Ecommerce online shopping black friday
18 november 2020 / Verdieping

Black Friday en Cyber Monday: jaarlijks phishingfeest loopt uit de hand

Eind november vieren we jaarlijks enkele overgewaaide consumentenfeestjes. Terwijl Black Friday en Cyber Monday ingeburgerd raken, worden ook hackers steeds meer fan van deze nieuwe tradities. Dit jaar nog meer dan anders.


De voorbije tien jaar gebeurde er iets opmerkelijk: hoewel geen enkele Europeaan Thanksgiving viert, wonnen de koopjesgerelateerde neveneffecten van deze feestdag jaar na jaar aan populariteit in onze contreien. Met die toenemende aandacht wonnen Black Friday en Cyber Monday ook bij hackers heel wat aan populariteit. De reden is simpel: er speelt zoveel verwarring dat ze daar makkelijk gebruik van kunnen maken. Dit jaar, met Covid-19 en zijn uitwassen, is het gevaar dan ook extra groot.

Wat is ‘Black Friday’ en waarom vieren we het?

Met Thanksgiving gedenken Amerikanen (en Canadezen een maand vroeger) elk jaar hoe hun voorouders brood braken met de Native Americans die hen hielpen met de oogst. De dag nadien, steeds een vrijdag, krijgen de meeste Amerikanen vrijaf, wat voor hen het geschikte moment is om hun aankopen voor de eindejaarsfeesten te beginnen. Een goed excuus voor grote ketens om te toveren met kortingen, waardoor deze dag steeds een gigantische massa aantrekt. Vandaar de naam ‘Black Friday’.

De hele geschiedenis van de koopjesfeesten – en zelfs de etymologie van de termen – hebben in Europa dan ook geen enkele achtergrond. De koopjes waaiden over omdat handelaars best nog een dagje konden gebruiken tussen de zomersolden en het eindejaarsseizoen. Vele consumenten zullen dan ook geen idee hebben waar beide dagen vandaan komen of wat hun achterliggende reden is.

Authentieke domeinen herkennen wordt een haast onmogelijke taak.

Als een legitiem bericht al verdacht lijkt

Waarom is dit jaar dan zo speciaal? Simpel: hackers teren op verwarring bij hun (mogelijke) slachtoffers. Ze proberen mensen in de fout te laten gaan door hen onder druk te zetten. ‘Klik snel als je wilt winnen.’ Of: ‘Als je niet meteen inlogt, vervalt je account.’ Mensen slaan in paniek en geven hun inlog- of bankgegevens prijs.

Met pakjes is dat eveneens het geval: we vergeten vaak wat we online bestelden, of we zijn onnauwkeurig in de opvolging ervan. Bovendien werken alle pakjesdiensten op hun eigen manier, waardoor je al eens een zending uit het oog verliest. Wanneer je dan een e-mail of sms krijgt over een zending, met een herinnering, of zelfs een waarschuwing, dan tasten vele ontvangers vaak in het duister. ‘Waar ging dit ook alweer over?’

Daar komt nog eens bovenop dat bevestigingssmsjes van leverdiensten – om je bijvoorbeeld te waarschuwen dat je binnenkort een pakje mag verwachten – er àltijd verdacht uitzien, zelfs al zijn ze legitiem. De hyperlink in zo’n bericht lijkt maar zelden op een domein waar je zelf naartoe zou surfen. Het wordt dan wel erg moeilijk om authentiek van vals te onderscheiden.

Christmass tree peak star decoration

We zijn zelfs nog niet aan de eindejaarspiek

Als een legitiem verzoek de wenkbrauwen al doet fronsen, dan belooft dat niet veel goeds voor wat ons nog te wachten staat. Slaat de verwarring nu al regelmatig toe, dan dreigt dat probleem de komende weken exponentieel te zullen groeien. De periode tussen Black Friday en Nieuwjaar zien we de perfecte storm opsteken: uit onderzoek blijkt dat het aantal Black Friday- en Cyber Monday-gerelateerde berichten al verdubbelde ten opzichte van vorig jaar – verschillende weken vóór de koopjesdagen plaatsvinden, een teken aan de wand.

Dat heeft rechtstreeks te maken met de coronapandemie; die houdt verschillende Europese landen namelijk nog steeds zodanig sterk in de ban dat verschillende regio’s in lockdown zijn. Op veel plaatsen is de horeca toe, zijn alleen nog essentiële winkels open en is iedereen aangewezen op het distributienetwerk van online handelaars. Het aantal pakjes die vandaag onderweg zijn, leidde bpost er zelfs toe de ongelukkige uitspraak te doen dat ‘5% van alle pakjes door de consument zelf opgehaald moeten worden in een postpunt’. Een situatie waar niemand blij van wordt.

Verwarring doet fouten maken

Verschillende handelaars roepen al enkele weken op om de échte eindejaarspiek – want die zit er zelfs nog aan te komen – voor te zijn. Zij verwachten dat vele pakjes ettelijke dagen (of zelfs weken) langer onderweg zullen zijn dan voorzien. De consument wordt aangeraden daarom nu al te bestellen, waardoor het pakjesvolume tot en met het eindejaar ongezien hoog zal zijn. Er is simpelweg geen alternatief voor het kerstshoppen.

De pakjesdiensten krijgen het hard te verduren, maar dat betekent ook voor de consument een gevaar dat nooit zo dreigend was: het vraagt een haast bovenmenselijk organisatietalent om alle bestelde pakjes nauwgezet op te kunnen volgen.

Waar zit pakje ‘x’ momenteel? Wanneer komt pakje ‘y’ toe? Waar moet ik heen om pakje ‘z’ op te halen? De verwarring slaat toe. ‘Behulpzame smsjes’ om ons te informeren over de status van onze bestellingen worden dan al snel een makkelijke val waar velen zullen intrappen. Mensen zullen klikken dat het een lieve lust is. ‘Welk pakje was dit ook alweer? Snel even controleren.’

Als er verwarring heerst, zullen mensen vaker wel dan niet klikken.

Actua doet klikken

Verwarring en nieuwsgierigheid: het zijn de belangrijkste wapens voor hackers. Mensen willen overal het fijne van weten, en liefst zo snel mogelijk. Uit onze eigen simulaties blijkt dan ook dat phishingmails met een relevant actuahaakje het altijd goed doen. Mensen klikten het voorbije jaar gretig op alles wat te maken had met het nieuwe coronavirus. Als je een e-mail ontvangt met als onderwerp ‘nieuwe coronamaatregels op de werkvloer’, doe je er daarom altijd goed aan om te controleren of het bericht wel degelijk van je werkgever komt.

De actua van de voorbije week zal hackers en phishers ongetwijfeld in de hand spelen. Niet alleen was er het bericht van bpost, ook de Belgische premier Alexander De Croo kwam met een opmerkelijk bericht naar buiten: hij zou gaan samenzitten met enkele grote ketens om Black Friday en Cyber Monday ‘uit te stellen’ naar een later tijdstip.

Op zich geen probleem, aangezien beide ‘feestdagen’ geen tijdsgebonden haak hebben in onze cultuur, maar de ketens weigerden toch. Je kan er gerust op rekenen dat cybercriminelen de ontstane verwarring ten volle zullen uitbuiten. Krijg je de komende we(e)k(en) een bericht van een leverdienst met als onderwerp ‘opgelet, er zijn wijzingen aan onze promoties, log nu in!’ dan weet je dat je voorzichtig moet zijn.

Wat kan je doen?

Voorkomen is nog altijd beter dan genezen. Train jezelf en je werknemers zo goed en zo veel mogelijk om phishingberichten te leren herkennen. Door regelmatig in contact te komen met (een onschadelijke variant) van phishing, ontwikkel je een afweersysteem dat zonder problemen kan omgaan met een echte phishingpoging.

Je kan het vergelijken met een vaccinatie: een onschadelijk gemaakt virusdeeltje wordt in het lichaam ingebracht zodat je immuunsysteem op de juiste manier te reageren op een echte dreiging. Met het geautomatiseerde platform van Phished doe je net hetzelfde: mensen worden op basis van hun gewoontes en opgedane kennis getraind om op een correcte manier phishingpogingen te herkennen en er op de juiste manier mee om te gaan.

Vergeet nooit dat iedereen vatbaar is voor phishing. Iédereen loopt gevaar en is gebaat bij een opleiding. Black Friday en Cyber Monday zorgen voor een extra risico, zorg ervoor dat jij en je medewerkers gewapend zijn!


Logo voor CTA website
Nieuwsbrief

Schrijf je in op onze nieuwsbrief!