Wat is vishing?
Wanneer phishing gebeurt per telefoon, spreken we van vishing. Hoe herken je het en hoe ga je er best mee om?
Terwijl phishing als geheel erg afhankelijk is van een fenomeen dat we omschrijven als ‘social engineering’, geldt dat voor vishing (een samentrekking van voice en phishing) nog veel meer.
Hoe werkt vishing?
Meestal gaat het zo: je vult je persoonlijke gegevens in op een website nadat je op een malafide link hebt geklikt. Wellicht deed je dat omdat het bericht dat je kreeg je wist te overtuigen dat er een probleem was met één van je accounts, of misschien was er wel sprake van een achterstallige factuur?
Nadat je je gegevens hebt ingevoerd, word je gebeld door iemand die zich voordoet als een medewerker van (bijvoorbeeld) jouw bank, met de mededeling dat er plots verdachte activiteit is op jouw rekeningen. Ze proberen je vervolgens te overtuigen om – samen met hen – de mogelijke hackers te slim af te zijn en ze zullen voorstellen om je geld ‘tijdelijk’ te versluizen naar hun ‘veilige rekening’. In werkelijkheid gaat het om vishing en schrijf je je geld weg naar rekeningen waar de echte bank niet meer aan kan.
Soms word je gebeld zonder dat je eerst zelf gegevens hebt ingevoerd. In dat geval te profiteren van een eerder gegevenslek van een website waar je een account hebt. Of ze proberen je te overtuigen met de melding dat je een pakje zal ontvangen, maar dat er eerst nog douanekosten moeten worden betaald.
Hoe herken je vishing?
Vishing herkennen doe je grotendeels op dezelfde manier als voor phishing. Zo zal je merken dat je je een actie willen laten ondernemen. Ze zullen druk op je zetten door te zeggen dat het dringend is. Vaak is de timing van het telefoontje eveneens verdacht: zo zal je doorgaans binnen de 24 uur nadat je je gegevens hebt ingevuld al iemand aan de lijn krijgen – soms zelfs al binnen het uur.
Bedenk dat een bank je nooit zal vragen om je inlogcodes, dat dienstenleveranciers je zullen aanspreken met je klantnummer, maar dat jij altijd degene bent die de voorgestelde acties moet uitvoeren.
Hoe voorkom je vishing?
Vishing is vaak succesvol omdat de persoon die jou probeert te phishen je zal contacteren met informatie waarvan je zou verwachten dat een imitator er niet over beschikt. Als je in de vorige stap je gegevens hebt ingevuld op een nagemaakte inlogpagina, dan heb je die natuurlijk net zelf in handen gegeven van de aanvaller. Als ze jou dan opbellen, spreken ze vanuit een positie die vertrouwen opwekt.
Bedenk dat een bank je nooit zal vragen om je inlogcodes, dat dienstenleveranciers je zullen aanspreken met je klantnummer, maar dat jij altijd degene bent die de voorgestelde acties moet uitvoeren. Denk daarom steeds goed na over wat er van je wordt gevraagd, durf kritisch te zijn en haak desnoods in – als je zelf belt naar het officiële nummer van de dienst ben je zeker dat alles legitiem verloopt.