Phishing-scams en ransom-pogingen nemen de komende jaren sterk toe

7 minutes

De afgelopen jaren is er een sterk stijgende trend waargenomen in het aantal Phishing-scams en ransom-pogingen. Dit is een direct gevolg van het toenemend inzetten van bedrijven op digitale facturering, zo blijkt uit onderzoek van onderzoeksjournalist Art Huiskes.

 

Inzetten op ‘Mijn Omgeving’

Nationale toepassing van de ‘Mijn Omgeving’ (bijvoorbeeld Mijn Santander, Mijn Ferratum, etc) vormt de enige mogelijkheid om deze trend tegen te gaan. Banken en de overheid moeten zich in alle ernst afvragen of zij hier niet een meer sturende en voortrekkende rol in kunnen vervullen.

Deze veilige betaalomgeving biedt meerdere mogelijkheden om ransomware van zijn belangrijkste medium te beroven.

Waarschijnlijker is echter dat er pas serieus actie zal worden ondernomen wanneer phishing en ransomware volstrekt onbeheersbaar dreigen te worden.

Gezamenlijke maatschappelijke inspanning

Tot enkele jaren geleden leek het er serieus van te komen: een gezamenlijke maatschappelijke inspanning om phishing-scams een halt toe te roepen. Overheidsinstanties, banken en verzekeraars gingen samen de strijd aan tegen phishing.

Er werden serieuze pogingen ondernomen, gericht op het ontmoedigen van het versturen van linkjes via email. Zodat u er als consument op kon vertrouwen dat noch de overheid, noch banken of verzekeraars u inlog- of betaallinks via email zouden toesturen.

Daardoor was het relatief eenvoudig zowel phishing-mails als malafide links naar ransomware (gijzelsoftware) direkt als vals te herkennen en meteen te weggooien. Probleem opgelost, toch?

Enorme groei van betaalverzoeken via sociale media

Helaas heeft de verregaande adaptatie van sociale media in combinatie met het toenemend inzetten van bedrijven op digitale facturering gezorgd voor een exponentiële toename in malafide praktijken. Wat is er aan de hand?

Steeds meer bedrijven ontdekken de voordelen van facturering via sociale media. Laagdrempelig, betrouwbaar en vlot factureren via mail, sms of app.

Met de opkomst van digitale betaaldiensten zoals o.a. AcceptEasy (voorheen AcceptEmail), Mail to Pay en Tikkie lijkt de strijd tegen phishing en ransomware weer vol in de achteruit te zijn geschakeld. Het wordt namelijk steeds normaler om een betaallink toegestuurd te krijgen via email, sms of app.

Een bonafide Tikkie dat u toegestuurd krijgt van een vriend of bekende is over het algemeen nog prima te onderscheiden van een malafide betaallink.

Maar met het versturen van acceptemails of mails to pay wordt die scheidslijn al een stuk vager. Gelijkende mails met malafide betaallinks zijn namelijk uiterst eenvoudig te falsifiëren door de gemiddelde internetcrimineel.

Zie het onderscheid maar eens te maken tussen een echte en een valse acceptemail of mail to pay. Dat vergt een zorgvuldig nagaan of uw aanbieder dergelijke mails überhaupt verstuurt, of u een dergelijk betaalverzoek verwacht en uiteindelijk het checken welke URL er precies achter de link of button schuil gaat.

Misschien toch nog even bellen met de klantenservice om na te gaan of er daadwerkelijk een dergelijke email naar u is verzonden?

Het zal u dus niet verwonderen dat dit voor veel mensen vanwege hun drukke bestaan te veel gevraagd is.

Dit betekent dus winst voor de internetcrimineel die zijn hand er niet voor omdraait om duizenden of tienduizenden van dit soort mailtjes te versturen. Kansberekening garandeert zo als het ware zijn criminele inkomsten.

De conclusie is vervolgens eenvoudig te trekken: zolang het doen van betaalverzoeken via sociale media blijft toenemen, zullen phishing-scams en ransom-pogingen daarvan dankbaar profiteren en eveneens in omvang toenemen.

‘Mijn Omgeving’ vormt de beste verdediging tegen phishing en ransomware

Je kunt vooruitgang nu eenmaal moeilijk tegenhouden, zult u waarschijnlijk zeggen? Klopt, maar het wrange is dat er al die tijd een uitstekend alternatief bestaat voor dergelijke digitale betaalverzoeken.

U kent allemaal de ‘Mijn Omgeving‘ van uw zorgverzekeraar, kredietgever, energiemaatschappij of particulier verzekeraar. Deze ‘Mijn Omgeving’ vormt een uitstekend alternatief om betaalverzoeken, zoals bijv. iDEAL-betalingen, klaar te zetten.

Een aankondigingsmailtje (zonder link uiteraard) en klaar. In deze persoonlijke omgeving op de website van uw aanbieder kunt u met uw eigen gebruikersnaam en wachtwoord inloggen.

Een korte bekende URL gecombineerd met uw eigen inloggegevens, eventueel met tweestaps-verificatie, garandeert de authenticiteit van de gereed staande betaalverzoeken.

Bedrijven die deze persoonlijke omgeving gebruiken om u betaalverzoeken toe te sturen, bewijzen hun klanten daarmee bovendien een extra dienst.

Immers elke schijnbare email, sms of app van dit bedrijf met een concrete betaallink kunt u direct melden aan de fraudehelpdesk en onmiddellijk naar de prullenbak verwijzen als zijnde een phishing-scam of ransom-poging.

Logistiek iets meer complex

Helaas lijkt deze meest logische en veilige oplossing om digitale betaalverzoeken klaar te zetten steeds minder toegepast te worden. Waarom, want technisch gezien is het toch niet ingewikkelder dan om een betaalverzoek via email, sms of app te versturen?

Wat waarschijnlijk een rol speelt is dat het logistiek gezien iets complexer is om verschillende betaalverzoeken in verschillende ‘Mijn Omgeving’-domeinen klaar te zetten. Een berichtje sturen met een betaallink is dus eenvoudiger.

En wellicht vinden bedrijven het eveneens niet onprettig dat hen hiermee de juridische verantwoordelijkheid voor potentieel betalingsmisbruik of ransom-pogingen uit handen wordt genomen: enerzijds door het digitaal factureren volledig over te laten aan derden, anderzijds door elk risico op betalingsmisbruik of ransom-pogingen op deze manier volledig bij de consument neer te leggen.

Het is dus sneller, goedkoper én juridisch slimmer om betaalverzoeken via de email, sms of app te versturen. Echter verre van veiliger en vanwege de toename van phishing-scams en ransom-pogingen wordt hiervoor naar verwachting uiteindelijk een hoge prijs betaald.

Nationale inspanning tegen phishing- en ransom-praktijken is noodzakelijk

Momenteel is de nationale inspanning vooral gericht op voorlichting en op het melden van valse berichten bij uw aanbieder of bank.

Blijkens de gestaag oplopende schadepost van phishing – € 3,1 miljoen in de eerste helft van 2019 – lijkt deze strategie inmiddels achterhaald. (Van ransom-schade zijn op dit moment weinig betrouwbare gegevens voorhanden).

Met een dergelijke ‘ouderwetse’ strategie valt namelijk geen winst meer te behalen nu veel phishing- en ransom-berichten nauwelijks meer van ‘echt’ zijn te onderscheiden en internetcriminelen bovendien pijlsnel van de ene naar de andere succesvolle phishing-scam of ransom-poging omschakelen.

Het is daarom van cruciaal belang dat banken en bedrijven sterk gaan inzetten op de ontwikkeling en het benutten van hun ‘Mijn Omgeving’ voor het klaarzetten van hun betaalverzoeken.

Banken en de overheid moeten zich bovendien in alle ernst afvragen of zij hier niet een meer sturende en voortrekkende rol in kunnen vervullen. Nationale toepassing van de ‘Mijn Omgeving’ vormt de enige mogelijkheid om de stijgende trend tegen te gaan.

Wat kunt u doen om uw veiligheid te waarborgen?

Uiteraard willen wij u ook enkele praktische tips meegeven om phishing en andere malafide online praktijken zoveel mogelijk te voorkomen.

 

Tip 1: Voorkom phishing en banking-trojans door gebruik van een mobiele bankapp

Wanneer u surft op het web via uw webbrowser, wordt u onherroepelijk blootgesteld aan een risico op cyberaanvallen.

 

Dit heeft alles te maken met de inherente onveiligheid van webbrowsers, waarbij gebruikersgemak vóór gebruikersveiligheid gaat.

 

Er is namelijk een omgekeerd evenredige verhouding tussen veiligheid en gebruiksgemak: hoe meer flexibel in gebruik, hoe onveiliger de toepassing wordt, en omgekeerd.

 

Wegens de inherente onveiligheid is phishing e.d. via een webbrowser (internetbankieren) daarom niet in alle gevallen te voorkomen, ongeacht hoe waakzaam u bent.

 

De meeste mensen ervaren internetbankieren via een browser als comfortabeler dan mobiel bankieren.

 

Een groot beeldscherm, meer overzicht en betere gebruikersinterface.

 

Een valse kopie van de betalingsomgeving is een voorwaarde om phishing te doen slagen. Dit is eenvoudig te realiseren via een browser-omgeving, maar niet of nauwelijks te realiseren via de omgeving van uw mobiele bankapp.

 

Mobiel bankieren op een smartphone blijkt daarom een stuk veiliger te zijn.

 

Dit omdat alles via de beveiligde verbinding in de app gebeurt en u niet wordt omgeleid via een webbrowser. Hierdoor is er een extra ingebouwde veiligheid. Bovendien is de app vaak extra beschermd met een pincode.

 

Betalingsopdrachten doet u daarom beter exclusief via uw mobiele bankapp.

 

Waarschuwing: opent de betalingsomgeving van uw bank via uw mobiele webbrowser en niet via uw mobiele bankapp, dan vormt dat een sterke indicatie voor een phishing-aanval of de aanwezigheid van een banking-trojan.

 

Tip 2: Voorkom pasfraude, upgrade uw pasbeveiliging in een paar stappen

Enkele grote banken in Nederland maken nog steeds gebruik van een zogenaamde ‘generieke cardreader’ om betalingen te valideren. Minder veilig dan het zogenaamde digipas-systeem, dat de meeste andere banken gebruiken.

 

Ondanks de veiligheidsbeperkingen van een generieke cardreader is het toch mogelijk een eigen veiliger digipas-systeem te creëren. Lees hieronder meer over hoe u dit zelf kunt doen.

 

a. Creëer uw eigen digipas systeem

 

U kunt in principe uw eigen veiliger digipas-systeem creëren, ook als u bankiert bij ABN-Amro of Rabobank.

 

Dit doet u door een extra bankpas aan te vragen en expliciet te vermelden dat deze géén toegang biedt tot elektronisch bankieren. (Dit wordt door sommige banken ook wel een gemachtigden-pas genoemd.)

 

Dit wordt dan vervolgens uw bankpas voor dagelijks gebruik. Met deze ‘dagelijkse’ bankpas kunt u vervolgens wel gewoon betalen en geld opnemen, maar expliciet niet elektronisch bankieren.

 

Afkijken van de bij deze pas behorende pincode en vervolgens de diefstal van uw bankpas (eventueel onder bedreiging) leidt in dat geval niet automatisch tot de volledige toegang tot uw betaal- en spaarrekening.

 

b. Maak gebruik van tweestaps-verificatie

 

Als tweede mogelijkheid kunt u tweestaps-verificatie aanvragen bij uw bank. U zult dan telkens wanneer u een betaalopdracht verwerkt via internetbankieren een bevestiging moeten geven via uw smartphone alvorens de transactie doorgaat.

 

Dit kan de veiligheid van uw online transacties aanzienlijk verhogen.

Lees meer over veilig betalen

Handel betaalverzoeken in de tussentijd altijd af via uw mobiele bankapp

In de tussentijd, handelt u betaalverzoeken bij voorkeur af via uw mobiele bankapp. Malafide phishing- of ransom-pogingen benutten namelijk bij uitstek de inherente onveiligheid van uw webbrowser op computer of mobiel.

Vooralsnog is geen enkele phishing-crimineel er in geslaagd om zgn. niet-toegestane betalingen (lees: plundering van uw rekening) via de mobiele bankapp gedaan te krijgen.

Opent de betaallink toch consequent in uw mobiele browser, ga er dan liefst van uit dat er iets niet klopt en sluit alle betalingshandelingen direct af.

Neem contact op met uw bank of dienstverlener en vraag na of het mogelijk is het betaalverzoek via een veilig omgeving door te sturen.

Oplichting middels spookfacturen die u verleiden tot betalingen van diensten die u niet geleverd heeft gekregen, blijft natuurlijk wel mogelijk via de mobiele bankapp.

Plundering van uw volledige rekening door zogenaamde ‘niet-toegestane betalingen’ kunt u via uw mobiele bankapp echter succesvol voorkomen, zeker indien u tweestaps-verificatie activeert.

Wij raden dan ook ten zeerste aan dat u steeds de beveiligingsinstellingen van uw betaalomgeving controleert om diefstal te voorkomen.

Bent u toch slachtoffer geworden van phishing of ransom-praktijken? Neem dan hier contact op met de fraudehelpdesk.

Lees meer over opgelicht worden op het internet.

×

Geef uw beoordeling over Phishing-scams en ransom-pogingen nemen de komende jaren sterk toe