Bij alles wat we online doen, moeten we tegenwoordig opletten dat we niet opgelicht worden. Of we nu iets kopen of verkopen op Marktplaats, een appje ontvangen van een ‘familielid' met een ‘nieuw telefoonnummer', zogenaamd moeten betalen voor een ontvangen zending van PostNL of DHL, of wanneer we bij een schimmige webshop goedkoop een merkartikel kopen.
We zijn er inmiddels allemaal wel bekend mee. Onze bank waarschuwt ons geregeld dat er valse SMS'jes en mails in omloop zijn en dat je nooit je bankpas op moet sturen of je pincode of inloggegevens voor Internetbankieren moet doorgeven.
De Belastingdienst stuurt geen berichten met een willekeurig 06-nummer dat je een boete krijgt als je het openstaande bedrag niet direct via de bijgevoegde betaallink betaalt.
En de politie of rechtbank belt je niet met een random nummer waar je een bandje te horen krijgt in slecht Engels dat er iets is met je BSN.
Dit wordt allemaal phishing genoemd en is een vorm van cybercriminaliteit. En die cybercriminelen hebben nu ontdekt dat ze zich ook voor kunnen doen als een online casino. Vandaag neem ik je mee in de wereld van cybercriminaliteit en hoe vernuftig phishing kan zijn.
Bij cybercriminaliteit denken veel mensen aan de hacks die het nieuws regelmatig halen: grote bedrijven als Mediamarkt en VDL die dagen, weken, maanden ‘platliggen' door een hack. Vaak gijzelen de cybercriminelen informatie of systemen van het bedrijf waarvoor ze losgeld betalen.
En hoe komen die cybercriminelen het netwerk van zo'n bedrijf binnen? Bronnen zeggen dat hacks en andere cyberaanvallen bij bedrijven voor misschien wel 90% kunnen ontstaan door menselijk handelen. Dan bedoelen ze medewerkers die slordig omgaan met inloggegevens, klikken op links of bijlagen in e-mails etc.
Phishing betekent dan internetfraude waarbij je naar een echt lijkende, maar in werkelijkheid valse webpagina wordt gelokt. De bedoeling is dat je daar gegevens invult, een betaling doet, of iets waar de criminelen je gegevens mee kunnen krijgen, je bankrekening plunderen of iets anders van die strekking.
Bij bedrijven doen cybercriminelen dat om toegang te krijgen tot het netwerk, waarmee ze vervolgens een hack of een gijzeling kunnen uitvoeren. Bij particulieren zoals jij en ik hopen ze dat je gek genoeg bent om (veel) geld over te maken. En omdat je dat vrijwillig doet, kun je het ook niet zomaar terugkrijgen.
Kees van der Spek maakt, voorheen bij SBS en tegenwoordig bij RTL, televisieprogramma's vol over deze manier van oplichting. Want ook WhatsApp-fraude kunnen we wel onder phishing scharen, omdat je denkt geld over te maken naar een bekende of familielid in nood, maar het daadwerkelijk overmaakt naar een fraudeur.
Hoewel er nu steeds meer sprake is van fraude via WhatsApp, sms, telefoon etc., krijg je vast ook nog wel eens phishing e-mails. Je spamfilter is steeds beter in staat deze uit te filteren zodat je ze niet ziet, maar er gaan er echt nog langs dat filter heen.
Voorheen was een phishing-mail vrij gemakkelijk te herkennen, doordat het e-mailadres afweek van het officiële domein van je bank bijvoorbeeld. Dan stond er niet @rabobank.nl maar @robabank.nl bijvoorbeeld. Dat zie je gemakkelijk over het hoofd, maar als je een beetje oplet haal je die er zo uit. Ook stond z'n mail vaak bol van de taalfouten, of was het overduidelijk een vertaling met Google Translate.
Tegenwoordig is het steeds gemakkelijk om je voor te doen als een bedrijf. Zo kunnen criminelen zonder al te veel moeite gebruikmaken van de domeinnaam rabobank.nl of een sms sturen met als afzender RABOBANK. Dat wordt spoofing genoemd en is dus steeds gemakkelijker te doen. Ook is het taalgebruik in de e-mails steeds beter.
Ik durf wel te zeggen dat ik aardig op de hoogte ben van cybercriminaliteit en waar ik op moet letten. Naast de casinowereld heb ik namelijk nog een ‘expertise' en dat is ICT. Ik heb jarenlang in de IT en telecom gewerkt en een deel van mijn klanten komt ook uit die hoek.
Om erover te schrijven, moet je er ook iets van begrijpen. Tot zover mijn eigen borstklopperij, ik zeg dit alleen maar omdat ook ik wel eens bijna in phishing trap. Het lijkt tegenwoordig zo echt dat je van goede huize moet komen om het te onderscheiden.
Als ik dus een e-mail (of sms of appje) krijg van een instantie als de bank, Belastingdienst, een postbedrijf of iets anders ‘officieels', dan kijk ik dus tegenwoordig wel twee keer voordat ik een link open.
Het gemakkelijkst is dat natuurlijk als je een bericht krijgt van een bank waar je helemaal niet bankiert. Sms'jes dat mijn bankpas van ABN AMRO of ING verlopen was en opgestuurd moest worden, negeer ik natuurlijk meteen aangezien ik daar niet bankier.
Het tweede punt is, vooral bij mail, dat ik mezelf afvraag of ik een mail krijg op het mailadres dat bekend is bij de instantie. Ik heb verschillende mailadressen, net als veel Nederlanders. Hotmail voor nieuwsbrieven etc., gmail voor webshops en instanties, een zakelijk mailadres voor al mijn bedrijfszaken en een outlookadres voor online casino's.
Krijg ik een mail van mijn bank op mijn hotmail, dan weet ik dus al snel dat dat niet kan kloppen. De bank heeft dat mailadres helemaal niet. Dus, een poging tot fraude.
Na de banken, belastingdienst, koeriersdiensten en allerhande andere partijen, hebben de cybercriminelen nu door dat steeds meer mensen een account hebben bij een online casino en dat daar aardige bedragen in omgaan. We hebben zelf nog geen mails ontvangen die verdacht zien (of ze zitten veilig in de spam-filter) maar uit een mail die we van GGPoker ontvangen, blijkt dat hun naam in ieder geval al gebruikt is voor phishing.
GGPoker stelt de spelers daarvan op de hoogte en legt goed uit wat zij doen om phishing te voorkomen, maar vooral ook waar jij als speler op kunt letten en wat je kunt doen. Opvallend is dat we het bij andere online casino's nog niet hebben gehoord. Het lijkt ons een aanrader als elke aanbieder hier een voorbeeld aan neemt en spelers op de hoogte stelt wat de risico's zijn en waar ze op kunnen letten.
Dat de naam nog niet gebruikt wordt, wil niet zeggen dat het niet kan gebeuren. En een gewaarschuwd mens, of een gewaarschuwde speler, telt voor twee. Laten we samen zorgen dat cybercriminaliteit niet meer loont.