Categorie op Phishing

Belastingdienst ontving dit jaar al 150.000 phishingmeldingen

De Belastingdienst heeft tot november van dit jaar al 150.000 meldingen van phishing ontvangen. Veel meer dan de 35.000 meldingen die in heel 2019 binnenkwamen. In 2017 ging het nog om 7700 phishingmeldingen, zo laat de fiscus tegenover het Parool weten.

De phishingaanvallen vinden plaats via e-mail, WhatsApp, sms en telefoon. Wie een frauduleus bericht ontvangt kan die doorsturen naar de Belastingdienst. Volgens Karl Lovink, hoofd van het Security Operations Center (SOC) van de fiscus in Apeldoorn, worden de phishingberichten steeds geraffineerder. “Cybercriminelen zijn tegenwoordig goed opgeleid en investeren vaak flink geld in dergelijke phishing-operaties.”

De Belastingdienst waarschuwde afgelopen maand herhaaldelijk voor phishingmails die claimen dat de ontvanger nog een openstaande schuld heeft en het bedrag via iDeal kan betalen, anders wordt er beslag gelegd. Vierhonderd Nederlanders trapten in het phishingbericht en betaalden 46 euro de man. Het ging in totaal om een bedrag van ruim 18.000, merkt Lovink op. Hij stelt dat er bewust voor een laag bedrag is gekozen. “Criminelen wisten dat ze bij betalingsproviders tot maximaal 50 euro anoniem in bitcoins kunnen omzetten.”

Lees hier verder. © Security.nl

Phishing namens ‘ABN AMRO’: oplichters sturen klanten een échte brief

Phishingmailtjes kent iedereen onderhand wel. Maar als jij als klant van ABN AMRO een aan jou geadresseerde brief ontvangt op briefpapier van de bank, is oplichting waarschijnlijk niet het eerste waar je aan denkt. Toch is dat wel degelijk aan de hand: oplichters hopen op deze manier je pinpas en je pincode te bemachtigen. Met een beetje geluk duiken er vervolgens korrelige bewakingsbeelden op van een capuchonnetje bij een pinautomaat, maar je geld ben je op dat moment al kwijt.

Deze brief stamt van afgelopen oktober, maar wij kregen het voorbeeld op 10 november toegestuurd. Dit is dan ook niet zozeer een waarschuwing in termen van ‘deze brieven gaan momenteel rond en je kunt er elk moment zelf eentje op de bus verwachten’, het uitgangspunt is eerder ‘let even op, want dit zou jou in theorie ook kunnen overkomen’.

Het concept is bovendien niet nieuw, en ook klanten van andere banken kunnen doelwit zijn. Deze zomer werden er bijvoorbeeld ook brieven verstuurd uit naam van ING en de Rabobank.

Lees hier verder. © Opgelicht

De Geldmaat vervangt bestaande pinautomaten. Klopt de sms dat je er een nieuwe betaalpas voor nodig hebt?

De kenmerkende gele Geldmaat is inmiddels geen ongebruikelijk gezicht meer in het straatbeeld. Maar als je een sms van ‘Geldmaat’ krijgt over het aanvragen van een nieuwe pas, gaat dat dan om oplichting? Of wijkt het apparaat in technische zin écht zo veel af dat je er niet met je huidige bankpas kunt pinnen? Eén ding is zeker: klanten van de Rabobank, ING en ABN AMRO moeten even op hun hoede zijn. In dit artikel lees je waarom.

Eind dit jaar moeten alle pinautomaten van ABN AMRO, ING en de Rabobank door de kenmerkende gele Geldmaat zijn vervangen, een proces waar men overigens al in 2019 mee van start is gegaan. In het straatbeeld zijn de gele pinautomaten van de Geldmaat inmiddels dan ook een vertrouwd gezicht.

De reden voor het vervangen van deze automaten is voor de hand liggend, al verandert er voor de consument niet zo gek veel. Geldmaat is namelijk het bedrijf dat het contante geldverkeer voor ABN AMRO, ING en de Rabobank verzorgt, en daar is het beheer en het onderhoud van de geldautomaten bij inbegrepen. Of de pinautomaat nu de huisstijl van de Rabobank, van ING of van ABN AMRO heeft, de achterliggende techniek werd in alle gevallen toch al door hetzelfde bedrijf gedaan. Het is dan ook efficiënter – en goedkoper, laten we eerlijk wezen – om één herkenbare, uniforme huisstijl aan te nemen.

Hoe zit het met oplichting uit naam van de Geldautomaat?

Een volger wees ons op een sms-bericht dat inhoudelijk op een aantal vlakken afwijkt van het gebruikelijke. De afgezaagde sms’jes uit naam van de bank kennen we onderhand natuurlijk wel, en als je nu nog niet weet dat ‘de bank’ geen sms-berichten over verdachte inlogpogingen of nieuwe betaalpassen stuurt, dan voegt waarschuwing 1324 misschien niet zo gek veel meer toe na de 1323 waarschuwingen die er via verschillende kanalen reeds aan vooraf zijn gegaan.

Deze poging tot oplichting werpt echter wel een aantal interessante vragen op. In het sms’je wordt namelijk de suggestie gewekt dat de Geldmaat qua functionaliteit zó anders is dat de consument een aantal handelingen dient te verrichten om überhaupt gebruik te kunnen maken van het apparaat. In het sms-bericht staat namelijk de volgende tekst:

[GELDMAAT] Dit jaar maken de geldautomaten van ABN AMRO, ING en Rabobank langzaam plaats voor de geldautomaten van Geldmaat. Uw oude betaalpas vervalt binnenkort en u kunt bij onze automaten alleen betalen met de nieuwe betaalpas die gebruik maakt van onze nieuwe EMV-chip technologie. Vraag uw nieuwe betaalpas aan via s.id/Geldmaat

Lees hier verder. © Opgelicht

20 procent werknemers klikt op phishing-mails

Eén op vijf werknemers laat zich tijdens een test vangen door een phishingmail, ongeacht de sector waarin een bedrijf opereert. Wanneer de mails gesofisticeerder worden of inspelen op het karakter van mensen, gaat dat aantal flink de hoogte in.

Werknemers die geconfronteerd worden met een algemene phising-mail, laten zich in 20 procent van de gevallen vangen en klikken op de link. Richt een cybercrimineel zich tot zijn slechtoffer met een geavanceerde spear phishing-aanval, dan loopt dat aantal zelfs op tot 30 procent. Dat blijkt uit de cijfers van Phished, een bedrijf uit het Leuvense dat zich specialiseert in het versturen van valse phishingcampagnes in samenwerking met bedrijven in een poging werknemers alerter te maken voor de gevaren.

Phished merkt op dat de sector waarin een bedrijf actief is of het opleidingsniveau van het doelwit weinig belang heeft. In zowat alle campagnes ligt de klikratio rond de 20 procent. Daarbij merken we wel op dat het onderzoek geen cijfers geeft over het aantal mensen dat ook daadwerkelijk gevoelige gegevens zou kwijtgeven via een phishing-link. Vermoedelijk zullen heel wat mensen nog merken dat er iets niets pluis is na het klikken. In een bedrijfsomgeving die niet up to date is met onvoldoende beveiliging kan een drive by-download er anderzijds al voor zorgen dat het te laat is.

Voor al mails die inspelen op de inherente goedheid van mensen, hebben succes. Het gaat daarbij om emails waarbij iemand om hulp wordt gevraagd. Denk aan een mail die afkomstig lijkt van een collega, waarin die vraagt of een bepaalde pagina voor jou wil laden omdat hij of zij problemen ondervindt. Vier op de tien trapte daar in. Ook berichten met de vraag een factuur te verifiëren, doen het goed met een klikpercentage van 29 procent.

Het onderzoek toont aan dat mensen het kwetsbaarst zijn wanneer ze mails op hun mobiel toestel openen. Tijdens de simulaties klikt 32 procent van de ontvangers dan op een malafide link. Dat komt volgens Phished omdat je op je mobiel toestel minder aandacht besteedt aan de inhoud van een mail.

Bewustmaking en training bieden soelaas. Mensen moeten weten dat hackers bijvoorbeeld mailadressen kunnen spoofen zodat een bericht van een collega of baas afkomstig lijkt. Verder raadt Phished training aan, wat niet toevallig het verdienmodel van het bedrijf is. De organisatie claimt dat een jaar van campagnes het klikpercentage tot één procent doet dalen. Door mensen te confronteren met de phishing-links waar ze verkeerdelijk op geklikt hebben, kweken ze in theorie extra alertheid.

Lees hier verder. © Techzine

Veilig internetbankieren: hoe herken je de beveiligde website van jouw bank bij het online bankieren?

Internetbankieren valt nauwelijks meer uit het dagelijks leven weg te denken. Helaas spelen cybercriminelen en oplichters daar al jaren handig op in, en nog altijd met veel slachtoffers van oplichting tot gevolg. Het is dan ook aan te raden om altijd goed te controleren of je je wel op de juiste website bevindt als je van plan bent om online te bankieren. Maar hoe weet je nou of je op de beveiligde website van jouw bank zit? In dit artikel zetten we alles op een rij.

Phishing is al jaren een hardnekkig probleem, en ook de mailbox van Opgelicht?! puilt dagelijks uit van talloze voorbeelden van verdachte e-mails en sms’jes uit naam van zo’n beetje alle grote banken. Daar kunnen wij maar één conclusie aan verbinden: kennelijk is dit nog altijd een lucratieve vorm van oplichting en trappen mensen er nog steeds in, anders zou deze vorm van oplichting niet meer op deze enorme schaal plaatsvinden.

Cijfers van de Nederlandse Vereniging van Banken en de Betaalvereniging Nederland lijken dat beeld te bevestigen: uit cijfers over het jaar 2019 die afgelopen voorjaar werden vrijgegeven, bleek dat de schade door phishing en bankpasfraude meer dan verdubbeld was ten opzichte van het jaar ervoor. Veel schade kan echter voorkomen worden door gewoon goed op te letten, al helemaal als je merkwaardige e-mails of sms-berichten uit naam van jouw bank krijgt.

In deze berichten lokken oplichters je doorgaans immers naar (nagenoeg) identieke kopieën van jouw échte online bankomgeving. Het is eigenlijk altijd de bedoeling dat je inlogt om een bepaalde handeling te verrichten: log je in met jouw inloggegevens, dan gaan oplichters er direct mee aan de haal en wordt je rekening in een mum van tijd geplunderd. 

De excuses die oplichters daarvoor aanwenden, zijn talrijk. Jouw bankpas komt zogenaamd te vervallen, er is verdachte activiteit waargenomen, er staat een bericht klaar, er zijn vreemde inlogpogingen geconstateerd, de bank moet voldoen aan nieuwe (Europese) richtlijnen, er heeft een ongebruikelijke transactie plaatsgevonden of in verband met het coronavirus moet je zelfs een antibacteriële bankpas aanvragen.

Duidelijke zaak: aan verhalen, smoezen en excuses geen gebrek. Tijd om eens op een rij te zetten hoe je kunt zien of een link veilig en betrouwbaar is.

Lees hier verder. © Opgelicht