 |
| Afbeelding via Pixabay |
Op een druilerige vrijdagmiddag, zo
eentje waar we er de laatste tijd zo veel van hadden, zou het bestelde
vloerkleed afgeleverd worden. Een pronkstuk voor zijn nieuwe huis, met een
modern motief, maar liefst drie bij vier meter groot. Net iets te groot om zelf
in de auto mee te nemen, maar gelukkig wilde Ikea het ook wel thuis bezorgen.
En u hoeft de schroefjes deze keer niet na te tellen meneer, en er zit ook geen
inbussleutel bij.
Maar in de loop van die middag kwam
er een mailtje binnen van “Post”. Onderwerp: problemen met bezorging. Inhoud:
“Het door u bestelde product ligt nog in ons distributiecentrum. U dient eerst
€ 3,95 douanekosten te voldoen. Klik op onderstaande button om de bezorging
opnieuw in te plannen.” Het betalen diende via een creditcard te gebeuren. Dat
was het punt waarop onze tapijtliefhebber afhaakte – had hij met iDeal kunnen
betalen, dan had hij het gedaan, om er maar snel van af te zijn.
Nu echter ging hij Ikea bellen. Daar
wisten ze hem te vertellen dat het bericht niet van hen afkomstig was en dat
het tapijt gewoon die middag zou worden geleverd. Precies tijdens dat gesprek,
waarin overigens aan beide kanten al snel de conclusie was getrokken dat het om
phishing moest gaan, kwam nog een keer zo’n mailtje binnen. Deze keer stond er
ook een ordernummer in, maar dat kwam niet overeen met het nummer van het
bestelde tapijt.
De volgende dag waren beide mailtjes
op miraculeuze wijze verdwenen. Een onprettig gevoel bekroop onze Ikea-klant:
had soms iemand zijn mail-account gehackt, de bestelling gezien en daar handig
op ingespeeld? Of was de winkelketen misschien gehackt, of zat er zelfs een mol
bij het Zweedse bedrijf, die bestelgegevens verkocht aan cybercriminelen? We
zullen het wel nooit weten – tenzij er een heleboel van dat soort meldingen
zijn en de e-mailprovider dan wel de winkel een onderzoek uitvoert en de
bevindingen publiceert. Maar bedrijven hebben nog wel eens de neiging om
tamelijk introvert te zijn over dat soort dingen.
Ik denk dat geen van deze scenario’s
zich heeft afgespeeld. Want zo werkt phishing dus: je hebt iets besteld en
precies op het goede moment krijg je een bericht dat prima op die bestelling
van toepassing zou kunnen zijn. Had je datzelfde bericht een paar dagen eerder
of later ontvangen, dan had je je schouders opgehaald en het genegeerd. Ze
schieten met hagel, want dat kost toch niets. En ze raken altijd wel een paar
mensen waarvoor hun bericht geheel bij toeval wél betekenis heeft.
Wat waren de rode vlaggen, de
signalen dat hier sprake kon of moest zijn van phishing? Om te beginnen de
afzender: niet Ikea, ook niet PostNL, maar Post. Ik ken geen pakjesbezorger die
zo heet. Vervolgens werd in het hele bericht niet over Ikea gesproken. Terwijl
normaliter in communicatie van een bezorgdienst altijd de naam van de afzender
wordt genoemd. En hoezo douanekosten? Het tapijt was gewoon in Nederland
besteld en er was nooit sprake van geweest dat het rechtstreeks vanuit een
tapijtknopend land zou worden verstuurd. En dan natuurlijk nog dat ordernummer,
dat niets te maken had met het vloerkleed. Voldoende rode vlaggen, zou ik
zeggen.
Nadat ik dit relaas had aangehoord,
ging ik vragen stellen. Als eerste: heb je het wachtwoord van je e-mail al gewijzigd?
Dat is altijd het eerste wat je doet als je ook maar het geringste vermoeden
hebt dat iemand met z’n vingers aan je mail heeft gezeten. Je mailaccount is
namelijk je belangrijkste account, omdat vrijwel alle “wachtwoord
vergeten”-procedures via je mail gaan. Met andere woorden: wie toegang heeft
tot je mail, kan zich toegang verschaffen tot veel andere accounts. Volgende
vraag: die beide mailtjes zijn verdwenen, maar heb je de webpagina nog in de
browser staan? Dat was niet het geval, maar ze stond nog wel in de
browsersgeschiedenis: onlinecamp[.]top. De URL-checker van e.Veritas bestempelt
deze site als onveilig, en dat “.top”, het zogenaamde top-level domain (zoals
bijvoorbeeld ook .nl en .com) is bijzonder. In de internetadministratie staat
als doelgroep “algemeen” en het is geregistreerd op naam van Jiangsu Bangning
Science & technology Co. Ltd., een Chinese domain registrar – een
bedrijf waarbij je je eigen internetdomein kunt laten registreren. Redelijkerwijs
mag je er dus van uitgaan dat een link, die eindigt op .top (met daar achter
eventueel nog “/abracadabra/xyz/enz”) je naar een Chinese website brengt. Vraag
je af of je daar echt naar toe wilt.
Zoveel moeite om € 3,95 te innen? Nee
hoor. De betaling moest plaatsvinden met een creditcard. Als je je gegevens op
hun nepsite invult, dan hebben de criminelen je creditcardgegevens, waarmee ze
een veelvoud van dat bedrag kunnen laten vervliegen. Gelukkig is dat deze keer
niet gelukt en ligt het tapijt er mooi bij.
En in de grote boze buitenwereld …
- bevat phishing tegenwoordig niet meer altijd een link of een bijlage.
- gaat een Britse leverancier van tools voor criminelen voor lange tijd achter de tralies.
- kreeg deze legitieme app er opeens een nieuwe functie bij.
- kan een slecht geteste update je apparaat vernielen.
- hacken Chinese staatshackers Kenya, vermoedelijk in relatie tot schulden.
- mag je je Netflix-wachtwoord niet meer delen.
- kaapte een Britse IT’er een ransomware-aanval op zijn werkgever.
- hebben de Amerikaanse autoriteiten een update van hun StopRansomware Guide gepubliceerd.
- moet Facebook-moeder Meta een enorme boete betalen voor het doorsturen van gegevens van Europese gebruikers naar de VS.
- kunnen ook vingerafdrukken ge-bruteforced worden.
- is er nu ook ransomware voor het goede doel.
- wil Spanje het aanbieden van end-to-end encryptie in Europa verbieden.
Geen opmerkingen:
Een reactie posten