Cybercriminelen hanteren nieuwe phishing methoden door artificiële intelligentie

Op 11/09/24
Deel via

Heb je te maken met je bank of met een oplichter? Phishing is handig vermomde online fraude om je rekeningen te plunderen. Ontdek hoe je dit voorkomt!

Je hebt zeker al eens gelezen of gehoord over de term ‘phishing’ (in het Nederlands letterlijk ‘hengelen’). Cybercriminelen gebruiken die techniek al vele jaren om je op te lichten. Ze stelen je gegevens, misbruiken je identiteit, plunderen je rekeningen … Soms gaan ze heel ver om je in de val te lokken. Tegenwoordig maken ze gebruik van nieuwe technologieën en steeds verfijndere phishing methoden, inclusief artificiële intelligentie (AI phishing). Hoe herken je phishing? Hoe bescherm je jezelf ertegen? En wat kan je doen? Wij helpen je om het uit te vissen!

Wat is phishing eigenlijk?

Het doel van online oplichters is eenvoudig: ze ‘vissen’ naar je vertrouwelijke gegevens. Denk aan je bankrekeningnummer, de geheime code van je bankkaart of de CVV-code op de achterkant, je wachtwoorden, het nummer van je identiteitskaart, enz. Met die gegevens proberen ze dan je bankrekeningen te plunderen of je geld te ontfutselen door je identiteit te misbruiken.

Maar hoe komen deze criminelen aan je gegevens? Ze proberen op alle mogelijke manieren je achterdocht weg te nemen door zich uit te geven voor een betrouwbare instelling zoals je bank, een overheidsdienst, je energieleverancier, een webshop of streamingplatform zoals Netflix en zelfs een familielid of vriend. Ze nemen contact op via e-mail, sms, WhatsApp, Facebook Messenger of door gewoon te bellen en proberen je te doen geloven dat je hen volledig kan vertrouwen. Denk je nu: hoe dom moet je zijn om daar in te trappen? Wel, hun aanpak is zo realistisch dat zelfs de meest kritische mensen in de val lopen. En hun nieuwste phishing methoden, op basis van artificiële intelligentie (AI), maken dit alleen maar erger. Hoe pakken ze dit aan?

Steeds sluwere phishing methoden

De opkomst van nieuwe technologieën is een positieve evolutie. Alleen kunnen ze in handen van cybercriminelen heel wat schade berokkenen. Zo gebruiken ze AI phishing methoden – je zou ze “phishing intelligence” kunnen noemen – om:

  • Officiële mededelingen van je bank of elke andere instelling of bedrijf verbluffend natuurgetrouw na te bootsen
  • Je Facebook-communicatie te hacken
  • Een perfect geïmiteerd, maar volledig nep betalingsplatform op te zetten
  • De stem van je zoon (die op reis is) na te bootsen (ook wel vishing of voice phishing genoemd)
  • Een vals videogesprek met één of meer ‘valse’ collega’s te organiseren

Tegenwoordig slagen de digitale oplichters erin om hun lokaas nauwkeurig af te stemmen op hun prooi en hun aanbod des te verleidelijker te maken. Met krachtige AI-algoritmen oogsten ze snel je persoonlijke gegevens op het web: ze scannen je Facebook- of Instagram-account, je digitale profielen of je WhatsApp-berichten. Hoe beter ze ‘hengelen’, hoe meer ze over je weten en hoe makkelijker ze je in de val laten lopen.

Dat er steeds meer frauduleuze sms-berichten (ook wel smishing genoemd) circuleren, is dus niet verwonderlijk. En dat ze steeds meer slachtoffers maken al evenmin, want ze klinken persoonlijker en overtuigender dan ooit. Zit een vriend in de problemen en vraagt hij je hulp? Is je kind op vakantie zijn portefeuille verloren? Vraagt je baas je plots om te videobellen?

Soms vissen de cybergangsters met grove netten. Hun digitale robots versturen dan enorme hoeveelheden algemene berichten naar een groot aantal potentiële slachtoffers. Ze vragen je dan bijvoorbeeld om je Netflix-abonnement te verlengen.

Bedrieglijk echt lokaas

Klinkt misschien allemaal wat te simpel, maar bedenk hoe snel je op ‘OK’ klikt in een bericht, vaak zonder dat je het helemaal hebt gelezen. Bovendien zit het lokaas soms zo vernuftig in elkaar, dat je bijna onmogelijk echt van vals kunt onderscheiden. Het logo oogt origineel, de opmaak is professioneel, de toon zit juist … Nu artificiële intelligentie steeds betere content genereert, wordt efficiënt oplichten bijna kinderspel. Cybercriminelen maken handig gebruik van de AI-mogelijkheden om video’s, spraakberichten en foto’s te produceren die je vrienden of familieleden, je bankier of collega akelig levensecht imiteren.

Zegt de term deepfake je iets? Het is een (angstaanjagende) techniek om met artificiële intelligentie beelden en filmpjes te maken of aan te passen. Zo werd een werknemer uit de financiële sector in Hong Kong ermee in de val gelokt. Nochtans had hij eerst alleen maar een phishing e-mail geopend. De cybercriminelen waren blijkbaar goed op de hoogte, want ze deden zich in het bericht voor als de financieel directeur van zijn bedrijf, die hem uitnodigde om deel te nemen aan een videoconferentie. Hoewel de medewerker eerst twijfelde, klikte hij toch op de link. Tijdens de compleet vervalste online vergadering vroeg de oplichter (die er helemaal als zijn directeur uitzag) om verschillende bedragen over te maken. Alleen het resultaat was niet nep: er kwam 24 miljoen euro terecht in de zakken van de oplichters!

Tientallen technieken

De creativiteit van de cybercriminelen lijkt wel grenzeloos. Ze ontwikkelen een arsenaal aan phishing methoden voor elk communicatiekanaal (sms, e-mail, telefoon, sociale media, enz.) en voor elke actie (op een link klikken, een formulier invullen, documenten delen, enz.).

Enkele voorbeelden:  

  • Je bank stuurt je een sms en vraagt je om – zo snel mogelijk – op een link te klikken die je recht naar de oplichterssite brengt, zogezegd “om je identiteit te controleren”.
  • Dezelfde truc werkt ook via e-mail. Je energieleverancier meldt je bijvoorbeeld dat er een probleem is met de betaling van je laatste factuur en dat je de situatie snel moet rechtzetten door je persoonlijke of bankgegevens in te vullen.
  • Cybercriminelen aarzelen ook niet om je te bellen. Je krijgt dan zogezegd je bankadviseur aan de lijn die zegt dat er verdachte transacties op je rekening plaatsvinden. Maar als je hem je login of itsme-code geeft of bereid bent om een programmaatje op je pc te installeren, dan kan hij dat snel oplossen. In werkelijkheid neemt hij – zonder dat je er iets van merkt – de controle over je pc over.

Wees dus altijd waakzaam, want oplichters verschuilen zich bijvoorbeeld ook achter een agenda-uitnodiging, een zoekertje op een tweedehandssite, een valse QR-code om een factuur te betalen en zelfs een WhatsApp-bericht dat afkomstig lijkt van een goede vriend! Gelukkig zijn er wel enkele signalen die alarmbellen kunnen doen afgaan.

Vaste patronen

Cybercriminelen sparen kosten noch moeite om je in hun klauwen te krijgen. Daarbij hanteren ze vaak wel hetzelfde scenario:

  1. Lokaas uitgooien door zich voor te doen als een bekende instantie: “open deze pagina om uw gewestpremie te ontvangen”, “klik op deze link om uw pakketje op te halen”, “er is iets misgelopen met uw laatste betaling”, enz.
  2. Een vertrouwensklimaat creëren: “Hallo, David hier, ik ben mijn telefoon kwijt en daarom heb ik een nieuw nummer”, “Goedemorgen, ik ben Bram Pieters, uw nieuwe bankadviseur”, “Ga naar ons betalingsplatform om uw bestelling te ontvangen”, enz.
  3. Laten uitschijnen dat iets dringend is en dat je onmiddellijk actie moet ondernemen: “Sorry dat ik u zo laat nog bel, maar dit is dringend!”, “Ik zit in de problemen en heb je hulp echt nodig”, “Als u vandaag niet betaalt, wordt uw account gewist”, enz.
  4. Vertrouwelijke gegevens bemachtigen: “Vul uw geheime code in”, “Stuur ons een fotokopie van uw identiteitskaart”, “De koerier heeft uw bankgegevens nodig”, enz.

De omvang van het probleem

Volgens Febelfin* zou in 2023 in ons land maar liefst 40 miljoen euro via phishing in criminele handen zijn terechtgekomen. Een enorm bedrag! De oplichters maken steeds meer slachtoffers en vooral de coronaperiode was voor hen een gouden tijdperk.

Nog steeds volgens Febelfin heeft 69% van de Belgen de voorbije 6 maanden minstens één phishing-bericht ontvangen. En slechts 62% van de Belgische phishing-slachtoffers weet wat ze moeten doen als ze een verdacht bericht of telefoontje ontvangen. Ook hier geldt: wie gewaarschuwd is (en oplet), is er twee waard. Weet jij wat je moet doen?

Hoe vermijd je valstrikken?

  1. Denk twee keer na bij elk bericht dat je vraagt om op een link te klikken, een formulier in te vullen of vertrouwelijke of persoonlijke gegevens prijs te geven. Bedenk dat je bank of een overheidsdienst dit nooit via sms of e-mail zou vragen.

    Lijkt de situatie je een beetje vreemd? Ook dat kan een aanwijzing zijn. Waarom zou een koerierdienst je vragen om een pakje te betalen dat je nooit hebt besteld? Waarom zou je verzekeringsmaatschappij je een factuur doen betalen als je die normaal via domiciliëring regelt? Wat bezielt je bankadviseur om je bankgegevens via telefoon op te vragen? Waarom zou een overheidsdienst je een premie betalen die je nooit hebt aangevraagd?

  2. Let op de details. Is het logo een beetje vaag? Staan er spellings- of taalfouten in de tekst? Is je naam fout geschreven? Lijkt het e-mailadres ongeloofwaardig (je bank gebruikt nooit Gmail of Hotmail!)? Zegt de afzender dat je “dringend” op een link moet klikken of een attachment openen? Begint het adres van een zogezegd veilige website met “http” in plaats van “https”? Word je gebeld buiten de kantooruren? Ontvang je zogezegd van je bank of een overheidsdienst een sms’je via een gewoon gsm-nummer? Elk van die signalen zou bij jou een alarmbel moeten doen afgaan.
  3. Veiligheid moet altijd een prioriteit zijn! We leven steeds meer in een digitale wereld. Is online shoppen ook voor jou een gewoonte, zoals voor 75% van de Belgen*? Wees dan voorzichtig, want je geeft noodgedwongen veel persoonlijke informatie prijs (inclusief je bankgegevens). Check dus zeker of de de webshop betrouwbaar en veilig is betrouwbaar de de webshop betrouwbaar en veilig is betrouwbaar en veilig is veilig is vóór je klikt op “Ik koop”. Je beste wapen om veilig en makkelijk te kopen? Ongetwijfeld je Bancontact-Visa Debit debetkaart of, nog beter, de Hello* kredietkaart van Hello de Hello* kredietkaart van Hello bank!! (op voorwaarde dat je aanvraag wordt goedgekeurd). Met die laatste kaart geniet je een verzekering Aankoopbescherming, ook als je online shopt! Nog een handige tip: sla nooit de gegevens van je bankkaart op de site op om je volgende aankopen makkelijker te maken.

  4. Ga nooit overhaast te werk. Zelfs als de situatie er heel veilig uitziet, is het een kleine moeite om wat bedenktijd te nemen. Heb je een e-mail van je bank ontvangen? Bel dan even met je adviseur om zeker te zijn dat die echt is. Bij de minste twijfel breng je het Contactpunt van de FOD Economie op de hoogte en stuur je het verdachte bericht door naar suspect@safeonweb.be.

Ben je het slachtoffer van fraude? Heb je je persoonlijke gegevens prijsgegeven? Misschien is het nog niet te laat: lees hier hoe je moet lees hier hoe je moet reageren.

* https://febelfin.be/nl/pers/fraude-veiligheid/phishing-t-zit-in-de-details