Als u een e-mail hebt ontvangen van de Internal Revenue Service of de Federal Deposit Insurance Corporation, is de kans groot dat het een phishing-poging was. Als je e-mail van je bank, PayPal of Facebook hebt ontvangen waarin je wordt aangespoord om onmiddellijk informatie te verifiëren of het risico loopt dat je account wordt opgeschort, is dit ongetwijfeld phishing.
Phishing-aanvallen zijn dit jaar sterk gestegen, volgens recente rapporten. De werkgroep voor anti-phishing rapporteert dat er alleen al in de eerste helft van 2009 meer dan 55.600 phishing-aanvallen waren. Phishing is met name gevaarlijk omdat criminelen het wachtwoord van een slachtoffer voor één website krijgen en vaak gebruiken om andere accounts te openen waar mensen het wachtwoord opnieuw hebben gebruikt.
En iedereen kan in gevaar zijn. De vrouw van FBI-directeur Robert Mueller verbood hem online bankieren nadat hij bijna was gevallen voor een phishing-poging.
Hier is wat basisinformatie die mensen kan helpen voorkomen dat ze misleid worden door phishing-aanvallen.
Wat is phishing?
Phishing is een poging, meestal via e-mail, om mensen te misleiden tot het onthullen van gevoelige informatie zoals gebruikersnamen, wachtwoorden en creditcardgegevens door zich voor te doen als een bank of een andere legitieme entiteit. De e-mails bevatten meestal een link naar een website die legitiem lijkt te zijn en die gebruikers ertoe aanzet om informatie te verstrekken. Soms zal de phishing-e-mail een formulier in een bijlage bevatten om in te vullen. Een veelgebruikte tactiek die phishers gebruiken, is om zich voor te doen als de fraude-afdeling van een financiële instelling of online retailer zoals PayPal en om informatie te vragen om identiteitsfraude te voorkomen. In één geval vroeg een phishing-e-mail die afkomstig was van een staatsloterijcommissie de ontvangers om hun bankgegevens zodat hun 'winsten' op hun rekeningen konden worden gestort.
Phishers maken ook steeds meer gebruik van interesse in nieuws en andere populaire onderwerpen om mensen ertoe te brengen op links te klikken. Een e-mail naar vermeende Mexicaanse griep vroeg mensen om hun naam, adres, telefoonnummer en andere informatie op te geven als onderdeel van een onderzoek naar de ziekte. En gebruikers van sociale netwerken worden populaire doelen. Twitter-gebruikers zijn doorverwezen naar nep-inlogpagina's.
Aanvallers richten zich ook op instant messaging om mensen in hun val te lokken. In een recente zwendel werd via de browser een livechat-venster gelanceerd. De oplichter communiceerde via het chatvenster met slachtoffers, deed zich voor als van een bank en vroeg om aanvullende informatie.
Wat zijn andere recente voorbeelden van phishing-aanvallen?
Een recente scam op e-mail vraagt klanten van PayPal om aanvullende informatie te verstrekken of het risico te lopen dat hun account wordt verwijderd vanwege wijzigingen in de serviceovereenkomst. Ontvangers worden aangespoord om op een hyperlink te klikken die zegt: "Ontvang geverifieerd!"
E-mails die eruit zien alsof ze afkomstig zijn van de FDIC, bevatten een onderwerpregel die zegt: "Controleer uw bankwaarborgdekking" of "FDIC heeft uw bank officieel een mislukte bank genoemd". De e-mails bevatten een link naar een nep FDIC-site waar bezoekers worden gevraagd om formulieren te openen om in te vullen. Door te klikken op de formulierkoppelingen wordt het Zeus-virus gedownload, dat is ontworpen om bankwachtwoorden en andere informatie te stelen.
E-mails die eruitzien alsof ze afkomstig zijn van de IRS, vertellen aan ontvangers dat ze in aanmerking komen voor belastingteruggave en dat het geld kan worden geclaimd door op een link in de e-mail te klikken. De link leidt bezoekers naar een valse IRS-site die vraagt om persoonlijke en financiële informatie.
Een legitiem ogende Facebook-e-mail vraagt mensen informatie te verstrekken om het sociale netwerk te helpen bij het updaten van zijn inlogsysteem. Als u op de knop "bijwerken" in de e-mail klikt, worden gebruikers naar een nep-aanmeldscherm op Facebook gebracht waar de gebruikersnaam wordt ingevuld en bezoekers worden gevraagd om hun wachtwoord in te voeren. Wanneer het wachtwoord wordt ingevoerd, komen mensen terecht op een pagina met een 'Update Tool', maar dat is eigenlijk het Zeusbank-trojan.
Wat zijn enkele verklikkers van een phishing-poging?
Veel phishing-pogingen zijn afkomstig van buiten de VS, waardoor ze vaak spelfouten en grammaticale fouten bevatten. Sommige hebben een dringende toon en zoeken naar gevoelige informatie die legitieme bedrijven doorgaans niet via e-mail vragen.
Waar moet ik op letten in een e-mail?
Controleer de afzenderinformatie om te zien of het legitiem lijkt. Criminelen kiezen adressen die lijken op degene die ze doen alsof. Phishers hebben bijvoorbeeld "[email protected]." Echter, legitieme PayPal-berichten in de VS komen van [email protected] "en bevatten een sleutelpictogram. De meeste phishing-e-mails komen van buiten de VS, dus een adres dat eindigt op" .uk "of iets anders dan" .com "kan geef aan dat het een phishing-poging is.
Het e-mailadres is mogelijk ook onzichtbaar. Als u "Allen beantwoorden" aanraakt, wordt mogelijk het echte e-mailadres weergegeven. U kunt ook uw e-mailvoorkeuren instellen om "volledige kop" weer te geven om het volledige e-mailadres en andere informatie te zien. Als u helemaal niet zeker weet of de e-mail legitiem is, gaat u naar de website van het bedrijf om het vermelde adres te bekijken.
Legitieme bedrijven gebruiken meestal namen van klanten of gebruikersnamen in de e-mail en banken nemen vaak een deel van een accountnummer op. Phishing-e-mails bieden doorgaans algemene begroetingen, zoals 'Beste PayPal-klant'.
Inspecteer de hyperlinks in de e-mail. Phishers gebruiken meestal subdomeinen of letters of cijfers vóór de bedrijfsnaam en soms zijn de woorden in de links verkeerd gespeld. Bijvoorbeeld, www.BankA.security.com zou linken naar de 'BankA'-sectie van de' security'-website. Het is vaak moeilijk om te zien of de link legitiem is, gewoon door ernaar te kijken. Door op de link te klikken, ziet u het echte adres onderaan in de meeste webbrowsers.
Daarnaast gebruiken PayPal, Amazon, banken en vele andere bedrijven het SSL-protocol (Secure Sockets Layer), dat is ontworpen om ervoor te zorgen dat klanten de echte site bezoeken. Dat betekent dat // zal worden gezien in de URL-adresbalk in plaats van alleen // en meestal zal er een andere wijziging in de adresbalk zijn. PayPal geeft bijvoorbeeld een "P" weer en de naam ervan is groen gemarkeerd aan de voorzijde van de URL. De belangrijkste browsers hebben antiphishing-maatregelen om kwaadwillende sites te detecteren. Sommige phishers proberen ook het echte webadres te verbergen waar ze slachtoffers naartoe sturen met behulp van URL-verkortingsservices.
Als de e-mail een bijlage heeft, wees dan op uw hoede voor .exe-bestanden. Scammers houden ervan om virussen en andere malware daar te verbergen, zodat het wordt uitgevoerd wanneer het wordt geopend.
Laat je niet misleiden door het uiterlijk van de website waar je misschien naartoe wordt geleid. De website kan er uitzien als een echte bank- of PayPal-pagina, inclusief het gebruik van de echte logo's en branding. Het kan een goede neppagina zijn of een legitieme pagina met bovenaan een pop-upvenster met phishing.
Hoe kunnen phishing-aanvallen worden vermeden?
Probeer uit de spamlijsten te blijven. Plaats uw e-mailadres niet op openbare sites. Maak een e-mailadres dat minder snel wordt opgenomen in spamlijsten. Gebruik bijvoorbeeld in plaats van [email protected] [email protected].
Als een e-mail er redelijk uitziet, neem dan rechtstreeks contact op met het bedrijf als u een e-mail ontvangt waarin u wordt gevraagd om informatie te verifiëren. Typ het adres van het bedrijf rechtstreeks in de adresbalk in plaats van op een link te klikken. Of bel ze, maar gebruik geen telefoonnummer vermeld in de e-mail.
Geef geen persoonlijke informatie op die via e-mail is aangevraagd. Legitieme bedrijven en agentschappen zullen reguliere post gebruiken voor belangrijke berichten en klanten nooit vragen inloggen of wachtwoorden te bevestigen door op links in e-mail te klikken.
Kijk goed naar het webadres waarnaar een link verwijst en typ adressen in de browser in voor bedrijven als u niet zeker bent.
Open geen e-mailbijlagen die u niet verwachtte te ontvangen. Open geen download-links in IM. En voer geen persoonlijke informatie in een pop-upvenster of e-mail in.
Zorg ervoor dat u een veilige website gebruikt bij het indienen van financiële en gevoelige informatie.
Wijzig wachtwoorden regelmatig. Gebruik niet hetzelfde wachtwoord op meerdere sites.
Log regelmatig in op online accounts om de activiteit te controleren en verklaringen te controleren.
Gebruik antivirus-, antispam- en firewallsoftware en houd uw besturingssysteem en applicaties up-to-date.
Wat kan ik doen als ik denk dat ik het slachtoffer ben geworden van phishing?
De werkgroep voor anti-phishing heeft een uitgebreide site die precies uitlegt welke stappen mensen moeten nemen op basis van wat voor soort informatie ze hebben uitgegeven.
Waar kan ik phishing-pogingen melden?
U kunt verdachte phishing-e-mails doorsturen naar [email protected] en [email protected]. Bedrijven hebben meestal een adres om phishingvoorbeelden door te sturen, zoals '[email protected]'. Neem altijd de volledige phishing-e-mail op. Klachten kunnen worden ingediend bij het Internet Crime Complaint Center bij de FBI.
Hier zijn aanvullende bronnen.
//apwg.org/consumer_recs.html
//www.irs.gov/newsroom/article/0,, id=154848, 00.html
//www.microsoft.com/mscorp/safety/technologies/antiphishing/guidance.mspx
Laat Een Reactie Achter