geen 100% zekerheid dat de e-mail wel legitiem is.

Mocht je na zelfonderzoek nog niet zeker zijn over zo'n mail, neem dan gewoon contact hierover op met het betreffende bedrijf. Ook hier geldt weer: je kunt niet altijd vertrouwen wat er in een e-mail staat. Surf dus zelf naar de website en kijk daar bij Contact hoe je contact opneemt met het bedrijf. Zo krijg je zekerheid.