Phishing Fraude
Wat is phishing?
Bij phishing vissen fraudeurs aan de telefoon of via valse berichten of brieven naar vertrouwelijke informatie. Denk bijvoorbeeld aan bankgegevens en persoonsgegevens zoals je BSN-nummer en je wachtwoorden voor digitaal betalen en bankieren. Ze kunnen ook direct een betaalverzoek doen, bijvoorbeeld via Tikkie.
Valse berichten kun je ontvangen via e-mail, per telefoon, via sms, via een chatapp zoals WhatsApp en zelfs in een brief op papier. Phishing via sms (op je telefoon) wordt ook wel smishing genoemd.
De fraudeurs hengelen met phishing mails bijvoorbeeld naar een kopie van je paspoort, rijbewijs of bankpasje, naar je wachtwoord, een éénmalige beveiligingscode voor internetbankieren, naar je pincode voor je bankpas, creditcard of mobiel bankieren of naar een directe betaling, bijvoorbeeld met een mobiel betaalverzoek.
Via een vals bericht kun je ook worden misleid om kwaadaardige software of apps op je computer, tablet of smartphone te installeren (malware, spyware of ransomware). Die malware kan op je apparaat terechtkomen via een bijlage in een e-mail die je moet openen of via een link naar een valse website waar je de kwaadaardige software of app kunt downloaden.
Van bank, bedrijf, instelling of goede bekende
De valse berichten of brieven lijken van banken of andere bekende bedrijven en instanties te zijn, bijvoorbeeld van je eigen bank, PostNL, de Belastingdienst of DigiD. Zelfs Veilig Bankieren, de Betaalvereniging en de Fraudehelpdesk worden nagebootst in valse berichten van oplichters.
Phishing-berichten kunnen ook afkomstig lijken van familie, vrienden of bekenden. Die vragen dan zogenaamd of je snel geld aan ze kunt lenen of een dringende aankoop of rekening kunt voorschieten.
Steeds vaker persoonlijk
Phishing-berichten zijn vaak onpersoonlijk, zonder je met je naam aan te spreken. Steeds vaker is phishing echter heel persoonlijk aan jou gericht, met je echte naam en andere persoonlijke gegevens, zoals je adres, je rekeningnummer of het kenteken van je auto.
Jouw persoonlijke gegevens kunnen terechtkomen bij criminelen omdat ze per ongeluk zijn gelekt door een bedrijf of instantie, via gehackte mailboxen van familie of bekenden of omdat je die gegevens zelf op social media hebt gezet, voor iedereen zichtbaar.
Zogenaamd van je bank
Veel valse berichten lijken zogenaamd van je eigen bank te zijn. Ook brieven op papier die van je bank lijken te zijn, kunnen vals zijn. Daar zijn drie mogelijke varianten van:
Bericht met link of brief met QR-code naar een valse website waar je de beveiligingscodes van je bank moet intikken. Met uiteenlopende smoezen vraagt je zogenaamde bank dat je op een link klikt of een QR-code scant. Er wordt spoedig een bedrag van je rekening afgeboekt, er wordt misschien een bedrag bijgeboekt, je rekening wordt geblokkeerd, er wordt beslag gelegd op je rekening, er is iets mis met je mobiele app… In alle gevallen is het zogenaamd heel dringend dat je op die link klikt of die QR-code scant. Via die link of QR-code kom je terecht op een valse website die als twee druppels water lijkt op de echte website van je bank. Op die valse website moet je dan zogenaamd inloggen met de gebruikelijke beveiligingscodes van je bank.
Bericht of brief dat je je bankpas moet opsturen, met link of QR-code naar een valse website. Het bericht of de brief maakt je wijs dat je bankpas niet meer goed zou zijn. Bij een valse brief kan zelfs een nepbankpas zitten. Je bankpas is zogenaamd verouderd, ongeldig, onveilig, onhygiënisch (corona!), voldoet niet meer aan de wet… Om een vervangende bankpas te ontvangen moet je zogenaamd eerst je huidige bankpas opsturen naar je bank of naar een recycle-bedrijf. Om de nieuwe bankpas aan te vragen moet je op een link klikken of een QR-code scannen. Zo kom je terecht op een valse website, zogenaamd van je bank. Die valse website vraagt om je pincode of beveiligingscodes in te tikken.
Je wordt gebeld, zogenaamd door je bank. Op het scherm van je telefoon zie je misschien zelfs het echte telefoonnummer van je bank. De zogenaamde bankmedewerker aan de telefoon vraagt om je pincode of beveiligingscodes voor internetbankieren, om zelf transacties te doen (om zelf bedragen over te boeken) of om iemand van je bank thuis te ontvangen. De nep-bankmedewerker kan je ook een sms, WhatsApp of e-mail sturen, met een link naar een valse website waar je zogenaamd moet inloggen met de beveiligingscodes van je bank.
Zogenaamd van een bedrijf of instelling
Je krijgt een vals bericht of valse brief die van de overheid of van een bekend bedrijf lijkt te zijn, bijvoorbeeld van de Belastingdienst of van je energiebedrijf. Het bericht of de brief probeert je wijs te maken dat je nog iets moet betalen of dat je geld terugkrijgt, zoals een belastingteruggave of onbetaalde energierekening:
Via een link of QR-code kom je in één of meer stappen op een valse website, zogenaamd van je bank. Die vraagt vervolgens om je beveiligingscodes voor internetbankieren of iDEAL.
Via een link of QR-code kom je in één of meer stappen bij een vals betaalverzoek, bijvoorbeeld via Tikkie. Met dat betaalverzoek betaal je niet aan het bedrijf of de instelling maar aan oplichters.
Lees meer over verschillende soorten valse e-mails, zogenaamd van banken, bedrijven of andere instellingen.
Zogenaamd van een goede bekende
Je krijgt één of meer berichtjes, zogenaamd van familie, een vriend of vriendin, via e-mail, sms of een chatapp zoals WhatsApp. Het adres of mobiele nummer van de afzender kan het echte nummer van die bekende zijn, bijvoorbeeld omdat het door fraudeurs digitaal is gekaapt (gehackt). De zogenaamde bekende vraagt je om hem of haar snel geld te lenen of om een dringende aankoop of rekening voor te schieten, via een link of betaalverzoek:
De link leidt in één of meer stappen naar een valse website, zogenaamd van je bank. Daar moet je je beveiligingscodes voor internetbankieren of iDEAL intikken.
De link leidt in één of meer stappen naar een vals betaalverzoek van de oplichters, bijvoorbeeld via Tikkie. Daarmee betaal je direct aan de oplichters.
Hoe bestrijden banken phishing?
Om phishing tegen te gaan, proberen banken valse afzenders (e-mailadressen of mobiele nummers) en valse websites op te laten sporen en te laten blokkeren. Je kunt de banken daarbij helpen door een phishing-bericht waarin een bank wordt nagebootst, zo snel mogelijk te melden bij die bank.
Daarnaast proberen banken verdachte transacties bij klanten te herkennen en onderscheppen. Bij het vaststellen van een verdachte transactie, kan je bank contact met je opnemen. Soms kan je bank de schade door phishing geheel of gedeeltelijk vergoeden, vooral bij phishing via een valse website die zogenaamd van je eigen bank was.
Met campagnes en voorlichting waarschuwen banken tegen phishing. Een echte bank zal je nooit aan de telefoon of in een e-mail, tekstbericht of brief vragen:
om een wachtwoord, pincode of andere beveiligingscode te verstrekken
om op een hyperlink te klikken waarmee je kunt inloggen bij je bank
om een QR-code te scannen waarmee je kunt inloggen bij je bank
om (een foto van) je betaalpas, creditkaart of inlogapparaatje op te sturen
– een nieuwe betaalkaart of inlogapparaatje wordt automatisch toegestuurd naar je woonadres;
– een oude betaalkaart kun je doorknippen, dwars door de vergulde betaalchip, en weggooien;
– banken vragen nooit een oude betaalkaart of inlogapparaatje op te sturen om te laten recyclen, of om die aan iemand af te geven.
Waar kan ik phishing melden?
U kunt banken helpen om verzenders van valse berichten en hun valse websites te blokkeren door phishing mail of sms te melden door hem zo snel mogelijk te sturen naar de bank die wordt nagebootst. Lees meer.
