Zo herken je frauduleuze webadressen

Om je geld of gegevens te ontfutselen verwijzen internetcriminelen je naar webadressen die heel betrouwbaar lijken, maar dat niet zijn. In dit artikel lees je hoe je frauduleuze webadressen herkent.

Bij verdachte of onverwachte mailtjes van bijvoorbeeld je bank of de Belastingdienst, wordt vaak verwezen naar een webadres (url) dat vertrouwd lijkt, maar dat niet is. In de url kan de naam van je bank staan, en toch beland je op een frauduleuze site. Hoe dat zit, en hoe je je voor deze misleiding kunt behoeden, lees je hieronder.

Het lijkt ingewikkeld maar er zijn eenvoudige methoden om een legitiem webadres te onderscheiden van een frauduleuze. We combineren de tips van Fraudehelpdesk en SIDN, de stichting die Nederlandse domeinnamen beheert.

Vaak staan webadressen uitgeschreven, soms zijn ze verborgen achter een “klik hier”-tekst. Hoe je in zo’n situatie het webadres vindt, lees je in de tips onderaan dit artikel.

Zo lees je een webadres

Een webadres bestaat uit verschillende onderdelen. Als we bijvoorbeeld de url van DELTA’s nieuwspagina bekijken, https://www.delta.nl/nieuws/, dan kun je onderscheiden:

  • https:// – (of slotje) het beveiligsprotocol
  • – de subdomein. In dit geval geen, wordt later uitgelegd.
  • delta.nl – de hoofddomein en de landcode (de site waarop je terecht komt)
  • /nieuws/ – de map, oftewel het onderdeel van een website

In plaats van www kan er ook iets anders staan. Subdomeinen worden namelijk vaak (legitiem) gebruikt. Ook door DELTA. Wij hebben bijvoorbeeld het webadres https://mijn.delta.nl, waar je als klant kunt inloggen. De subdomein ‘mijn’ komt ook vaak voor, zoals in https://mijn.naamvanjebank.nl.

Omdat je als website-eigenaar een subdomein zelf kunt bedenken, zaaien fraudeurs met name met dit onderdeel van een url verwarring. Hier zie je dat gebeuren: https://belastingdienst.nl.voorbeeld.nl. ‘Belastingdienst.nl’ is de subdomein. ‘Voorbeeld.nl’ de hoofddomein en daarmee de website waar je op terecht komt.

Het is altijd van belang dat je de hoofddomein vindt. Die vertelt je met welke site je van doen hebt. Lees ook de eerste tip hieronder.

Zo lees je een ingewikkeld, verwarrend en potentieel frauduleus webadres

Frauduleuze webadressen zijn vaak lang en ingewikkeld en zetten je op het verkeerde been met vertrouwde termen. Laten we daarom aan de hand van een voorbeeld van de Fraudehelpdesk de verschillende onderdelen nog eens ontleden: https://www.belastingdienst.nl.example.nl/www.bankvanu.nl/inloggen.html

  • https:// – het beveiligingsprotocol
  • belastingdienst.nl – de subdomein
  • .example.nl/ – de hoofddomein en landcode (de site waarop je terecht komt)
  • bankvanu.nl/ – de map
  • html – de webpagina

 

Tip 1: Vind uit op welke site je terecht gaat komen

Negeer alle vertrouwde termen in een webadres, zoals ‘belastingdienst’ , de naam van je bank, of ‘inloggen’. Het gaat erom op welke site je terecht gaat komen.

Om daar achter te komen, zoek je de eerste / na https://, en lees je wat daar direct aan vooraf gaat. Je leest dus van rechts naar links. In dit geval is dat example.nl/ Als er geen / in de url staat, dan begin je helemaal achteraan met (terug)lezen.

Tip 2: Vertrouw een groen slotje of ‘https://’ niet blind

De s in https:// betekent dat er een beveiligde verbinding is gelegd met de website. In de meeste browsers verschijnt er dan ook een groen (en gesloten) slotje. Dat is helaas niet indicatief voor de legitimiteit van het bericht dat je hebt ontvangen.

Tip 3: Let op de landcode (.nl)

Nederlandse banken en instanties zoals de Belastingdienst gebruiken doorgaans de .nl-landcode. Een .nl-landcode is geen garantie dat je met een legitieme website te maken hebt, maar andersom is het wel nuttig om extra alert te zijn bij afwijkende landcodes, zoals .tk (Tokelau), .in (India) of .ru (Rusland). Let op: het gaat om de landcode van de hoofddomein. Negeer een landcode zoals .nl in de subdomein zoals bij https://belastingdienst.nl.voorbeeld.tk.

Tip 4: Vind uit wat het webadres is, als die verborgen staat achter een “klik hier”-tekst of een “betaal”-knop

Vaak staan webadressen uitgeschreven. Fraudeurs gebruiken ze immers om je vertrouwen te winnen. Soms zijn ze echter verborgen. Dan staat er bijvoorbeeld “klik hier”, of is er een “betaal”-knop. Je moet dan even uitvinden naar welk webadres je wordt gestuurd. In de meeste e-mailprogramma’s wordt dat zichtbaar als je je muispijltje op de link laat ‘zweven’. Als dat niet werkt, klik je met je rechtermuisknop op de link en vervolgens op ‘kopieer link/url/webadres’.

Staat er een verkort webadres uitgeschreven, zoals ‘bit.ly’? Wees dan extra alert, en gebruik een ‘un-shortener’. Er zijn verschillende gratis te gebruiken websites waar je kunt zien wat de onverkorte link is.

Tip 5: Bel de instantie op en verifieer het bericht

Bij de geringste twijfel, en dit is tevens de beste tip en veiligste methode: laat het mailtje of berichtje links liggen en zoek zelf het telefoonnummer of webadres op van de instantie die je zogenaamd het bericht heeft gestuurd. Vraag hen of het bericht legitiem is.

Wanneer is een e-mail of sms verdacht en wat is ‘phishing’? Dat lees je in ons artikel Zo herken je een phishing-mail