vrijdag 10 juli 2026

Wie belt nou wie?

Afbeelding: Wikipedia

“Hallo, u spreekt met Peter den Vlieger van de Huisbank*. Ik wil graag nog even wat dingen doornemen met betrekking tot uw nieuwe hypotheek.”

Tot zover niets aan de hand, tenminste, als je daadwerkelijk een nieuwe hypotheek bij die bank hebt afgesloten. Wat de klant echter wel vreemd vond is dat de bankmedewerker ook nog contactgegevens wilde doornemen, ter verificatie. “Ze bellen mij toch, dan weten ze toch dat ik het ben?”

Wist je dat phishing niet alleen via e-mail en sms, maar ook via de telefoon kan? Dan noemen we het vishing (met de v van voice), maar het doel is hetzelfde: informatie ontfutselen. Stel, die Peter den Vlieger is een crimineel. Dan begint hij waarschijnlijk niet over een hypotheek, want de kans is groot dat zijn beoogd slachtoffer helemaal geen hypotheek heeft aangevraagd. Hij zal dus over iets algemeners beginnen, zoals een spaarrekening of bankpasje.

Stel, zijn verhaal klinkt plausibel. Vervolgens stelt Peter een aantal vragen zoals je die zo vaak hoort als jij een bedrijf of instantie belt: je adres, geboortedatum, misschien wel je bankrekeningnummer of je BSN. Heel logisch als jij belt – al ben ik vaak verbaasd over het kleine beetje informatie waar ze genoegen mee nemen. Maar als zij jou bellen, dan wordt het een ander verhaal.

Want waarom zouden ze in dat geval jouw identiteit moeten verifiëren? Ze hebben immers jouw dossier voor hun neus, en daarin staat ook het telefoonnummer dat ze bellen. Oké, iemand anders zou jouw telefoon kunnen opnemen, maar dat is in het tijdperk van de mobiele telefonie niet zo waarschijnlijk (vroeger, jongelui, had je één telefoontoestel (de T65 van de PTT) in huis, die je slechts zo ver kon verplaatsen als de draad toestond). Als iemand jou namens een bedrijf belt en om identificerende gegevens vraagt, moet je dus op je hoede zijn. Want met die gegevens in de hand kan een crimineel gemakkelijk een bedrijf bellen en doen alsof hij jou is. Met alle gevolgen van dien.

Nee, als ze jou bellen, dan moet je het spel omdraaien: jij stelt zelf de vragen. Wat is mijn geboortedatum? Waar woon ik? Wat zijn de laatste vier cijfers van mijn IBAN? Als ze daar niet op willen (of kunnen!) antwoorden, dan kun je maar beter ophangen. Twijfel je of het telefoontje misschien toch legitiem was? Bel het bedrijf dan via een nummer dat je kent of van hun website of brieven haalt. Ze kunnen je vast wel vertellen of ze jou gebeld hebben.

Maar natuurlijk hoorde ik ook weer verhalen van mensen die ‘gewone’ phishing hadden ontvangen, via de mail. Zo ook de collega die een superaanbieding van bol.com kreeg: sneakers van een bekend merk voor een tientje in plaats van negentig euro. Als je al eens een presentatie van mij hebt bijgewoond, dan herken je waarschijnlijk deze tegeltjeswijsheid: als iets te mooi lijkt om waar te zijn, dan is het dat meestal ook. De collega vond het mailtje in eerste instantie wel betrouwbaar ogen – hij werd zelfs bij zijn voornaam genoemd. Maar omdat er toch iets knaagde, vroeg hij AI om hulp. Uitslag: phishing! Dat werd overigens vooral geconcludeerd omdat het logo van bol.com ontbrak. Dat juist dit de doorslag gaf is verontrustend, want een beetje professionele phishing investeert juist in look and feel. Wat zou AI gezegd hebben als het logo er wél was geweest?

Waarom wist de crimineel achter dit mailtje hoe onze collega heette? Vanwege Odido. Of Rituals. Of Basic-Fit. Allemaal grote datalekken waarbij veel gegevens (waaronder e-mailadressen en namen) van heel veel mensen zijn buitgemaakt. Het oude criterium, dat de afwezigheid van een persoonlijke aanhef een rode vlag is – en dus impliciet dat een persoonlijke begroeting juist een groene vlag is – kan daarmee wel naar de prullenbak.

Of ze je nu willen phishen, smishen, vishen of quishen**: wees de criminelen te slim af. Laat mensen als Peter den Vlieger maar lekker crashen door jouw alertheid.

*: Deze namen zijn verzonnen.

**: smishing = phishing via sms, vishing via de telefoon, quishing via QR-codes.

 

En in de grote boze buitenwereld …

 

Geen opmerkingen:

Een reactie posten