 |
| Afbeelding via Pixabay |
In de herfstvakantie wilden we er nog even met z’n allen tussenuit. Kritisch als we nu eenmaal zijn, volgde een uitgebreide zoektocht naar een geschikt huis op een leuke locatie. Uiteindelijk vonden we op een boekingsite wat we zochten. Omdat we daar al vaker hadden geboekt, dachten we dat we klaar waren. Het liep anders.
Daags
na de boeking ontving ik in een tijdspanne van anderhalf uur acht berichten van
een bedrijf waar ik nog nooit van had gehoord; ik geef het hier de fictieve
naam Boekhierniet. De mailtjes gingen over mijn boeking, met onderwerpen als
‘payment failed’, ‘request for payment of deposit’ en ‘activeer uw
klantaccount’. En ze wilden ook nog een kopie van mijn paspoort. Weliswaar
kwamen die berichten allemaal via het mailsysteem van de boekingsite, maar ik
was zeer achterdochtig. Zoals gezegd, we zijn daar zo’n beetje vaste klant en
we zijn nog nooit eerder door een andere partij benaderd. De betaling was al
geregeld, en de waarborg betaal je normaal gesproken op locatie. Bovendien
bedroeg de borgsom maar liefst zevenhonderd euro – exorbitant hoog. En er viel
nog meer op. In die berichten werden drie verschillende internetdomeinen
genoemd: boekhierniet.eu, boekhierniet.be en boekhierniet.es (Europa, België en
Spanje). Bovendien kwam naast de naam Boekhierniet ook de naam
Investeerhierniet voor. Mijn achterdocht werd verder opgeschaald.
Natuurlijk
ging ik met de boekingsite bellen. Lang verhaal kort: de ontvangen berichten
waren legitiem. Het enige wat niet klopte, was het bericht dat ik de huursom
nog moest betalen. Maar ik werd gerustgesteld: ik hoefde me daar niets van aan
te trekken en ik hoefde ook niet bang te zijn voor annulering (waar
Boekhierniet wel mee dreigde). Ze hadden contact gehad met de lokale verhuurder
– dat was dus Boekhierniet – en het met hen geregeld.
Gelukkig,
denk je dan, niets aan de hand. Maar ik moest nog wel zo’n beetje alles doen
wat in al die berichten stond. En dus een klantaccount aanmaken bij
Boekhierniet en elk gezinslid apart inchecken, inclusief alle paspoorten. Ik
ging natuurlijk niet zomaar de paspoorten opsturen; eerst ging ik van alles
weglakken, waaronder de foto’s. Kreeg ik daar weer commentaar op: we hebben de
foto nodig, anders kunt u de sleutel niet in ontvangst nemen. Omdat dat
plausibel klonk, stuurde ik ze een nieuwe scan van mijn eigen paspoort, met
zichtbare foto. Overigens had de man, die mij de sleutel overhandigde, een
paspoortkopie bij zich met de afgeplakte foto. En hij vroeg enthousiast of ik
Patrick was. Het zou dus voor een derde erg gemakkelijk zijn geweest om de
sleutel voor mijn neus weg te graaien.
Zolang
legitieme bedrijven dingen blijven doen die criminelen ook doen, blijft het
lastig om mensen bewust te maken van risico’s. Je kunt immers niet zeggen: als
je dit of dat ziet, dan is het altijd foute boel. Nee, je moet ruimte laten
voor false positives: onterechte signalen dat er iets mis is. Dan moet
je dus uitleggen: kijk, als je zoiets ziet, dan kán het foute boel zijn, maar
het hóéft niet zo te zijn; je moet uiteindelijk maar zelf bepalen of je het
vertrouwt of niet. Dat komt een stuk minder krachtig over en veroorzaakt bij
sommigen eerder onzekerheid dan dat het echt helpt.
Dat
zien we ook bij phishing. Dan zeg je: let op, als een mailtje geen persoonlijke
aanhef heeft, maar begint met zoiets als “Beste klant” of “Hallo!” (of helemaal
geen begroeting), dan moet je uitkijken. Want criminelen die phishingmail
versturen hebben meestal alleen je e-mailadres en weten je naam niet. Maar ja,
net kwam er in mijn privémail ook weer een hartstikke legitiem mailtje binnen
dat mij begroette met “Beste klant”. Zijn die bedrijven dan gewoon te lui om
mijn naam te gebruiken? Of brengt het hoge kosten met zich mee? Ik heb het voor
je uitgezocht.
Om
met die kosten te beginnen: het hangt ervan af. Bij een modern mailsysteem zijn
de kosten verwaarloosbaar. Heb je echter een oud, bedrijfseigen systeem, waar
personalisatie destijds niet in is aangebracht, dan moet je de software
aanpassen, en dat kost natuurlijk wel wat. Verder hebben lang niet alle
bedrijven correcte gegevens. Als die je dan een mailtje sturen met “Beste
{klantnaam}”, of mij begroeten als “Geachte mevrouw Borsoi”, dan schaadt dat
het vertrouwen van de klant. Het opschonen van die gegevens is moeizaam en dus
duur. Overigens zijn er ook nog bedrijven die bewust kiezen voor een algemene
aanhef, om de impact bij het onderscheppen van de mail te verkleinen (er lekken
dan minder gegevens). In dat geval is de algemene aanhef dus een
privacymaatregel.
En
ja, er zijn óók bedrijven die gewoon te beroerd zijn om je netjes te begroeten.
Mijn oproep aan hen: doe even je best en help mee in de strijd tegen phishing!
En in de grote boze buitenwereld …
- worden boekingsites inderdaad misbruikt om mensen te tillen.
- kan je verloren iPhone nog een lelijk staartje krijgen.
- kaart een open brief aan de Europese Commissie grote privacy-zorgen over de Digitale Omnibus aan.
- kreeg cybercrime weer flink klappen van Operation Endgame, gecoördineerd door Europol.
- heeft dit bedrijf op verfrissende wijze gereageerd op een ransomware-aanval.
- werkt eens in de zoveel tijd een security-update averechts.
- willen we graag digitale soevereiniteit, en dan neemt een Amerikaans bedrijf een Nederlands cloudbedrijf over.
- zijn ad blockers belangrijk voor je privacy.
- richt deze spyware zich specifiek op Samsung Galaxy-telefoons.
- moesten de DJ’s van RTV Noord na een cyber-aanval met de hand plaatjes draaien.
- gebruiken overheden hun spyware niet alleen tegen topcriminelen en terroristen.
- is het geen wonder dat ze bij het Louvre hebben ingebroken.
