Geen oplichting zo hardnekkig als phishing. Zo lang mensen in de slim gespannen val van de cybercriminelen blijven trappen, zal het fenomeen blijven bestaan en worden de oplichters steeds geraffineerder. Bankenfederatie Febelfin zegt dat 75 procent van de geslaagde phishingaanvallen toch nog onderschept wordt.
De kranten staan al jaren vol verhalen van mensen die hun rekening geplunderd zagen door cybercriminelen. En dat wordt er niet minder op: in één week tijd getuigden in deze krant drie gedupeerden hoe ze het slachtoffer werden van valse Proximus- en Argenta-medewerkers.
Ook bij de politie stromen de klachten binnen. Volgens de recentste cijfers van Safeonweb meldt 44 procent van de Belgen phishingberichten via het adres verdacht@safenonweb.be. In 2024 stuurden alerte burgers meer dan 9 miljoen berichten door. Dat zijn er iets minder dan in recordjaar 2023 (10 miljoen), maar het blijft enorm: gemiddeld 25.900 meldingen per dag.
Het illustreert de schaal van het probleem. Op basis van de meldingen kon Safeonweb 1.644.732 verdachte links detecteren en omleiden. Wie per ongeluk toch op zo’n link klikte, werd naar een waarschuwingspagina gestuurd en zo beschermd tegen oplichting.
Nieuwe trends
Volgens Safeonweb zijn er wel nieuwe phishingtrends. Zo zitten smishing (via sms) en vishing (via telefoon) in de lift. Op die manier proberen criminelen de tweefactorauthenticatie (2FA) te omzeilen. Naast een wachtwoord om in te loggen vraagt 2FA een extra code via je telefoon. Oplichters doen zich bijvoorbeeld voor als Card Stop of een bankmedewerker, melden een verdachte transactie en proberen die codes te ontfutselen of slachtoffers te overtuigen om via Itsme iets te bevestigen.
Ook gepersonaliseerde aanvallen nemen toe. Oplichters verzamelen zoveel mogelijk persoonlijke informatie om vertrouwen te winnen, een techniek die bekendstaat als social engineering. Wie opgebeld wordt door iemand die je naam, geboortedatum en andere gegevens kent, is sneller geneigd te geloven dat het om een echte bankmedewerker gaat. Wees daarom voorzichtig met welke persoonlijke informatie je allemaal deelt op sociale media.
Artificiële intelligentie en deepfake maken vandaag het ‘werk’ van cybercriminelen nog eenvoudiger. Er zijn al gevallen bekend waarbij een stem van een bedrijfsleider werd nagebootst in een door AI gegenereerd voicebericht.
Onderscheppen
Bankenfederatie Febelfin wijst ook al jaren op de gevaren van phishing. Toch slagen cybercriminelen er nog steeds in om bankrekeningen van hun slachtoffers te plunderen. Hoe kan dat zonder dat de bank ingrijpt?
“Dat is een complexe vraag, omdat veel factoren meespelen”, zegt woordvoerder Isabelle Marchand van Febelfin. “Heeft het slachtoffer een dag- of weeklimiet? Welke regels hanteert de bank? Gaat het om een klassieke overschrijving of een instantbetaling? Bij een klassieke overschrijving win je tijd, omdat ze niet meteen wordt uitgevoerd. Wie denkt slachtoffer te zijn van phishing, moet zo snel mogelijk contact opnemen met de bank. Misschien is het geld nog niet verdwenen. Bij instantbetalingen is dat moeilijker, maar soms kan het bedrag toch nog gerecupereerd worden.”
Wat bedoelt u precies met ‘recupereren’?
Marchand: “Belgische banken hebben afspraken over de aanpak van money mules of geldezels: mensen die hun rekening ter beschikking stellen van oplichters, soms zonder het te beseffen. Er is monitoring van transacties en er zijn mechanismen om geldezels op te sporen. Banken kunnen dan betalingen tijdelijk blokkeren op de rekening van de begunstigde geldezel. In dat geval kan het bedrag alsnog worden teruggehaald.”
Hoe groot is het phishingprobleem bij de Belgische banken?
“De meeste recente cijfers zijn van 2024 en toen ging het over een totale schade van 49 miljoen euro. Maar in dat jaar hebben de banken ook wel 75 procent van de geslaagde phishing-overschrijvingen nog onderschept. Ik kan alleen geen aantal kleven op het concrete aantal aanvallen.”
Is een slachtoffer altijd zelf in fout?
“Niet altijd. In sommige gevallen kan ook de bank aansprakelijk zijn. Als er geen sprake is van grove nalatigheid, kan het gestolen bedrag worden terugbetaald. Grove nalatigheid is bijvoorbeeld het doorgeven van je pincode, bankkaart- of Itsme-gegevens via telefoon of sms. We kunnen het niet genoeg benadrukken: wees altijd waakzaam. Haak in bij twijfel en bel zelf je bank om te controleren of zij je effectief hebben gecontacteerd.”
HBVL 19/2 - R. Damiaans
Reactie plaatsen
Reacties