Met de titel van deze blog hengel ik niet naar
duimpjes of knuffels voor informatiebeveiligers. Nee, "like" is hier
geen gebiedende wijs, maar een voorzetsel. Want de moderne mens moet een
bepaalde vaardigheid hebben om en beetje ongeschonden door zijn online dagen te
komen: hij moet, zo lang we niet in staat zijn om e-mailen veilig te maken,
phishing kunnen herkennen als een professional. Daarom laat ik je in deze blog
zien hoe ik met mijn mail omga. En daarbij maak ik geen onderscheid tussen werk
en privé – het enige verschil is dat het thuis een veel vettere vangst
oplevert.
Bij een nieuw mailtje kijk ik allereerst naar de afzender: welke naam
staat daar en welk mailadres staat erbij. Als daar staat "Albert Heijn
<albertheijn@supermarket.ru>", dan is hij meteen al af. Kijk,
iedereen kan "Albert Heijn" in z'n mailprogramma invullen als naam.
Dat zegt helemaal niets. En "albertheijn" vóór het apenstaartje is
ook niet zo moeilijk. Tot zover is er dus nog geen indicatie of het een goed of
een fout mailtje is. Maar dan komt het. Kijk even naar de achterkant van het
e-mailadres: ".ru". Het laatste stukje van een adres geeft het
zogenaamde top level domain (TLD) aan. Vaak is dat de aanduiding van een land,
zoals .nl, .be of .ru. Je kent natuurlijk ook adressen die eindigen op .com,
.org enzovoorts. Dat zijn generieke TLD's. Maar .ru is de TLD van Rusland. Nu
snap je waarom ik het adres meteen diskwalificeerde. Dat zou ik trouwens ook
wel gedaan hebben als het adres op .com geëindigd was. Want in een echt mailtje
van een bedrijf verwacht je dat de bedrijfsnaam áchter het apenstaartje staat,
als in klantenservice@albertheijn.nl (geen idee of dit adres echt bestaat; de
supermarkt doet hier dienst als willekeurig voorbeeld). Er zijn overigens wel
bedrijven die tegen deze 'regel' zondigen, bijvoorbeeld doordat ze hun mailings
door een derde partij laten verzorgen. Daar ben ik nooit zo blij mee. Ik heb
wel eens via Twitter bij een bedrijf nagevraagd of een mailtje – waarvan de
inhoud op zich plausibel was – echt bij hen vandaan kwam. Dat werd beaamd en
men begreep mijn achterdocht niet. Het awarenessprogramma had hun
klantenservice kennelijk nog niet bereikt.
Dan het onderwerp van de mail. Als daarin prijzen worden aangekondigd
van loterijen waaraan ik nooit heb deelgenomen, of als een naar eigen zeggen
lieftallige dame spontaan een relatie met mij wil, dan weet ik het ook wel:
foute boel. De onderwerpregel kan veel verklappen over de bedoelingen van de
verzender. Dat gezegd hebbende: een uitgekiend onderwerp kan je natuurlijk ook
op het verkeerde been zetten. "Uw verbruik" is een logisch onderwerp
voor een mailtje dat zogenaamd van je energieleverancier komt. Met andere
woorden: gebruik het onderwerp alleen om mail eventueel af te keuren, nooit om
goed te keuren.
Als de mail het tot hier heeft overleefd, dan is het tijd om haar te
openen. In de meeste gevallen ben ik dan al niet meer bang iets engs aan te
treffen, simpelweg omdat het meestal mail is van bekenden. Denk dus niet dat ik
ieder mailtje met de grootst mogelijke achterdocht benader. De vorige twee
stappen, de check op afzender en onderwerp, kosten slechts een ogenblik en zijn
zeer bepalend voor de uitslag. Anders gezegd: het moet gek lopen als een
mailtje dat die toets doorstaat alsnog tot fronsende wenkbrauwen leidt door de
inhoud. Maar het kán wel. Een mailtje van een vriend die op vakantie is
gestrand en om geld vraagt? Een bedrijf waarmee je al zaken doet dat om
persoonlijke gegevens vraagt? Wees dan alert. Bedrijven die je al kennen gaan
niet nog een keer om dezelfde informatie vragen. En die vriend in geldnood,
daar zou ik dan eerst eens op een andere manier contact mee willen leggen,
bijvoorbeeld telefonisch of via een appje – alles behalve mail. De kans is
groot dat hij gewoon thuis op de bank zit en nog niet wist dat zijn mailaccount
gehackt is.
Foute mailtjes bevatten meestal links. ‘Ze’ willen immers iets van je en
één van de manieren om dat te bereiken is dat ze je naar hun website lokken.
Voor die websites geldt doorgaans hetzelfde als voor e-mailadressen: ze passen
niet bij de zogenaamde afzender. Een collega ontving een mailtje
"van" Ziggo met daarin een link naar wordpress.glerfilmur.is. Je moet
even een klein trucje kennen om daar achter te komen, want in de mail staat
natuurlijk dat de link naar Mijn Ziggo gaat. Breng de muiscursor naar de link,
maar klik er niet op – laat de cursor slechts erboven zweven. Onderin je
browser, in de statusbalk, verschijnt dan het ware adres waar de link naar
verwijst. Op een mobiel apparaat, waar je geen muiscursor hebt, tik je lang op
de link, waarna een pop-up met het adres verschijnt (een keertje oefenen met
een vertrouwde link). Pas als je op die pop-up klikt ga je daadwerkelijk naar
de aangegeven site. En dat doe je natuurlijk niet als het foute boel is.
Als foute mailtjes geen link bevatten, dan zit er een bijlage bij. En
die bijlage gaat jouw computer besmetten, want er zit een virus in. Net zoals
je je kinderen vertelt dat ze geen snoepjes van vreemden mogen aannemen, zo mag
je ook geen bestanden van vreemden aannemen.
We doen een voorbeeld. Eerder dit jaar ontving ik een mailtje van Albert
Heijn (ja, sorry, nu is het geen willekeurig voorbeeld) met het onderwerp:
"Jouw AH bonuskaart met nummer NL-AH24-1209 is vandaag gekozen!" Nu
weet ik al uit ervaring dat veel scams
(zwendels) zo beginnen. Maar ook het formaat van het kaartnummer trok mijn
aandacht omdat het wat kinderlijk aandoet (onderbuikgevoel mag je gerust mee
laten wegen). En inderdaad: mijn
echte bonuskaart heeft een
dertiencijferig nummer. Ik had dus al twee indicaties dat het niet
klopt. Maar omdat ik ook nog wilde weten hoe het verhaaltje verder ging, opende
ik de mail en las het volgende: "Geachte AH Klant," – aha, ze kennen
mijn naam niet. Een bedrijf dat mij wél kent zou mij met mijn naam begroeten.
Verder: "Over enkele weken is het weer Pasen, wat zijn uw plannen? Zoals
elk jaar verrassen wij weer enkele vaste AH-klanten met een leuke prijs. Dit
jaar hebben wij 5 AH Cadeaukaarten t.w.v. € 250,- klaar liggen." En ik had
er dus zogenaamd eentje gewonnen. Alleen: mijn vrouw had precies hetzelfde
mailtje ontvangen. En je hoeft geen statistiekknobbel te hebben om te begrijpen
dat het wel zeer toevallig zou zijn als we allebei deze prijs zouden winnen
(terwijl wij nooit wat winnen, maar dat is een ander verhaal).
Zo eenvoudig is catch a phish like
a pro dus: let op de afzender en het onderwerp, wees kritisch op de inhoud
en check de link. En het mooie hiervan is dat het zowel zakelijk als privé werkt.
O ja, nog een laatste opmerking. Als je een mailtje wantrouwt, ga het dan niet
rondsturen met de vraag wat anderen ervan vinden. Voor je het weet heb je op
die manier je familie, je vrienden of je bedrijf in problemen gebracht. Want
niet iedereen leest deze blog hè.
En in de grote boze buitenwereld …
... kan een niet herkend fout mailtje je duur komen te staan.
... hebben criminelen weer een nieuw trucje om URL's te verbergen.
(Het eigenlijke artikel begint onder het kopje URL Padding.)
... moet je ook bij apps altijd goed opletten waar je "ja"
tegen zegt.
... onderzoekt de Autoriteit Persoonsgegevens of de privacywetgeving
zich niet verzet tegen het gebruik van het BSN in het btw-nummer van zzp'ers.
... doet dit filmpje een indringend beroep op fabrikanten van
IoT-devices om hun producten goed te beveiligen.
... moesten we maar eens ophouden met dat soort negatieve geluiden,
vindt de spreker in het volgende filmpje.
... wordt het belang van goede beveiliging voor industriële systemen nog
vaak onderschat. De hier beschreven malware kan hele elektriciteitsnetten
platleggen.
... heeft bovenstaand bericht inmiddels ook de Haagse politiek bereikt.
... zou de Amerikaanse overheid geprobeerd hebben om ontwikkelaars van
Telegram om te kopen, zodat er een achterdeurtje in deze messaging-app zou
komen.
... kan de CIA jouw wifi-router hacken.
... stuur je natuurlijk nooit zomaar een foto van je paspoort op.
... moeten ook eigenaren van een Raspberry Pi uitkijken voor malware.
... is uitgerekend de Chinese versie van Windows 10 ontdaan van
Microsoft-spyware (die is namelijk vervangen door spyware van de Chinese
overheid).
Geen opmerkingen:
Een reactie posten