Zelfs het aquarium is niet te vertrouwen: 7 vormen van cyber-diefstal

1. Een vals mailtje

Van alle methodes om ons online geld af te troggelen blijft phishing onder cybercriminelen onverminderd populair: het hengelen naar (bank)gegevens, meestal door middel van een doortrapt mailtje. Eén verkeerd linkje aanklikken en ze zijn binnen. Dat opent de deur voor tal van digitale berovingen, zoals bestellingen via jouw account bij webshops of online betalingen met buitgemaakte creditcard- of andere betalingsgegevens.

Zeventig procent van alle hackaanvallen gebeurt met een phishingmail. Zo pakte de Nederlandse politie onlangs een man op die ervan wordt verdacht vijftien- tot twintigduizend adverteerders op Marktplaats.nl met geautomatiseerde phishingacties te hebben benaderd. Zij werden naar een nepversie van een bankwebsite gestuurd waar hij hun betalingsgegevens kon onderscheppen om geld over te boeken of aankopen te doen.

2. Waar blijft het salaris?

Sinds een kleine maand komen er meldingen over oplichters die salarisbetalingen hebben onderschept. "Van de melders was het e-mailaccount gehackt," zegt Tanya Wijngaarde van de Nederlandse Fraudehelpdesk. "Hoe? Waarschijnlijk door een ouder datalek waarbij de inloggegevens op straat kwamen te liggen."

De fraude kwam aan het licht toen deze medewerkers bij hun werkgever aan de bel trokken omdat ze nog geen salaris hadden ontvangen. Wat bleek: ze zouden zelf een mail hebben gestuurd met het verzoek het loon op een andere rekening te laten storten. Die berichten kwamen echter van fraudeurs die hun inloggegevens hadden bemachtigd.

Heb je een vermoeden dat je e-mail is gehackt? Verander dan je wachtwoorden, óók van andere accounts zoals bank(en), webshops en sociale media. Via Haveibeenpowned.com kun je checken of je e-mailgegevens gelekt zijn bij een bekend datalek. Kom je niet op die lijsten voor, dan is dat overigens geen garantie dat inloggegevens níet in verkeerde handen zijn gevallen, dus verander je wachtwoorden regelmatig.

3. Contactverzoek via sociale media

Cybercriminelen weten dat je gevoelige informatie ook kunt binnenhalen door er simpelweg naar te vragen. Dat heet social engineering: het opzoeken van de menselijke kwetsbaarheden. Ze maken profielen van hun doelwitten om de beste opening te vinden, met hulp van Google, socialemedianetwerken en een persoonlijke benadering. Het resultaat kan een misleidend mailtje zijn, maar ook een bezorgd telefoontje dat zogenaamd van een servicedesk komt, een valse advertentie op een online handelsplaats of een slimme ingang op sociale media.

Zo hebben Linkedin en Facebook veel last van nepaccounts. Om een groot netwerk te krijgen, zijn gebruikers van deze platforms al gauw bereid een connectieverzoek van een vreemde te accepteren. Een crimineel kan vanuit zo'n connectie al veel informatie over je verzamelen, zoals je werkkring, opleidingen, andere relaties en eventuele contactgegevens. Pas daarom goed op wie je toelaat. Kijk naar gedeelde connecties en de omvang van het netwerk, maar ook naar rariteiten waaraan je phishingmails vaak herkent: slecht taalgebruik, een vreemde boodschap of een vorm van druk of dreiging.

4. Een verzoekje van de baas

'Ceo-fraude' is een variant van social engineering waarmee vrijwel uitsluitend bedrijven en werknemers te maken krijgen. De eerste stap is wel altijd persoonlijk mailcontact. De dader benadert een medewerker van een bedrijf alsof hij zelf de algemeen directeur (ceo) of een andere hooggeplaatste functionaris is. Het verzoek is vriendelijk maar met enige urgentie, bijvoorbeeld om een betaling uit te voeren om "onderhandelingen te bespoedigen".

De overeenkomst met de salarisroof is dat iemand die daartoe bevoegd is de overboeking doet. Dat maakt het lastig om tijdig te ontdekken dat het verzoek van een fraudeur kwam, laat staan om het nog terug te draaien. Banken en verzekeraars zullen de geleden schade niet vergoeden, het buitgemaakte bedrag is immers volgens de reguliere kanalen door een bevoegde overgeboekt.

"Bij meldingen van ceo-fraude gaat het meestal om goed gelijkende e-mailadressen en niet zozeer om hacking van accounts," zegt Wijngaarde. De fraudeur heeft dan bijvoorbeeld twee letters in de naam verwisseld, of een nulletje op de plek van de letter O gezet.

5. Een sms'je van familie of vriend

Dat ziet Wijngaarde ook bij het groeiend aantal meldingen van Whatsappfraude, waarbij de afzender ogenschijnlijk een bekende is. Of je even wat kunt voorschieten. Uiteraard komt zo'n berichtje niet uit de lucht vallen. Het slachtoffer heeft eerder een appje gekregen dat zijn familielid of vriend een nieuw nummer heeft, waarbij de profielfoto van de persoon in kwestie gewoon ergens van internet is geplukt.

Het aantal fraudegevallen in 2018 is nu al verviervoudigd ten opzichte van vorig jaar, meldt de Fraudehelpdesk, met een schadebedrag rond de 100.000 euro. Gedupeerden zijn gemiddeld 2000 euro kwijt.

6. Een sms'je van de bank

Krijg je een sms'je van de bank? Open dan geen linkjes, want die leiden net als bij phishingmails zeer waarschijnlijk naar een valse website waar oplichters je gegevens opvangen. Een bank zal nooit een tekstberichtje sturen over betalingen. De sms'jes komen met variërende boodschappen, zoals een openstaande incasso, het koppelen van de scanner of reader, of 'om te voorkomen dat de rekening wordt opgeschort'.

7. Inbraak via het aquarium

Steeds meer apparaten in huis communiceren met internet om gegevens te versturen of te ontvangen. Denk aan webcams, slimme thermostaten, routers, audioreceivers, videostreamers en opslagapparaten in je netwerk. De wildgroei van dit zogeheten Internet of Things (IoT) maakt deze apparatuur tot een interessant doelwit, vooral omdat de beveiliging ervan doorgaans niet op orde is. Dan kan zo'n slimme thermostaat zomaar toegang tot je netwerk verschaffen.

Zo konden criminelen vorig jaar in de Verenigde Staten data bij een casino stelen via een aquarium dat met internet was verbonden om temperatuur en zoutgehalte van het water en het voerschema van de vissen te regelen.

Die apparaten zijn voorzien van standaard gebruikersnamen en wachtwoorden. Zorg er daarom voor dat je die direct aanpast. Ook is het van belang updates altijd meteen uit te voeren en je IoT-apparatuur van antivirussoftware te voorzien.