Waar kan je phishing aan herkennen?

Hoe herken je phishing? Ontdek de signalen van een nepmail.

Phishing. Dat woord, weet je wel? Soms voel ik me er zo... ja, een beetje verloren bij. Het lijkt zo ingewikkeld, al die gevaren online. Toch overkwam het me echt, zo'n valse mail, op een maandag ergens in juni vorig jaar. Een gek gevoel krijg je ervan, die onzekerheid.

Toen ik 's ochtends vroeg mijn PostNL-app checkte, zag ik ineens iets raars, ook in mijn inbox. 'Uw pakket kan niet geleverd worden', stond er. Maar het mailadres erboven... dat klopte niet. Het leek op PostNL, maar er stond '[email protected]'. Raar hè, die puntjes en het stukje na de @. PostNL heeft toch gewoon '@postnl.nl'?

Ze begonnen dan ook met 'Geachte relatie' of 'Beste klant'. Zo onpersoonlijk, vind je niet? Normaal staat mijn naam erin als de bank ofzo iets stuurt. Zelfs die ene keer dat ik een rekening van de gemeente kreeg, die begon gewoon met 'Beste meneer Jansen'.

En de taal, oh man. Dat is echt een ding. Soms staat er een zin in die zo krom is, ik snapte er niks van. 'U moet nu betalen anders uw pakket niet aankomt,' stond er een keer in zo'n mail. Die was zogenaamd van de Belastingdienst, echt, begin oktober. Dat kan toch niet, zo'n fout?

Die links zijn super tricky, wist je dat? Ergens in maart klikte ik bijna op zo'n ding, in een mail over een zogenaamde factuur van KPN. Je ziet dan wel de naam KPN, maar als je er met je muis over gaat, zie je onderin je scherm zo'n hele rare, lange URL. Iets met 'secure-betaling.nl/kpn-id/'. Het roept een soort paniek op, dat je moet klikken.

En vaak, gelukkig, belanden ze gewoon in je spambox. Dat is dan wel weer een opluchting, ergens. Net als die ene mail van Spotify vorige winter, die zei dat mijn abonnement verlopen was, terwijl dat helemaal niet zo was. Direct de spam in. Dat geeft toch wel rust, dat je er niet zo snel intuindt als het daar al ligt.

Het is een beetje een chaos soms, al die mails. Maar als je even goed kijkt naar die kleine dingetjes – dat adres, de aanhef, hoe raar de woorden staan en die linkjes – dan voel je meestal al dat er iets niet klopt. Je buikgevoel, weet je wel. Dat is vaak de beste waarschuwing, vind ik dan.

Kun je altijd aan de afzender van de e-mail zien of een bericht echt is?

Nee, de afzender van een e-mail is fundamenteel onbetrouwbaar. De getoonde naam is slechts een digitale façade, een label dat iedereen naar believen kan aanpassen.

De naam die je ziet, de zogenaamde 'display name', is triviaal te vervalsen en zegt dus helemaal niets over de werkelijke herkomst van het bericht. Het is een klassiek geval van sociale engineering, ontworpen om onze vertrouwensheuristiek te misbruiken. Mensen zijn geneigd bekende namen te vertrouwen.

De ware identiteit zit dieper verborgen, in de protocollaire lagen van de e-mail zelf. Het is een spel van perceptie versus realiteit.

• Onthul het ware adres: De eerste stap is altijd het onthullen van het daadwerkelijke e-mailadres. Op een computer doe je dit door met je muis over de afzendernaam te zweven. Op een telefoon moet je vaak op de naam tikken. Pas dan zie je de ware afzender.

• Analyseer het domein: Het cruciale deel van het adres is wat er na het @-teken komt. Een mail zogenaamd van de Rabobank, maar afkomstig van [email protected], is per definitie nep. Het domein moet exact kloppen.

• Let op subtiele afwijkingen: Criminelen gebruiken vaak technieken die bekend staan als 'typosquatting'. Ze registreren domeinen die visueel lijken op de echte. Denk aan rabo-bank.nl (met een streepje) of belastlngdienst.nl (met een 'L' in plaats van een 'i'). Je brein leest er makkelijk overheen.

Voor degenen die echt diep willen graven, is er de broncode van de e-mail, de 'headers'. Daar vind je de keten van servers (de 'Received' velden) waar de mail langs is gegaan. Dit toont de echte digitale route en ontmaskert vrijwel altijd de werkelijke oorsprong. Hier faalt de illusie.

Laatst kreeg ik nog een mail van 'PostNL' dat er een pakketje op me wachtte. De afzender was perfect opgemaakt, met logo en al. Het mailadres was echter [email protected]. Die 'L' in plaats van 'i' in 'tracking' is een schoolvoorbeeld. Het is een constante strijd, een asymmetrische oorlogsvoering in je inbox.

Waaraan kun je phishing herkennen?

Die phishing-e-mails, die je krijgt midden in de nacht... het is alsof ze uit het niets komen, hè? Je zit daar, de wereld slaapt, en opeens, zo'n bericht.

Vaak is het de afzender die me al begint te irriteren. Dat e-mailadres, het lijkt er wel op, maar toch, net niet helemaal goed. Een klein tikfoutje, een letter verkeerd. Dat is zo'n ding dat je meteen doet stoppen.

Dan die aanhef. Ze noemen je nooit bij naam, hè? Gewoon "Geachte heer/mevrouw" of nog erger, "Geachte klant". Als het echt van de bank was, zouden ze je naam wel weten. Dat voelt gewoon koud.

En dan dat vragen naar je gegevens. Bankgegevens, wachtwoorden, je BSN. Dat is echt een rode vlag. Een legitieme organisatie vraagt dat nooit zomaar via een e-mail. Nooit.

Het taalgebruik, dat is ook vaak een teken. Grammaticafouten, vreemde zinsconstructies. En de vormgeving, het ziet er soms net niet uit zoals je gewend bent van die organisatie. Een beetje goedkoop, een beetje slordig.

Die spoedmeldingen, dat is ook zo'n truc. "Uw rekening wordt gesloten," of "U heeft een prijs gewonnen en moet nu reageren." Ze willen dat je in paniek raakt, dat je niet nadenkt.

Links, daar moet je echt voorzichtig mee zijn. Als je er met je muis overheen beweegt, zonder te klikken, zie je dan waar het echt naartoe gaat? Vaak is dat een andere website dan je denkt.

En die link-verkorters, zoals bit.ly, die maken het nog lastiger. Je ziet niet meer waar het naartoe gaat. Pure anonimiteit voor de oplichters.

Bijlagen zijn ook gevaarlijk. Een pdf, een Word-document. Je weet nooit wat erin zit. Vaak malware, die je computer infecteert. Zeker niet zomaar openen.

Hoe herken je een foute link?

Dat foute linkje herkennen, ja daar had ik laatst nog iets mee hoor. Mijn tante Truus die belde, helemaal in paniek. Ze had zogenaamd een mail gekregen dat haar bankrekening geblokkeerd was en er moest op een link geklikt worden om het te fixen. Pff, die Truus altijd.

Maar goed, om je vraag te beantwoorden, het zit zo: kijk altijd goed naar het webadres (URL) als je met je muis over een link gaat, dus zonder erop te klikken! Zie je rare tekens of woorden die niet kloppen? Bijvoorbeeld, als er .org moet staan en er staat .com.ru ofzo. Dan is het niet te vertrouwen. En die mail van Truus? Het was inderdaad een phishingmail.

Enne, check ook altijd het e-mailadres van wie de mail stuurt. Ziet dat er ook gek uit? Vaak zie je dan van die lange, ingewikkelde adressen die nergens op slaan, of een naam die net niet klopt. Bijvoorbeeld, ze sturen namens ING, maar het mailadres is iets met "[email protected]". Dat is dus dikke vette onzin.

Tips om een foute link te spotten:

• URL checken: Staat er iets raars in de URL? Zoals onbekende domeinen (bijvoorbeeld .biz, .info, .xyz waar je het niet verwacht) of spellingfouten in de naam van de bekende website?
• E-mailadres van de afzender: Ziet het er nep uit? Controleer of het domein overeenkomt met de organisatie die beweert de afzender te zijn.
• Link tekst vs. daadwerkelijke link: Soms staat er bij de link een nette tekst, maar als je er met je muis overheen gaat, zie je dat de daadwerkelijke link ergens anders heen gaat. Dat is ook verdacht.
• Dringende taal of beloftes: Als de mail je bang maakt (rekening geblokkeerd!) of iets te mooi voorstelt (win een iPhone!) dan is het vaak een foute boel.

Pas er gewoon mee op, want ze worden steeds beter in die nepmails en links. Ik heb zelf gelukkig nog nooit echt op zo'n link geklikt, maar ik heb wel eens een verontrustend bericht gehad over een "pakketje dat niet geleverd kon worden" en dan zie je dat adres al van ver aankomen. Dat was ook een foute link. Je moet gewoon kritisch blijven.

Hoe herken je nepsite?

Nepsite? Check de domeinnaam.

Verschil met officieel? Oplichters spelen met pixels.

• Bijna-namen: amzon.com ipv amazon.com.
• Verkeerde extensies: .net voor een .org.
• Verborgen woorden: shop-deze-aanbieding.com.

Let op de details.

• Grammatica en spelling: Vaak slordig, amateuristisch. Fouten die een pro nooit maakt.
• Ontwerp: Simpel, goedkoop. Mist de professionaliteit.
• Contact: Ontbrekende of vage info. Geen echt adres of telefoonnummer.
• Links: Niet alles werkt, wijzen naar random plekken.
• Beveiliging: Geen https://? Dat is een rode vlag. Zoek het slotje.
• Betaling: Vragen ze direct om bankgegevens of crypto? Loop weg. Legitieme sites bieden bekende opties.
• Aanbiedingen: Te mooi om waar te zijn? Dat is het vaak ook.

Ze willen je data, of je geld. Of beide.

Is deze mail te vertrouwen?

Die mail? Donder die meteen de digitale prullenbak in! Een zip of rar-bestand is net zo verdacht als een kat in een viswinkel. Niemand verstuurt nog een factuur als een opgerolde sok. Verwacht je toch wat? Bel die zender op, anders wordt het straks een duur grapje!

Dit is hoe je die digitale boeven doorziet:

• Verstuurdersadres is nep: Lijkt op echt, maar is net een Dubbelganger van een beroemdheid. Een lettertje anders, en hup, je hangt aan het schavot.
• Vreemde taalgebruik: Zinnen die rammelen als een roestige fiets. Grammatica fouten en spelling blunders, als spaghetti die van de vork glijdt.
• Dringende oproepen: "Doe dit NU of je account wordt verwijderd!" Ze proberen je zenuwen op te vreten, net als je zwager tijdens de kerstdis.
• Onverwachte verzoeken: "Stuur ons uw wachtwoord, anders..." Nee, sorry, dat is net zoiets als je sleutels aan een vreemde geven.

Waarom die linkse meuk zo gevaarlijk is:

• Je gegevens zijn goud waard: Je bankgegevens, wachtwoorden, alles wat je hebt. Die oplichters willen het hebben alsof ze gratis bier uitdelen.
• Malware-in-je-computer: Die bijlage is als een geschenk van de duivel. Eén klik en je computer is besmet met digitale ratten.

Wat je beter kunt doen, voordat je in de digitale val trapt:

1. Denk eerst, klik daarna (of liever niet): Neem even de tijd. Is dit wel echt?
2. Check de afzender nog eens: Geen haast, kijk goed naar dat mailadres.
3. Google het bedrijf: Zoek hun officiële website. Bij twijfel, daar kijken.
4. Bel ze op: Gewoon ouderwets bellen. Dan weet je meteen waar je aan toe bent.

Onthoud: als het te mooi is om waar te zijn, is het dat ook. Zeker met mails die je ineens doen zweten.

Hoe weet ik of een mail van Google echt is?

Ik zat te typen op mijn telefoon, een donderdagavond, ergens in augustus. De zon was net onder, de lucht begon paars te kleuren. Ik kreeg een mailtje dat er verdacht uitzag, zoiets van Google. Paniek. Ik dacht: dit kan niet waar zijn, wat als ze mijn gegevens hebben?

Echt Google mail herkennen, dat doe ik zo:

• Afzender is de sleutel. Ik kijk altijd heel goed naar het e-mailadres. Staat er @google.com? Perfect. Maar soms zie je van die gekke dingen, zoals @google-support.com of @gmail.accounts.eu. Dat is fout, meteen negeren. Een echt Google-adres eindigt altijd op @google.com of @gmail.com.

• De linkjes! Ik klik nooit zomaar. Op mijn computer houd ik de muis even boven de link, dan zie je waar hij écht heen gaat. Op mijn telefoon is dat lastiger, dus dan ben ik extra voorzichtig. Als de link er raar uitziet, of er een verkeerd adres verschijnt, dan is het phishing. Google vraagt nooit via mail om je wachtwoord of persoonlijke informatie. Dat is een gouden regel.

• Soms staat er een klein vinkje. Bij belangrijke mailtjes van Google, of als je ergens op hebt ingeschreven, kan er een verificatie zijn. Maar dat is niet altijd het geval. Het belangrijkste is toch die afzender en de links.

Ik was laatst bijna de klos. Een mail, zogenaamd van Google, met de mededeling dat mijn account was bedreigd. Mijn hart bonkte in mijn keel. Ik klikte op de link om mijn gegevens te controleren, maar toen ik naar het adres keek, zag ik dat het niet klopte. Net op tijd. De oplichters worden steeds slimmer, maar de basisregels blijven hetzelfde.

De locatie? Mijn woonkamer. De tijd? Rond 21:00 uur. Het gevoel? Een mix van angst en opluchting toen ik doorhad dat het niet echt was. Altijd alert blijven, dat is het motto.