”Phising” of Vissen

De hieronder vermelde voorbeelden zijn ontleend aan de brochure “De spamming in vraag gesteld: geïllustreerde voorbeelden en praktische tips” gepubliceerd door de FOD Economie. De volledige versie van deze brochure is hier beschikbaar.

“Phishing”, ook “vissen” genoemd, is een methode van oplichting die alsmaar vaker voorkomt via e-mail. Het woord “phishing” is in feite de samentrekking van het Engelse woord “fishing”, in het Nederlands vissen, en “phreaking”, waarmee men het hacken van telefoonnetwerken bedoelt.

Het gaat om een techniek die door hackers wordt gebruikt om persoonlijke informatie te bekomen van surfers (bijvoorbeeld de gebruikersnaam en het paswoord en zelfs de bankgegevens) om ze frauduleus te gebruiken en dit, door de identiteit van een derde aan te nemen en een vals voorwendsel aan te wenden.

Of het nu gaat om het voorwendsel om persoonlijke gegevens te updaten op eBay, om na te gaan of de rekening van de consument bij Citibank of de internet provider niet werd gehacked, om zich ervan te vergewissen dat het kaartnummer van de Visa kredietkaart niet frauduleus werd gebruikt of andere dergelijke gekke scenario’s, het doel van de oplichters is altijd hetzelfde : zich voordoen als een organisme of een betrouwbaar bedrijf dat beschikt over genoemde gegevens, de consument uitnodigen om on-line te gaan via een link en, om één of andere reden, laatstgenoemde ertoe brengen om zijn gegevens opnieuw in te schrijven in een formulier dat zich op een namaak webpagina bevindt, die een identieke kopie is van de originele site. Trouwens, de webadressen die in deze mails worden gebruikt, lijken soms heel erg op de officiële adressen.

In deze context, doen de uiterste hoogdringendheid, die meestal wordt ingeroepen, en het gemak waarmee de surfer snel naar de namaaksite kan worden gebracht, bepaalde mensen in de val trappen.

Eens de persoonlijke informatie in handen is van de oplichter, kan deze laatste er frauduleus van gebruik maken, o.m. om geld af te halen van de bankrekening van de bedotte surfer of om aankopen te doen met het nummer van diens kredietkaart.

Hoe handelen?
Alleen al het feit dat u een e-mail ontvangt waarin u wordt verzocht om uw persoonlijke gegevens te updaten, moet uw argwaan opwekken.

Het is mogelijk dat dit soort van berichten wettelijk is, maar dat is bijna nooit het geval wat dergelijke gegevens betreft die zo gevoelig zijn als de gebruikersnaam en het paswoord of de bankgegevens, zoals het nummer van de kredietkaart. Ernstige banken vragen vertrouwelijke gegevens overigens ook nooit per e-mail aan hun klant.

Als de surfer een e-mail ontvangt, waarin hem om persoonlijke gegevens wordt verzocht, is de beste oplossing om niet te reageren en de mail te wissen. Als hij desalniettemin twijfelt, raden wij hem aan om rechtstreeks contact op te nemen met zijn dienstverlener (bankier, internet access provider, on-line verkoper, enz.) – waarvan de identiteit zou kunnen zijn gestolen – om de waarachtigheid van het verzoek na te gaan. In dat geval, moet men de eventuele contactgegevens die vermeld staan in de e-mail uiteraard niet gebruiken, maar betrouwbare gegevens bekomen via een andere weg.

Als de surfer er zich – te laat – rekenschap van geeft dat hij zijn bankgegevens heeft medegedeeld, moet hij eerst en vooral zijn rekening en zijn kaart zo spoedig mogelijk blokkeren zodat de oplichter er geen gebruik van kan maken. Het volstaat het nummer 070/344.344 te bellen (Card Stop). Deze dienst is beschikbaar voor alle Belgische bankkaarten, of het nu gaat om Bancontact/Mistercash kaarten of kredietkaarten. Wij raden ook aan om de feiten te melden aan de FCCU op volgend adres: contact@fccu.be.

Om te vermijden dat u in de val trapt, vindt u hieronder enkele controles die u kan verrichten om het twijfelachtig karakter van dit soort berichten te ontdekken:

• heb ik mijn e-mailadres medegedeeld aan dit bedrijf? Indien niet, hoe komt het dat dit bedrijf mijn e-mailadres kent en mij via deze weg contacteert?
• is het bericht in kwestie op naam? Bevat het ontvangen bericht geïndividualiseerde elementen waardoor de waarachtigheid ervan kan worden geïdentificeerd (klantnummer, naam van het agentschap, enz.)? Indien niet, opgelet!
• heeft de afzender een officieel e-mailadres? Als het gaat om een yahoo- of hotmailadres, moet u deze e-mail als twijfelachtig beschouwen. Trouwens, men moet niet volledig vertrouwen op het e-mailadres van de afzender, vermits dit kan worden vervalst en soms een naam kan dragen die erg lijkt op dat van het gekende bedrijf;
• men moet ook niet al te zeer vertrouwen op het voorkomen van de site waarnaar men wordt geleid: een website kan tot de pixel toe worden gekopieerd!
• leidt de link in het bericht rechtstreeks naar het klassieke adres: [www.uwbank.be], [www.uwdienstverstrekker.be], enz. ? Opgelet, vervalste sites hebben soms een adres dat erg lijkt op het officiële adres, maar niet volledig (controleer goed de schrijfwijze van de domeinnaam)!
• vermijd om rechtstreeks op de link in de e-mail te klikken, maar verbind u eerder met uw on-line dienst via de adresbalk van uw browser door zelf het adres te typen;
• controleer of de site die de gevoelige gegevens bevat, beschermd is (dit is het geval wanneer het protocol https wordt gebruikt en er zich een hangslotje bevindt in de statusbalk onderaan de browser);
• laatste raad : verstrek nooit codes of identificatiemiddelen per e-mail.

Door het nemen van deze voorzorgsmaatregelen zou u heel wat nare verrassingen moeten kunnen vermijden. Maar eens u deze voorzorgen genomen hebt, moet u niet paranoïa worden en in het achterhoofd houden dat het internet niet gevaarlijker is dan de werkelijke wereld waarin ieder van ons zich elke dag begeeft…

Voor meer informatie:
De website “Consumentenbedrog” van het OIVO : http://www.consumentenbedrog.be/;
De websites:
http://www.hoaxbuster.com/index.php; http://onguardonline.gov/phishing.html.