• Wat kan een phishingbericht zijn? 10 rode vlaggen die u niet mag negeren

Wat kan een phishingbericht zijn? 10 rode vlaggen die u niet mag negeren

Blog

Phishing-berichten zijn slimmer dan ooit - trap er niet in. Leer hoe je 10 belangrijke rode vlaggen kunt herkennen met echte voorbeelden en tips van experts om beschermd te blijven.

door Milena Baghdasaryan

Leestijd: 7 min
Wat kan een phishingbericht zijn? 10 rode vlaggen die u niet mag negeren
Inhoudsopgave-

Denk je dat je een scam kunt herkennen? Phishingberichten worden elke dag geniepiger. 

Bij phishing sturen aanvallers frauduleuze e-mails met links naar kwaadaardige websites. De websites kunnen malware bevatten (bijv. ransomware) om systemen en organisaties te saboteren. Het kan ook als doel hebben om gebruikers gevoelige informatie te ontfutselen (bijv. creditcardnummers). Oplichters doen zich vaak voor als merken en entiteiten die je al vertrouwt, zoals Amazon, Netflix of banken. Dergelijke aanvallen kunnen leiden tot enorme financiële verliezen en identiteitsdiefstal. 

Bekijk deze 10 rode vlaggen voordat je op een link klikt, zodat je geen slachtoffer wordt.

Belangrijkste opmerkingen

  • Veel voorkomende soorten phishingberichten zijn e-mail phishing, smishing (sms), social phishing en vishing. 
  • Sommige rode vlaggen kunnen wijzen op phishing. Dit zijn onder andere algemene begroetingen, verzoeken om gevoelige informatie, overdreven gulle, verleidelijke aanbiedingen, verdachte uitschrijflinks, enz.
  • De imitatie van bekende merken is een ander belangrijk element van phishingzwendel en een nuttige rode vlag. 
  • Enkele voorbeelden van phishing zijn valse DocuSign-verzoeken, zwendel met orderbevestigingen van Amazon en fraude met belastingteruggave door de IRS. 
  • Met geavanceerde bescherming tegen bedreigingen, e-mailverificatie en MFA kunnen bedrijven beschermd blijven.

Veel voorkomende soorten phishingberichten 

Er zijn verschillende soorten phishingberichten, sommige komen vaker voor dan andere. 

E-mail phishing

Dit is de meest voorkomende vorm van phishing. Bij e-mail phishing sturen cybercriminelen e-mails van schijnbaar legitieme entiteiten, zoals online diensten, banken, bekende merken, enz. Deze e-mails kunnen valse facturen en verzoeken om het wachtwoord opnieuw in te stellen bevatten, vaak vergezeld van een gevoel van urgentie. Ze zetten het slachtoffer aan om op een kwaadaardige link te klikken of een bijlage te downloaden die op zijn beurt kan leiden tot verwoestende gevolgen. 

Smishing (SMS)

De naam suggereert de betekenis: een mix van "sms" en "phishing". Bij dergelijke aanvallen sturen de bedreigingsactoren misleidende sms-berichten die de ontvanger manipuleren om een zelfbeschadigende actie uit te voeren. Dit kan bijvoorbeeld het invoeren van gevoelige gegevens, het klikken op schadelijke links of het installeren van schadelijke software zijn. Een voorbeeld hiervan is een "Uw pakket is vertraagd-klik hier! SMS, waarbij de ontvanger wordt gevraagd om op een mogelijk schadelijke link te klikken. 

Sociale phishing

Social media phishing is een aanval via social media platforms zoals Facebook, Instagram, LinkedIn, X of andere. Het bericht kan heel vriendelijk overkomen in de vorm van gratis weggevertjes. Maar het kan ook angst inboezemen, zoals "Uw account is geblokkeerd". In alle gevallen is het vaak moeilijk om onderscheid te maken tussen zulke nepberichten en echte. 

Vishing (Spraakoproepen)

Vishing (d.w.z. voice phishing) verwijst naar de phishingaanval waarbij cybercriminelen telefoongesprekken gebruiken om het slachtoffer te manipuleren om belangrijke persoonlijke of zakelijke informatie te verstrekken. Een veelvoorkomend vishingvoorbeeld is het "Uw SSN is opgeschort", dat onmiddellijk angst inboezemt en het slachtoffer ertoe aanzet zo snel mogelijk actie te ondernemen. 

10 rode vlaggen: Wat kan een phishingbericht zijn? 

Er zijn rode vlaggen waar je altijd op moet letten als je jezelf wilt beschermen tegen phishingaanvallen. 

1. Dringende bedreigingen 

Voorbeelden van dringende bedreigingen zijn: "Uw account wordt binnen 24 uur gesloten!" "Uw account is geschonden." "Betaal nu om uw zakelijke account te behouden." Een gevoel van urgentie is een van de meest voorkomende elementen in phishingpogingen. Maar hoe dringend de situatie ook lijkt, neem altijd een stap terug, denk na en kijk of het echt zo dringend is als het op het eerste gezicht lijkt. 

2. Algemene begroetingen ("Beste klant" in plaats van je naam)

Hackers richten zich vaak op meerdere ontvangers tegelijk. Als gevolg hiervan kan het bericht vaak generiek overkomen en geen persoonlijke elementen bevatten. In plaats van uw naam ziet u bijvoorbeeld een "Geachte klant" of een "Meneer", zonder bijbehorende identificatie. Benader dergelijke algemene berichten altijd met de nodige voorzichtigheid.

3. Afzenderadressen die niet overeenkomen 

Let op het adres van de afzender en kijk of het overeenkomt met het legitieme adres. Kijk bijvoorbeeld naar deze: "[email protected]." Als je niet goed oplet, zie je misschien dat de letter "o" is vervangen door het cijfer "0". Zulke trucs komen vaak voor bij hackers. Om ze te herkennen, moet je gewoon voorzichtiger en oplettender zijn en alles dubbel controleren voordat je actie onderneemt.

Je kunt controleren of een link legitiem is door met de muis over de URL te gaan. Hoewel dit geen volledig beeld geeft, krijg je op zijn minst een basisidee van het patroon. Je kunt ook een online URL-checker gebruiken voor nauwkeurigere resultaten. 

5. Verzoeken om gevoelige gegevens (wachtwoorden, SSN, creditcards)

Zou jij je kind aan een vreemde geven alleen maar omdat ze het je vroegen? Waarschijnlijk niet. Waarom vertrouwen we vreemden dan zo gemakkelijk onze wachtwoorden, SSN, creditcards en andere gevoelige informatie toe? Wanneer je om gevoelige informatie wordt gevraagd, wees dan extra voorzichtig, anders kunnen de gevolgen schadelijk zijn voor je bedrijf. 

6. Slechte grammatica/spelling

Heb je verschillende stilistische, grammaticale of orthografische fouten gezien in één alinea? Of klinkt het bericht gewoon niet goed in je moedertaal? Dit is een goed teken om de bron te controleren voordat je op een link klikt. 

7. Ongebruikelijke bijlagen

Kijk altijd uit naar ongebruikelijke bijlagen, zoals .exe- of . zip-bestanden. Als je deze ziet, weet dan dat het bericht net zo goed een phishing-zwendel kan zijn. 

8. Te-goed-om-waar-te-zijn aanbiedingen 

Velen van ons hebben wel eens het bericht "Je hebt een gratis iPhone gewonnen!" gezien. Zo'n bericht is heel verleidelijk om op te klikken. Dat was het geval bij mijn jongere zusje, die er zo van overtuigd was dat ze een iPhone had gewonnen dat het mijn moeder en mij enkele uren kostte om haar van het tegendeel te overtuigen. Maar echt, waarom zou iemand je een duur cadeau geven, zoals een iPhone, zonder reden? Tenzij je gelooft in het "de Kerstman zal je belonen als je je het hele jaar goed gedraagt" verhaal, moet je begrijpen dat "te mooi om waar te zijn" aanbiedingen vaak niet waar zijn. 

9. Imitatie van vertrouwde merken 

Heb je een bericht gekregen van Microsoft, PayPal, Amazon of je vertrouwde bank? Vraagt het je om gevoelige informatie in te voeren of op een link te klikken? Controleer twee keer of het echt je vertrouwde entiteit is of gewoon een dreigingsacteur die zich voordoet als een imitator. 

10. Bedreigingen uitschrijven 

Uitschrijvingslinks zijn een vruchtbaar, gemakkelijk te gebruiken terrein voor hackers. Mensen vertrouwen afmeldkoppelingen meestal en bedreigers weten dit maar al te goed. Ze kunnen schadelijke koppelingen en bestanden in dit veld opnemen. Een ander voorbeeld is een bericht van het type "Klik hier of je betaalt $50/maand", waarin je wordt gevraagd actie te ondernemen om te voorkomen dat je geld moet betalen. In werkelijkheid betaal je meer als je op de link klikt. 

Voorbeelden van echte phishingberichten 

Hier zijn enkele voorbeelden van echte phishingmails.

Valse DocuSign-aanvraag

DocuSign is zich bewust van de heersende bezorgdheid over de beveiliging en heeft een artikel gepubliceerd met nuttige informatie over hoe je valse verzoeken die namens hen zijn verzonden, kunt herkennen. Ze raden aan dat je altijd moet zoeken naar de unieke beveiligingscode onderaan de e-mail met de DocuSign-enveloppemelding.

Voorbeeld van valse DocuSign-aanvraag 

Amazon "orderbevestiging" oplichterij

In het onderstaande voorbeeld staan veel fouten die je kunt ontdekken als je de e-mail zorgvuldig doorleest. Bijvoorbeeld, de "Bel ons gratis" regel wordt abrupt afgebrokenzowel qua logica als interpunctie. Vervolgens wordt in de volgende regel gevraagd om een nummer te bellen. Het adres van het pakket mist ook de straatnaam en is vreemd geformatteerd. De e-mail bevat ook typefouten die het echte Amazon bedrijf niet zou toestaan. Kortom, er zijn te veel rode vlaggen in deze ene e-mail.

Amazon orderbevestiging scam voorbeeld 

Belastingteruggaaffraude bij de IRS

De onderstaande e-mail probeert je te overtuigen om op de link "Check Your Refund" te klikken om je e-statement van je belastingteruggave te controleren. Hoewel de e-mail op het eerste gezicht legitiem lijkt, zou de echte IRS nooit contact contact met je opnemen via e-mail, sms of sociale media om je om gevoelige gegevens te vragen. Dit is iets wat alleen hackers zouden doen namens de IRS.

IRS belastingteruggaaf fraude voorbeeld 

Hoe bescherm je jezelf 

Er zijn veel stappen die je kunt nemen om jezelf te beschermen tegen phishing-aanvallen. 

Algemene tips

Hier zijn enkele algemene tips die iedereen kan volgen:

In plaats van op een link te klikken, moet je direct naar de bijbehorende website gaan. Dit zorgt ervoor dat je toegang krijgt tot de legitieme informatiebron in plaats van de valse, kwaadaardige bron. 

Gebruik multi-factor authenticatie 

Multi-factor authenticatie en 2FA omvatten een aanmeldproces in meerdere stappen. Met MFA moet je naast het wachtwoord andere informatie invoeren (bijvoorbeeld een wachtwoordcode) om toegang te krijgen tot je account. Dit voegt een beveiligingslaag toe, waardoor het moeilijker wordt voor hackers om toegang te krijgen tot je account. 

Houd software en browsers up-to-date.

Verouderde software en browsers creëren een open ruimte voor hackers om misbruik te maken van gevoelige gegevens. Door je systemen up-to-date te houden, kun je maximale veiligheid garanderen en hackers wegjagen. 

Tips voor bedrijven 

Hier volgen nuttige tips speciaal voor bedrijven: 

Regelmatige phishing-simulaties en bewustzijnstraining

Voorkomen is beter dan genezen. Voorbereiding is een vorm van preventie. Bereid jezelf en je collega's voor op dergelijke situaties. Of het nu gaat om het geven van training of het regelmatig uitvoeren van phishing-simulaties, door je team voor te bereiden kun je succesvolle phishing-aanvallen effectief voorkomen. 

Tools voor geavanceerde bescherming tegen bedreigingen 

Online platforms zoals PowerDMARC bieden een reeks geavanceerde beschermingstools tegen bedreigingen om je te helpen online beschermd te blijven. Gezien PowerDMARC's integratie met SecLyticskunt u profiteren van:

  • Uitgebreide informatie over voorspellende bedreigingen 
  • Meet de risicobeveiligingsscore van uw IP-adressen
  • Inzicht krijgen in uw huidige en potentiële cyberbedreigingen
  • Aanvalspatronen volgen 

E-mailverificatie (SPF, DKIM, DMARC)

SPF, DKIM, DMARC en andere protocollen voor e-mailverificatie bieden verifieerbare informatie over de herkomst van een e-mailbericht. Ze helpen providers te verifiëren of een bepaalde bron legitiem en betrouwbaar is. Daarom zijn ze een essentieel en onmisbaar onderdeel van e-mailbeveiliging en moeten ze maximaal worden benut. Als u e-mailverificatie nog niet hebt ingesteld, kunt u de onderstaande hulpmiddelen gebruiken:

Als je deze al hebt geïnstalleerd, maar wilt controleren of ze correct zijn ingesteld, PowerDMARC ook bijbehorende checkers voor elk. Deze zijn te vinden in onze Hulpmiddelen sectie.

Wat u moet doen als u op een phishing-bericht hebt geklikt

Hier zijn enkele stappen die je kunt nemen als je al op een phishingbericht hebt geklikt:

  1. Verbreek de verbinding met internet.
  2. Wijzig wachtwoorden onmiddellijk.
  3. Scannen op malware.
  4. Rapport aan Werkgroep Anti-Phishing.

Conclusie

Phishing-berichten zijn gebaseerd op vertrouwen en urgentie. Veel rode vlaggen kunnen je helpen begrijpen of een e-mail legitiem is of gewoon een phishing-zwendel. Dit kunnen urgente bedreigingen zijn, niet overeenkomende afzenderadressen, verdachte koppelingen, ongebruikelijke bijlagen, enz. Als je twijfelt, klik dan niet. 

Bescherm je domein vandaag nog tegen phishing met PowerDMARC. Aan de slag met een gratis DMARC-analyse en zie hoe eenvoudig het is om uw e-mail te beveiligen-geen technische vaardigheden vereist!

CTA

Laatste berichten van Milena Baghdasaryan (Bekijk alle berichten)
Microsoft Vereisten voor afzenders gehandhaafd - Hoe 550 5.7.15 afwij...Al mijn e-mails gaan naar spam - dit is wat u eraan kunt doen