De onderwerpregel was bijna niet te weerstaan. En het e-mailbericht was van een vriendin van wie ik alleen eens in de tien maanden of zo iets hoor wanneer ze in de buurt is. U begrijpt hoe bezorgd ik was toen ik het volgende bericht zag:

Spijt me zo dat ik je niet had verteld over mijn reis. ik schrijf dit met tranen in m'n ogen. ik ben naar Odessa Oekraïne gekomen voor een korte vakantie helaas ben ik beroofd in het park van het hotel waar ik zat. al m'n geld m'n creditcard en telefoon zijn gestolen maar gelukkig heb ik m'n paspoorten nog wel.

ik ben naar de ambassade en de Politie hier gegaan maar die doen helemaal niets en mijn vlucht vertrekt binnen een paar uur maar ik kan de hotelrekening niet betalen. de manager van het hotel laat ons niet gaan voordat ik de rekening heb betaald, ben helemaal in paniek nu.

Ik hoorde de stem van mijn vriendin doorklinken in het bericht. Ze reist ook de hele wereld over, is erg geïnteresseerd in Midden- en Oost-Europa, en het is echt iets voor haar om een lang weekend naar Odessa te gaan en de beroemde Potjomkintrappen te bekijken of de stad te bezoeken als onderdeel van een langere reis rond de Zwarte Zee. Ik was wel een beetje verbaasd over de slechte interpunctie en het hoofdlettergebruik. Maar goed: ze was in paniek en stond onder enorme tijdsdruk.

Met andere woorden: ik trapte erin. Dus ik gaf antwoord.

Niet geschoten, altijd mis

Het gebruik van verschillende communicatiekanalen om iemand geld of informatie af te troggelen kent een lange en gevarieerde geschiedenis. Vaak worden gouden bergen beloofd. De Nigeriaanse prins is een bekend voorbeeld. Deze zwendelpraktijk doet denken aan een scenario uit de 19e eeuw, genaamd de Spaanse gevangene, maar leunt voornamelijk op brieven, faxberichten en e-mail als onderdeel van een meertrapsaanval die gericht is op mensen die over genoeg geld beschikken om miljoenen dollars te helpen smokkelen uit of een ander Afrikaans land, vaak Nigeria (vandaar de naam). Wie toehapt en de (zogenaamde) transactiekosten betaalt, wordt een torenhoog rendement in het vooruitzicht gesteld. Er zijn talloze varianten bekend van deze zwendel. Bijvoorbeeld een verloren gewaand familielid dat iemand een berg geld nalaat. Om de erfenis te innen moet de persoon alle juridische kosten betalen. Maar in het algemeen wordt bij dit soort zwendel ingespeeld op de hebzucht van het slachtoffer.

Bij phishing-aanvallen van het type "gestrande vriend" wordt dan weer misbruik gemaakt van de goede wil van de lezer. We willen allemaal mensen helpen die we kennen en aardig vinden. Ik in ieder geval wel. In mijn geval hadden de oplichters malware gebruikt (waarschijnlijk een Trojaans paard) om het e-mailaccount van mijn vriendin te kraken en toegang te krijgen tot haar contactpersonen. Het bericht dat ik had ontvangen, was gericht aan meer dan twintig mensen. Het is onduidelijk of de hackers zich bij het opstellen van hun lijstje met doelwitten lieten leiden door de communicatiegeschiedenis tussen mijn vriendin en haar contactpersonen of door hun geografische locatie, maar het ligt voor de hand, want vergelijkbare tactieken worden bij dit soort praktijken wel vaker ingezet. Aan de hand van gestolen e-maillijsten van liefdadigheidsinstellingen kunnen criminelen bijvoorbeeld valse goede doelen opzetten en zich richten op de mensen die het meest geneigd zijn om geld te doneren, op basis van hun activiteiten in het verleden.

En e-mail is goedkoop en makkelijk. Door databases te stelen of te kopen kunnen oplichters aan honderdduizenden adressen komen. Met wat logisch nadenken kunnen ze de kans dat iemand toehapt vergroten.

Niet geslaagd voor de vriendschapsversie van de Turing-test

In mijn geval antwoordde mijn nepvriendin dat ik een paar duizend dollar moest overmaken naar een vestiging van Western Union in Odessa. Voordat ik toestemde, vroeg ik haar naar de naam van een gemeenschappelijke kennis met wie we ooit samen had gegeten. Die kon ze natuurlijk niet noemen. Toen heb ik mijn vriendin gebeld op de vast lijn (in een ander land) en een voicemailbericht achtergelaten waarin ik haar waarschuwde dat haar e-mailaccount mogelijk was gehackt.

Ik wil graag geloven dat ik te slim ben voor dit soort oplichterij. Maar criminelen hebben toegang tot dezelfde analysesystemen als overheden en grote bedrijven. Ze hebben zich ook tientallen (soms honderden) jaren kunnen bekwamen in hun vak en weten dus heel goed hoe ze zelfs de meest standvastige mensen kunnen beïnvloeden. Om scherp te blijven kunt u een aantal dingen doen:

  • Weet wat phishing is. Bewustzijn is een enorme stap richting preventie. Weten dat er oplichters zijn die zich voordoen als vertrouwde contactpersonen, is erg belangrijk om ze te kunnen herkennen.
  • Weet wat ze willen. Bij verzoeken per e-mail (of zelfs sociale media) om geld moet er onmiddellijk een belletje gaan rinkelen. Dat geldt ook voor verzoeken om persoonlijke gegevens of om gebruikersnamen en wachtwoorden.
  • Let op de aanwijzingen. Let daarnaast op spelfouten, gebrekkige grammatica en vreemde formuleringen. Banken, overheidsinstellingen en commerciële organisaties vragen via e-mail bijna nooit om persoonlijke informatie, aanmeldingsgegevens of geld. Wees dus op uw hoede als er om gegevens wordt gevraagd.
  • Controleer het e-mailadres. Het lijkt misschien op het e-mailadres van de afzender, maar let goed op ontbrekende of extra tekens in het adres.
  • Klik er nooit op, kopieer of plak het niet en stuur het nooit door. Ziet een e-mailbericht er ook maar enigszins verdacht uit, kopieer er dan geen tekst uit om in een ander document te plakken en stuur het ook niet door. Wilt u het e-mailbericht documenteren (om een vriend of een bedrijf te waarschuwen), dan kunt u het beste een schermopname maken.
  • Beantwoord het e-mailbericht niet. Ja, ik deed dat wel, ook al rook ik onraad. Maar door te antwoorden weet de oplichter dat u aandacht besteedt aan dergelijke e-mailberichten en ze opent. Dit zal criminelen niet ontgaan en mogelijk bewaren ze uw e-mailbericht voor een volgende, overtuigendere poging.

De stappen hierboven zijn misschien niet waterdicht. Maar ze kunnen er wel toe bijdragen dat u bewuster met de beveiliging omspringt.

AVG AntiVirus FREE GRATIS downloaden