Adventskalender dag 5: Phishing per SMS kost 1 miljoen
De cybersecurity adventskalender dag 5
Vandaag staat mijn cybersecurity adventskalender (dag 5) in het teken phishing en met name van phishing per SMS. Verder tref je onderin dit artikel een cadeau aan.
UPDATE: KLIK HIER voor de adventskalender quiz van december 2020!
Hoe kan het nu dat we een schrikbarende toename zien van het aantal succesvolle pogingen van Phishing per SMS? Ik denk simpel door het volgende: voorlichting is door organisaties en de overheid gedaan door phishing alleen te koppelen aan met medium e-mail. Zelfs op WIKIPEDIA staat het nog steeds incompleet geschreven. Zelfde is de voorlichting over het ‘slotje in je browser’. De communicatie suggereerde tot eind 2017 ‘als je een slotje ziet is het goed’. Pertinente onzin: ook een crimineel kan achter een website met een slotje zitten.
Gedupeerden Phishing per SMS neemt toe!
Het aantal meldingen van cybercrime via sms neemt sterk toe. In 2019 hebben in de eerste drie kwartalen van 14.686 mensen aan de Fraudehelpdesk laten weten dat zij via sms zijn benaderd door internetcriminelen.
Eén op de 10 Nederlanders heeft weleens op een foute link geklikt in een phishingmail, -appje of -sms, blijkt uit het Alert Online-onderzoek 2019. Een groot deel van hen werd slachtoffer. De totale schadepost van cybercrime loopt flink op. Bij de Fraudehelpdesk is tot oktober dit jaar al voor € 1.105.987 aan schade gemeld. Daarmee is het totale schadebedrag uit 2018 van € 862.223 al ruimschoots overschreden.
Hoewel 1 op de 10 Nederlanders weleens op een phishinglink heeft geklikt, weet het gros van de Nederlanders wel wat phishing is: internetcriminelen sturen een bericht via mail, app of sms en doen zich voor als een bekende instantie, zoals de Belastingdienst, CJIB, incassobureau, bank of telecomprovider. De oplichters proberen zo persoonlijke informatie los te krijgen zoals inlog- of bankgegevens.
Smishing = Phishing per SMS!
Helemaal van de gekke is dat marketeers een nieuwe term hebben verzonnen genaamd ‘smishing’. De organisaties die dit woord groot helpen worden moeten zich diep schamen vind ik. Door door het introduceren van allerlei nieuwe termen snapt de massa er straks helemaal niets meer van en loopt men weer meer gevaar. Uit onderzoek blijkt dat 79% van alle Nederlanders inmiddels weet wat phishing is en dat is goed nieuws. Phishing = Phishing, of het nu via e-mail, SMS, Facebook of Instagram wordt aangeboden.
Is dit serieus een groot probleem?
Jazeker! Zie hierboven de meldingen aan de fraudehelpdesk! En die mensen hebben de moeite genomen om te melden. Zelf denk ik dat dit eerder meer dan een miljoen Nederlanders zullen zijn die al zijn benaderd, dus we praten over een groot probleem.
Verder: op 4 december 2019 werd bekend dat een man uit Noord-Nederland bijna een miljoen euro is kwijtgeraakt door phishing per SMS. Hij kreeg een SMS die lijkt op een van de onderstaande SMS-berichten die ik onlangs mocht ontvangen. Je noemt dit ook wel SMS-spoofing. Lees onder verder wat dit is en hoe het werkt.
TIP: Heb je interesse in inspiratie tijdens je managementmeeting, klantendag of afdelingsoverleg? Stuur mij een WhatsApp of klik hier om je gegevens in te vullen.
Hoe werkt dit?
In het bovenste voorbeeld zie je dat de criminelen zelfs de afzender manipuleren. Deze is zo gestuurd alsof deze van ING zelf afkomt. Deze staat dan tussen de berichten die ING jou zelf heeft verstuurd en daar zit denk ik het grootste probleem. Men vertrouwt daardoor direct de afzender, terwijl die is gemanipuleerd.
Wat er hier gebeurt is dat cybercriminelen gebruik maken van SMS spoofing. Voor een paar tientjes koop je die dienst en kun je aan de slag. Kort gezegd: ze sturen een bericht dat als afzender heeft bijvoorbeeld Rabobank, ING, ABN AMRO et cetera. Je vertrouwen wordt daardoor gewekt! Een dienst die bijvoorbeeld ook door veel tandartsen en garagebedrijven wordt gebruikt om klanten een herinnering per SMS te sturen. Wat je doet is het telefoonnummer waar je SMS-jes mee verstuurd vervangen door alfanumerieke tekst, bijvoorbeeld ‘naam van jouw tandarts’ en criminelen dus ‘de naam van jouw bank’.
Phishing is toch alleen in e-mail?
Nee, dat ligt anders. In dat SMS-je staat immers ook een link, die precies hetzelfde kan doen als een linkje in jouw e-mail. Helaas hebben veel campagnes de fout gemaakt om phishing te koppelen aan het medium e-mail. Ze hebben het vaak over een link in een e-mail en niet specifiek in social media / SMS en berichtendiensten zoals WhatsApp. Dus onthoud: geen linkjes aanklikken geldt dus niet alleen voor e-mail maar voor alle kanalen die jij gebruikt.
Klik ik dan op dat bericht in die SMS?
Dat zou kunnen. De berichten die je krijgt zijn immers heel gemeen! Wanneer je bijvoorbeeld vlak voor kerst zo’n bericht ontvangt kun je denken ‘oh jee mijn betaalpas verloopt’ en klik je voor je er erg in hebt, want je moet jouw kerstinkopen nog doen.
Ze komen binnen op jouw smartphone (dus je reageert anders dan op e-mail, het komt directer binnen bij jou als mens). Als je dan in een seconde ziet dat het van je bank komt en een bericht bevat waar je direct op moet reageren dan kan jouw reptielenbrein in werking treden en jou ‘laten klikken’. Het reptielenbrein (oudste deel van de hersens) zorgt ervoor dat we de wil hebben om te overleven. Dit deel van de hersens zorgt ook dat we b.v. willen eten of voorplanten.
En als ik klik…
In veel gevallen kom je dan terecht op een nagemaakte website waar criminelen jou proberen te verleiden om in te loggen, om op die wijze jouw gegevens in handen te krijgen. Ze bouwen in een paar minuten de website van de bank na, voorzien deze ook nog ‘van een slotje’ om nog meer vertrouwen te wekken en het slachtoffer voert nietsvermoedend persoonlijke gegevens in. Dit is een reëel scenario, bijvoorbeeld omdat uit landelijke campagnes is geleerd dat alle sites met een slotje te vertrouwen zijn (dat denken veel consumenten). Ook deze voorlichting was net als de voorlichting rondom phishing niet compleet. Immers: achter een website met een slotje kan ook een crimineel zitten. Omdat het er vertrouwt uitziet doe je dat ook gemakkelijk. Op dat moment liggen jou gegevens in de handen van de criminelen.
Waarom merk ik het niet meteen?
Wat er vaak gebeurt is dat wanneer het slachtoffer heeft proberen in te loggen op de nep-website (en de criminelen zo alles hebben ontvangen), de website van de criminelen heel snel gaat naar de daadwerkelijke loginpagina van de bank. Het slachtoffer probeert nog een keer in te loggen en dat lukt. Men denkt dan dat er zelf een fout is gemaakt bij de eerste poging, maar die eerste poging was dus de website van de criminelen en de tweede de echte website van de bank.
Zo ook de man die op 4 december 1 miljoen verloor… In zijn SMS stond een link naar een nagemaakte website van de bank. Daar werd de man gevraagd naar zijn gegevens, omdat zijn bankpas verlopen scheen te zijn. Hij heeft de gegevens ingevuld en zo hebben de criminelen zijn gegevens ontvangen en zijn bankrekening geleegd.
Wordt de schade vergoed?
Dat denk ik niet, immers jij hebt je inloggegevens weggegeven. Er is wel een discussie ontstaan die op dezelfde dag dat het nieuws over de consument die 1 miljoen kwijt kwam. Zo onderzoekt het OM de zaak nu in detail, omdat de 1 miljoen euro is weggesluisd via 136 ‘geldezels’. Geldezels zijn mensen die hun bankrekening tijdelijke ter beschikking stellen op geld te parkeren en delen vaak mee in een percentage van de opbrengst. Dit is strafbaar (maximale gevangenisstraf 6 jaar). Zorgwekkend is dat steeds meer geldezels jongeren betreft die via Instagram worden benaderd om mee te doen.
Terug naar ‘trage overboekingen’?
Wat ik zelf bizar vind is dat er schijnbaar geen enkel systeem op slot springt bij de bank wanneer er in 136 keer een miljoen euro wordt afgeschreven. We willen alles sneller, sneller en sneller. Is dit dan het resultaat. Wat was er een paar jaar geleden gebeurd toen het nog een dag in beslag nam voordat iets werd afgeschreven, hadden detectiesystemen het toen wel herkend? Was het geld toen tegengehouden? Is het een idee dat snelle overboeken terug te draaien of de klant de keuze te geven in de software van het account een vertraging in te stellen?
Maak SMS-spoofing onmogelijk!
Verder is het ongelooflijk dat SMS-spoofing gewoonweg nog mogelijk wordt gemaakt door telefoniebedrijven en via dit soort diensten. Handig om een herinnering van de tandarts of je garage te krijgen, maar moeten we geen afscheid nemen nu blijkt dat dit een bijdrage levert aan cybercrime?
Daarmee kun je de smartphone iedere naam die jij wenst laten verschijnen als afzender. Mensen: hoe moeilijk is het om daar een lijst van ALLE banken in te importeren en pro-actief te blokkeren als zo’n naam wordt gebruikt? Net als Google doet: daar kun je ook niet zomaar Adwords inkopen met de naam van de concurrent.
Ik denk dat dit net-afzender de grootste bijdrage heeft waarom iemand zo’n bericht vertrouwd.
Wat als je wel gegevens hebt ingevuld
Heb jij gegevens ingevuld voor wat betreft jouw creditcard, bel dan direct de alarmlijn van de creditcardmaatschappij. Zij zijn 24 uur per dag bereikbaar en het telefoonnummer staat achterop jouw creditcard.
In geval van het ingeven van jouw wachtwoord voor een bepaald account: wijzig direct jouw wachtwoord op dat account en verander ook alle andere accounts waar je hetzelfde wachtwoord gebruikt. Tips over wachtwoordgebruik tref je ook hier aan.
Heb je jouw e-mailadres achtergelaten verwacht dan dat je spam gaat ontvangen. Een advies is om in die berichten jezelf nooit af te melden aangezien je dan nog meer spam zult ontvangen.
Heb je per ongeluk betaald, neem dan direct contact op met jouw bank.
Tenslotte
Verwijder vanaf nu iedere e-mail en iedere SMS-je en appje dat van een instantie komt zoals de belastingdienst, verzekeringsmaatschappij of een bank. Gewoon niet meer op reageren. En pas op voor het volgende: cybercriminelen kunnen ook brieven per post sturen, trap daar ook niet in!
Cadeau: gratis les voor jouw onderwijsinstelling!
Zoals beloofd geef ik een cadeau weg op 5 december. Wanneer jij een onderwijsinstelling kent met kinderen tussen de 12 en 15 jaar dan bied ik hierbij een gratis dubbel lesuur aan voor maximaal drie klassen. Ik kom een dag les geven over Cybercriminaliteit, cyberpesten en doe een interactieve quiz. Vervolgens gaan we samen aan het einde van de les met de jongeren die het willen hun Snapchat, e-mail en Instagram extra beveiligen. Reageer door dit formulier in te vullen, wie het eerst komt het eerst maalt.
In november 2019 gaf ik deze les op Aruba aan 4 klassen.
Inspiratie en vragen jouw organisatie beschermen tegen hackers?
Een concrete actie kan zijn om mij binnen jouw organisatie een masterclass of inspiratiesessie te laten organiseren. Ik ben sinds 1992 online en met internet(beveiliging) bezig en communiceer op een toegankelijke manier.
Zo geef ik sinds 2005 openbare lezingen over dit onderwerp en over hoe organisaties nu effectiever medewerkers kunnen laten samenwerken. Cybercrime en cybersecurity awareness is daar een onderdeel van. Ik publiceerde in 2017 mijn boek Reset! Het boek wordt vaak als cadeau gegeven aan de medewerkers tijdens een masterclass of inspiratiesessie.
Heb je interesse in inspiratie tijdens je managementmeeting of afdelingsoverleg? Stuur mij een WhatsApp of klik hier om je gegevens in te vullen.
Neem contact op met Erik Jan
Laatste berichten
Mijn 17e digitale detox in 2021 – Doe je mee?
31 juli 2021
Sorry, the comment form is closed at this time.