Of er al gegevens van jou op het internet gelekt zijn? Daar mag je bijna zeker van zijn. Denk aan die opgedoekte webshop waar je ooit babyspulletjes bestelde, een vergeten inschrijving voor een nieuwsbrief of de gamingaccount van je tiener. We laten allemaal voortdurend digitale sporen achter, en die belanden soms in verkeerde handen. Het is dan vooral uitkijken voor phishing. Katrien Eggers van Safeonweb legt uit waar je op moet letten.
In het nieuws hoor je geregeld over cyberaanvallen bij grote bedrijven, waarbij klantgegevens gehackt worden. Kan je jezelf daartegen beschermen door voorzichtig te zijn met welke informatie je doorgeeft?
Katrien: 'Soms geef je je gegevens zelf door, bijvoorbeeld door te reageren op een phishingmail zonder het te beseffen. Maar soms ligt het inderdaad buiten je eigen controle. Je maakt een online account aan bij een webshop of zet je profiel op LinkedIn – ook zulke platforms zijn al gehackt. Je laat je gegevens daar achter omdat dat nu eenmaal nodig is om de dienst te gebruiken. Helemaal vermijden kan je het dus niet. Het belangrijkste advies is dus: wees altijd alert voor phishing.'
Kun je nog eens uitleggen wat phishing precies is?
'Het kan van alles zijn: een valse e-mail, maar ook een sms, een telefoontje, een website, of een bericht op sociale media. Het gaat wel heel vaak om e-mails, waarin gevraagd wordt om via een link je gegevens te ‘actualiseren’. Of waarin je kunt klikken om snel iets te winnen, of om een boete te voorkomen. Via die link kom je op een louche website terecht waar je je gegevens moet invullen. Soms vragen ze vlakaf je bankgegevens, of om een overschrijving te doen. Maar vaak is het subtieler: wil je een prijs winnen, dan moet je je naam, adres, e-mail en telefoonnummer invullen. En zo vissen ze je gegevens binnen.'
Kan het kwaad om naar zo’n website te gaan of een telefoontje op te nemen? Of wordt het pas gevaarlijk als je je eigen gegevens deelt?
'Wij zeggen altijd: doe het niet. Die oplichters doen hun huiswerk, zulke websites kunnen er bedrieglijk echt uitzien. Het kan net lijken alsof je op de website van je eigen bank zit. Dus klik gewoon niet op die link.
Een oproep van een onbekend nummer? Neem die niet op. Zelf heb ik mijn WhatsApp zo ingesteld dat oproepen van onbekende nummers stil blijven. Je kunt altijd nog terugbellen als je weet waar het om gaat. Blokkeer ook onbekende nummers. Antwoorden lijkt meestal onschuldig, maar vaak gaat het om robocalls: een geautomatiseerd systeem probeert random alle mogelijke cijfercombinaties van telefoonnummers. Zodra je opneemt, weten ze dat jouw nummer echt bestaat en kom je op hun lijstje terecht.'
Het is dus niet per se door een datalek dat je phishingmails of telefoontjes krijgt?
'Vaak wel, maar zeker niet altijd, en vooral met telefoonoproepen. De telefoontjes kunnen trouwens van meerdere verschillende nummers komen van dezelfde phishing-scam. En wees extra alert voor Wangiri-fraude. Dat zijn korte gemiste oproepen: ze gaan één keer over en breken dan af. Maar het zijn dure buitenlandse betaalnummers. Als je terugbelt, lopen de kosten snel hoog op.
Task scams, dat is nog een ander vorm van phishing. Dan krijg je kleine opdrachtjes aangeboden waar je geld mee zou kunnen verdienen. Maar ze vragen je eerst om zelf geld over te maken om een account te activeren, of voor portkosten of zo. Zelf krijg je uiteraard nooit uitbetaald.'
Nooit oproepen van onbekende nummers beantwoorden dus. En hoe kun je aan mails zien of ze fake zijn?
'Er zijn een paar duidelijke signalen. Kijke eerst naar de afzender: een raar e-mailadres verraadt meteen dat het niet klopt. Een mail van je bank met een Gmail-adres bijvoorbeeld, dat is per definitie fake. Maar soms 'spoofen' ze het adres: ze bewerken het zodat het er betrouwbaar uitziet. Dan zit er bijvoorbeeld een klein foutje in zoals .info in plaats van .be.
Een tweede weggever is de link die in de mail staat. Bij een volledige link zie je vaak meteen dat er iets mis is. Als er een button staat — een soort knop waar je op kunt klikken — dan moet je daar eens over bewegen. Dan verschijnt de url van de website waar die jou naartoe zou leiden. Ziet die er vreemd of onbekend uit? Klik dan niet.
En ten slotte: wees op je hoede bij berichten die melden dat je dringend actie moet ondernemen, die beloven dat je iets kunt winnen, of die zich voordoen als een overheidsdienst of een politiedienst. Dat zijn klassieke trucs van oplichters.'
Overheidsdiensten, politiediensten en banken vragen toch eigenlijk nooit per mail om informatie?
‘Soms wel. Neem bijvoorbeeld My eBox: officiële documenten van de overheid krijg je via dat kanaal, maar meestal krijg je ook een afzonderlijke mailtje met de boodschap “er is een nieuw bericht in My eBox”. Als dat goed nagebootst is, zou je daarin kunnen trappen. Toch kan je het snel checken: beweeg met je muis over de button in de mail, dan zie je meteen of die echt naar My eBox leidt.
Onze gouden tip: klik nooit op een link in zulke berichten, ook niet als ze er betrouwbaar uitzien. Verwacht je een pakje? Ga dan kijken met je track-and-tracecode. Denk je dat je bank of pensioendienst je contacteert? Log zelf in op je vertrouwde app of website. Hetzelfde met My eBox: log gewoon zelf daar in om het te checken. Zo weet je meteen of er effectief een bericht voor je klaarstaat.’
Meestal zijn het niet je paswoorden die gelekt raken, maar bijvoorbeeld je rijksregisternummer of bankrekeningnummer.
~ Katrien Eggers , Safeonweb
Wat als je er wel in getrapt bent?
‘Dat hangt ervan af wat je precies gedaan hebt. Heb je persoonsgegevens doorgegeven, maar geen bankgegevens, dan is het advies eenvoudig: wees waakzaam. Want vaak gebeurt de oplichting in twee stappen. De eerste stap is een phishingmail, waarmee ze gegevens van je lospeuteren: je naam, geboortedatum, adres, .… Het lijkt alsof dat niet zowel kwaad kan.
Maar dan word je enkele weken later opgebeld, zogezegd door de bank. Om te bewijzen dat zij het echt zijn, gebruiken ze de gegevens die je eerder gegeven hebt. Zo wekken ze je vertrouwen. Dan zou je kunnen denken: die kent mijn geboortedatum, dus dat moet wel mijn bank zijn. Ze leggen je uit dat er dringend een transactie moet gebeuren, want je bankaccount is gehackt, en zij gaan je helpen om dat op te lossen. En dan ben je vertrokken. Dan word je echt opgelicht.
Zodra je dat doorhebt, moet je contact opnemen met je bank. Soms kunnen ze de betaling nog tegenhouden. Als je kaartgegevens gestolen zijn, of oplichters je kaart zijn komen ophalen aan de deur, bel je Cardstop en doe je aangifte bij de politie.'
Komt het vaak voor phishers aan de deur komen? Of is dat een ander circuit van oplichters?
'Nee, dat is wel een beetje hetzelfde circuit. En ook dat kan in verschillende stappen gaan. Eerst een phishingbericht, een tijdje later bellen ze je op en zeggen dat ze van de bank zijn, en dat ze je bankkaart moeten komen ophalen want die is niet meer veilig. Het lijkt misschien ouderwets, dat ze bij je komen aanbellen. Maar eigenlijk is dat een nieuw fenomeen. Het is sinds vorig jaar dat we dat echt zien, dat ze meer en meer aan de deur komen.'
En paswoorden veranderen, is dat iets wat je moet doen?
'Als je denkt dat je wachtwoorden gestolen zijn, dan moet je ze absoluut veranderen. Zorg dat je moeilijke en verschillende wachtwoorden hebt. De belangrijkste tip daarbij is om waar mogelijk tweestapsverificatie te gebruiken, waarbij je naast een wachtwoord nog een extra stap inbouwt, met bijvoorbeeld een extra code of je vingerafdruk. Dat is veel veiliger, want het kan niet gestolen worden. Je kan je wachtwoord ook best geregeld vervangen. Maar meestal zijn het niet je paswoorden die gelekt raken, maar bijvoorbeeld je rijksregisternummer of bankrekeningnummer.'
Op Safeonweb delen jullie nuttige tips en nieuwsberichten over phishing en andere risico’s — bijvoorbeeld ook hoe oplichters je camera of je hele computerbesturing over kunnen nemen. Is dat ook via phishing dat ze te werk gaan?
‘Je computer overnemen, dat is inderdaad iets typisch bij zulke calls. Een 'remote access scam' heet dat. Je wordt opgebeld, vaak door iemand met een Indisch accent, die zegt van Microsoft te zijn. Er is zogezegd een probleem met je laptop, een virus waar die persoon je bij gaat helpen. Ze vragen je om een programma te installeren waarmee ze vanop afstand je scherm kunnen overnemen. Je downloadt dus zo'n softwareprogramma, en dan geef je ze toegang tot je scherm. Op dat moment ziet die hacker alles wat jij ziet, en kan die alles doen met je computer. Als je bankapplicatie openstaat, kan die dus zomaar allerlei transacties in gang zetten.'
Kunnen ze dat alleen terwijl ze je bellen, of ook nadien?
‘Dat kan alleen op het moment dat jij met hen in contact bent. Als je nadien je computer terug opent, dan staat dat icoontje van het schermdelen daar nog wel. Maar als een hacker opnieuw toegang wil krijgen, dan zal die op het moment dat jij online bent, opnieuw van jou toegang moeten krijgen.
Je kunt je moeilijk voorstellen dat je daarin trapt natuurlijk. Maar je moet goed beseffen dat die mensen aan de andere kant van de lijn getraind zijn om jou te overtuigen.’
Cameraovername, is dat gevaarlijk om dezelfde reden?
‘Sommige camera’s hebben een default-wachtwoord: eentje dat voor alle camera’s van dat merk hetzelfde is. Die zijn makkelijk te hacken. Veel mensen denken er namelijk niet aan om dat paswoord te veranderen. Het is niet zozeer het probleem dat ze iets met je computer zouden kunnen doen, maar ze kunnen dan wel bij je thuis binnenkijken. Dat is geen phishing, maar het is wel een van de gevaren van niet goed opletten wat je doet op je computer.’
Alert zijn is dus de boodschap, en daar zal dit interview zeker toe bijdragen. Is er nog een laatste tip die je kunt meegeven?
‘Zeker! Neem eens een kijkje op Safeonweb. Daar vind je niet alleen tips over phishing en andere online risico’s, maar ook wekelijks een nieuwsbericht, waarin we een actueel voorbeeld beschrijven van phishing. In juni hebben we trouwens een top 10 gemaakt van de meest voorkomende phishingberichten van het afgelopen half jaar. Die is nog steeds actueel.
Je kunt ook de Safeonweb-app downloaden. Dan krijg je elke week een waarschuwing over een phishingbericht dat bij ons is binnengelopen. Zo weet je wat de ronde doet, en train je de reflex om fake berichten sneller te herkennen. Heb je zelf een verdacht bericht ontvangen? Stuur het gerust door naar Safeonweb. Zo help je ook andere internetgebruikers die misschien minder oplettend zijn.’
Over de expert
Katrien Eggers is communicatieverantwoordelijke bij Safeonweb, een initiatief van de nationale autoriteit voor cyberveiligheid in België (CCB). Op de website en via sociale media informeert en adviseert Safeonweb over cybersecurity, digitale dreigingen en online veiligheid.
