Troy Hunt, oprichter van Have I Been Pwned (datalekzoekmachine) is slachtoffer geworden van een phishingmail. Een mailinglijst van zijn blog is hierdoor gelekt. De gestolen data betreft een geëxporteerde Mail-chimp lijst met daarin zestienduizend records van personen die zich hadden aanmeld om de nieuwsbrieven van het blogplatform van Hunt te ontvangen.

Troy (beveiligingsonderzoeker) heeft zelf een blogpost geschreven over de phishingaanval waarin hij uitlegt wat er precies is gebeurd. Troy ontving een e-mail namens Mailchimp (tenminste, zo leek het) waarin werd gemeld dat zijn mogelijkheid tot het versturen van e-mails was beperkt wegens een klacht over spam. Er werd gevraagd om de meest recente campagnes en ontvangerslijsten te controleren en te kijken of die overeenkwamen met de policies zoals MailChimp die hanteert. In de mail was een grote button geplaatst met 'Review Account'. Hier heeft Hunt vervolgens op geklikt, heeft ingelogd en zijn 2 factor code ingevuld. De pagina bleef na het invoeren van het 'one time password' hangen, waarna het kwartje viel bij Troy. Hij is meteen naar de officiele website van MailChimp gegaan en heeft daar ingelogd en direct zijn wachtwoord gewijzigd. In de tussentijd kreeg hij al een melding dat zijn mailinglijst geëxporteert werd vanaf een locatie in New York, terwijl Hunt zelf op dat moment in Londen verbleef. 

De neppe MailChimp-website is inmiddels door Cloudflare offline gehaald, maar Troy waarschuwt opnieuw; wees alert op phishingmails en spam.

Zo zie je maar, dat in slechts een moment van onoplettendheid iedereen slachtoffer kan worden van phishing, ook een beveiligingsonderzoeker die continu bezig is met dit soort onderwerpen. Zeker gezien het feit dat deze mails tegenwoordig steeds realistischer lijken te zijn, zijn ze soms moeilijk van echt te onderscheiden. Slachtoffer worden van phishing is dus niet iets om je voor te schamen.  

Hoe kun je een phishingmail herkennen?

Het is vaak makkelijker gezegd dan gedaan, maar je kunt een phishingmail herkennen als zijnde phishing. We geven een paar adviezen:

1. Controleer het e-mail adres van de afzender. Ookal lijkt de naam misschien hetzelfde als die van een webwinkel, of de bank, maar in het e-mail adres zelf zie je vaak dat het van een andere partij afkomstig is. Let hierbij goed op de domeinnaam (het gedeelte achter het @-teken) 
2. Controleer of het e-mail adres overeenkomt met het websiteadres. Als het e-mail adres bijvoorbeeld eindigt op @bank123.nl, terwijl de website www.bank.nl is, weet je dat daar iets niet klopt. Let ook goed op de schrijfwijze, want vaak zijn de verschillen heel subtiel. Dan wordt bijvoorbeeld een letter vervangen door een cijfer. een o (letter o) kan bijvoorbeeld door 0 (cijfer 0) zijn vervangen. 
3. De aanheft van de e-mail. De meeste bedrijven en organisaties waar jij klant bent, weten je naam en zullen in e-mails meestal wel je achternaam gebruiken, en ze weten of je een man of vrouw bent. Ontvang je een mail met als aanhef vrij algemene termen, zoals 'beste klant', 'geachte heer' enzovoorts, dan weet je dat je wat extra op moet gaan letten.
4. Vragen om persoonsgegevens. In veel phishingmails wordt je gevraagd om jouw persoonsgegevens 'te controleren', 'aan te vullen', of 'bij te werken'. Er wordt je gevraagd om hiervoor op een link te klikken. Doe dat nooit zomaar! Overheidsinstanties, je bank en je verzekeringsmaatschappij zullen nooit op die manier naar jouw gegevens vragen. Je kunt het beste zelf contact opnemen met het bedrijf waar je de mail van hebt ontvangen, om te controleren of zij de mail wel hebben gestuurd. Doe dat niet via de contactgegevens uit die mail, maar met de gegevens die je zelf al had of op de echte website terugvindt. 
5. Taalgebruik is tegenwoordig niet meer zo'n goed herkenningspunt. Dankzij de komst van onder andere AI worden de phishingmails taalkundig steeds beter en moeilijker van echt te onderscheiden. Blijf hier echter wel alert op. De schrijfstijl zou anders kunnen zijn. Je kunt eventueel een eerdere (echte) e-mail die je van het zelfde bedrijf hebt ontvangen ernaast leggen om te vergelijken. 
6. Laatste waarschuwing! Spoed! Als je dit soort termen tegenkomt in de mail, dan weet je dat je alert moet zijn. Veel phishingmails proberen je onder druk te zetten om direct actie te ondernemen. Dat doen ze door bijvoorbeeld zaken te mailen als 'jouw e-mail account verloopt als je vandaag niet betaalt'. Neem contact op met jouw leverancier om dit te controleren, maar klik niet op linkjes in de mail.
7. Linkjes in phishingmails kunnen je naar schadelijke websites toesturen of ervoor zorgen dat er kwaadaardige software op jouw apparaat wordt geïnstalleerd. Klik dus nooit zomaar op die linkjes. Controleer het adres van de link door (zonder erop te klikken) met de cursor van je muis boven de link te hangen en kijk welk adres er in beeld komt.
8. Link verkorters worden veel gebruikt in phishingmails. Zie je zo'n verkorte link, dan moet je alert zijn. Je kunt namelijk niet goed zien waar je naartoe wordt gestuurd als je er op zou klikken.
9. Bijlagen in phishingmails kunnen kwaadaardige software installeren op je apparaat. Open de bijlagen dus nooit zomaar als je de e-mail niet vertrouwt. Zip-bestanden en rar-bestanden zijn vrijwel altijd verdacht. Een factuur of herinnering wordt namelijk nooit zo verstuurd. Verwacht je wel een bestand? Neem contact op met de afzender om na te gaan wat ze hebben gestuurd. Zoek ook hierbij de contactgegevens op op bijvoorbeeld de website. Gebruik nooit de gegevens uit de e-mail.

Test je phishing kennis

Het Digital Trust Center heeft een quiz opgesteld waar je in 8 vragen kunt testen hoe het gesteld is met jouw kennis over phishing. Deze phishing-quiz kun je hier doen, je krijgt de uitslag meteen na het invullen te zien!