Gebeld worden met de vraag geld over te maken. Het gebeurt en criminelen hebben er succes mee. Ze pakken dit zogenaamde ‘vishing’ dan ook steeds gewiekster aan.

Wat is het?
Phishing kennen de meeste mensen wel: je krijgt een e-mail met een link, zogenaamd van uw bank of energiebedrijf. Als u erop klikt komt u in een nepomgeving waar u kunt inloggen en zo worden uw gegevens gestolen. Phishing kan ook via de telefoon gebeuren. Voor die criminele telefoonfraude is een term gesmeed uit voice en phishingvishing.

Hoe werkt het?
Stel, u wordt gebeld door uw bank. Er is een verdachte inlogpoging geweest op uw rekening en nu is het noodzakelijk dat u uw geld veiligstelt door het op een andere rekening te zetten, een zogenaamde ‘kluisrekening’. De boodschap wordt met veel urgentie gebracht en de bankmedewerker helpt vriendelijk mee om de overboeking meteen uit te voeren. Hop: spaargeld weg.

Het overkomt mensen werkelijk. Dat het lukt is dankzij de gewiekste psychologische trucjes van de cyberoplichters. Maar ook dankzij spoofing: een willekeurige beller kan zich via VoIP vermommen als – bijvoorbeeld – het nummer van de bank. Deze oplichters spelen niet alleen bankje, maar ook bijvoorbeeld Belastingdienst (vordering, onmiddellijk te betalen) of computerbedrijf (er is iets mis en uw inloggegevens zijn nodig).

Het kan nog gekker: stel dat u op het werk gebeld wordt door uw hoogste baas, met de mededeling dat u meteen een fors bedrag moet overmaken naar een zeker bankrekeningnummer vanwege een uiterst belangrijke en vertrouwelijke kwestie. Het is niet volgens de normale procedure, maar verzekert uw baas, het moet nu echt op deze manier. En als de baas het persoonlijk zegt – u herkent zijn stem duidelijk –, tja, misschien beter niet te moeilijk doen. Dit overkwam een Brits energiebedrijf, waarvan de CEO een telefoontje kreeg van de topman van het Duitse moederbedrijf. Of hij even een bedrag van 220 duizend euro over wilde maken naar de Hongaarse leverancier. 

Wat deze variant van social engineering en vishing zo listig maakt, is dat er waarschijnlijk gebruik is gemaakt van kunstmatige intelligentie en deepfake audio waarmee iemands stem zeer goed is na te bootsen. Er zijn inmiddels verschillende manieren om die methode uit te voeren, en voor een aantal ervan hoef je echt geen raketgeleerde te zijn.

Wat doet u ertegen?
Technisch gezien kunt u zich er niet of nauwelijks tegen wapenen. Deepfake stemmen zijn er vrijwel niet uit te filteren en spoofing is ook niet technisch te signaleren (al heeft Apple naar verluidt een patentaanvraag gedaan op een techniek die spoofing herkent). Het komt dus aan op uw eigen tegenwoordigheid van geest.

Om te beginnen: wanneer ‘uw bank’ belt en vraagt geld over te maken, moeten alle alarmbellen gaan rinkelen. Een bank zal dit nooit telefonisch aan u vragen. Het is dus belangrijk om niet mee te gaan in het gevoel van stress dat de beller wil veroorzaken. Vraag rustig om telefoonnummer, naam en achternaam, en zeg dat u terugbelt. Bel vervolgens naar het echte nummer van uw bank. Dubbelcheck het telefoonnummer via de website.

Trap ook niet in dreigende taal wanneer iemand u belt namens de Belastingdienst bijvoorbeeld over een openstaande betaling die meteen voldaan moet worden. Woorden als beslaglegging en invorderingskosten zorgen bij veel mensen op zijn minst voor lichte paniek, maar trap er niet in. Maak geen geld over maar bel eventueel zelf de Belastingdienst als u denkt dat er echt iets aan de hand is.

Bent u benaderd door kwaadwillenden? Breng dan ook altijd de organisatie waarvoor ze zich voordeden op de hoogte. Zo kunnen ze ook andere mensen waarschuwen.

Deel dit:

Reacties

  1. Tjeerd says:

    Als je gebeld wordt en je hoort oebedoebedoebedoebedoebedoe dan moet er meteen een belletje gaan rinkelen. Is dit een kapmes-Schillenwijker? Is dit een brandkraanopendraai-mukmuk? Trap er niet in!

  2. Marco Rinkel says:

    Ja leuk he al die administratieve mogelijkheden per computer. Als we gewoon met acceptgiro’s en overschrijvingskaarten blijven werken hebben we al de fraudulente handelingen niet. Met WhatsApp wordt je bloedeigen moeder ook al om de tuin geleid door iemand die zich voordoet als haar kind, want de informatie over het kind ligt blijkbaar voor het grijpen klaar op het wereldwijde web.

    • anoniem says:

      Daar ben ik het niet helemaal mee eens.. Mijn indruk is dat jongere generaties er meer bewust van zijn wat ze op internet zetten dan de oudere.. Maar het internet is dan niet ontworpen met privacy als uitgangspunt..

  3. J. Hennink says:

    Het is ook een heel lastig probleem, omdat ook bedrijven zelf er niet echt zorgvuldig mee om gaan Zo ontving ik van mijn internetprovider een bericht, waarbij bij mij de alarmbellen afgingen. In de aanhef stond mijn E-mailadres en niet mijn naam. Meteen geverifieerd op de site: en inderdaad, daar stond expliciet dat zij mails uitsluitend met persoonlijke aanhef sturen. Dus meteen contact opgenomen met de provider en toen bleek dat die mail toch van die provider te komen. Op mijn opmerking dat dat in strijd was met de tekst op de eigen pagina over phishing werd nogal laconiek gereageerd.
    Dan heeft dat soort waarschuwingen ook weinig zin…

Leave a Reply

Your email address will not be published. Required fields are marked *