Phishing via nepmails: waarom ook jij in de val kan lopen

Nepmails waarin wordt gevraagd om online gegevens achter te laten of een betaling te doen (‘phishing’) worden steeds slimmer. Maar met deze tips voorkom je dat je er in trapt.

In een vorig artikel legden we al uit wat phishing is en hoe je het herkent. In dit artikel gaan we er nog wat dieper op in. Je leest hoe slim phishing in elkaar zit en hoe het komt dat iedereen in de val kan lopen. 

Om het geheugen nog even op te frissen: phishing is een populaire vorm van internetfraude waarbij criminelen via een e-mail of sms’je hun slachtoffers naar een nagemaakte website lokken. Op die website worden inloggegevens ontfutseld, of geld via een online betaling. De dader doet zich voor als een bekende instantie zoals de Belastingdienst of je bank. De e-mail, de URL waarnaar gelinkt wordt in de mail en de website lijken soms net echt.

Voorbeeld valse e-mail ING Bank Bron: Fraudehelpdesk

Phishingfraudeurs misbruiken de naam en het beeldmerk van tal van bedrijven en instanties, zo ook van telecomaanbieders. Sommige klanten van ZeelandNet ontvingen onlangs zo’n phishingmail, over een verjaardagsactie waarbij zogenaamd een iPhone gewonnen kon worden. Die actie bestaat niet: ZeelandNet verkoopt geen iPhones (daarvoor kun je terecht bij DELTA Mobiel) en de mail is niet van ZeelandNet afkomstig. Heb je deze mail ontvangen? Verwijder ‘m direct, klik in elk geval niet op een van links. 

Lees hier hoe je een phishing-mail herkent en wat je kunt doen als je er een ontvangt. Maar hoe kan het toch dat phishing zo veel slachtoffers maakt?

Waarom ook jij in de val kan lopen

Dit formulier heeft geen live voorbeeld.Iedereen is kwetsbaar bij een phishingaanval.’ Dat zei onderzoeker van de Universiteit van Florida, Daniela Oliveira, vorig jaar op Black Hat, een conferentie omtrent digitale veiligheid. Phishers spelen namelijk in op ‘universele kwetsbaarheden’ in ons brein. 

Oliveira haalt de theorie van de Israëlische psycholoog Daniel Kahneman aan. Kahneman onderscheidt kort gezegd twee verschillende routes in ons brein om tot een beslissing te komen: een snelle, en een langzame. Via de langzame route maken we bewuste, doordachte beslissingen op basis van rationele argumenten. Dat kost veel energie. Veel vaker kiest ons brein daarom voor de snelle route: beslissingen worden dan onbewust en op basis van intuïtie en emotie gemaakt. 

Dat snelle proces is wat phishers proberen te activeren. Daartoe gebruiken ze bekende overtuigingstechnieken en neuropsychologische trucjes. 

Voorbeeld valse e-mail Belastingdienst Bron: Fraudehelpdesk

Neuropsychologische trucs

Een van die trucs is het autoriteitsprincipe: mensen zijn geneigd gehoor te geven aan verzoeken van autoriteiten zoals advocaten, politici en politieagenten. Een andere: urgentie creëren. Vaak hebben mails zogenaamd betrekking op je financiën, gezondheid of veiligheid — onderwerpen die we erg belangrijk vinden en ons aansporen tot snel handelen. 

Eenmaal in dat ‘snelle beslissingsproces’, zijn we allemaal kwetsbaar, zegt Oliveira. Ze nam de proef op de som en testte de effectiviteit van phishing. Haar proefpersonen kregen drie weken lang verschillende phishingmails opgestuurd. Maar liefst vier op de tien proefpersonen klikte op tenminste één frauduleuze link.