Pas op !! Phishing !!
Gemaakt door: Esmée Visser en Yshia Jhapsie Sector: Economie Datum: 12 februari ’15
Het voorwoord
Wij willen graag de Rabobank bedanken voor hun medewerking. We hebben veel aan de informatie gehad van mevr. Kroes en Seefart. Ze hebben ons goed uitgelegd, hoe een bank te werk gaat met phishing. En we hebben een interview met haar gehouden, die later in ons verslag te lezen is.
1. De inhoudsopgave 2. De inleiding
blz. 4 2
3. Het middenstuk
blz. 5
3.1 Wat is phishing? 3.2 Hoe gaat men te werk bij phishing? 3.3 Hoe herken je en wat doe je als je slachtoffer van phishing bent? 3.4 Hoe voorkom je phishing? 3.5 Wat doet een bank tegen phishing? 4. Ons eigen onderzoek
blz. 10
5. De conclusie
blz. 15
6. De bronnenlijst
blz. 16
2. De inleiding
3
Het onderwerp phishing heeft ons aangesproken omdat het niet heel bekend is, vooral niet onder de jongeren. Zelf wisten we er ook niet zo heel veel van. Door dit werkstuk zijn we er meer over te weten gekomen. Onze algemene onderzoeksvraag is: Wat voor impact heeft phishing op de maatschappij. Hierbij hebben wij vijf deelvragen: € € € € €
Wat is phishing? Hoe gaat men te werk bij phishing? Hoe herken en wat doe je als je slachtoffer bent van phishing? Hoe voorkom je phishing? Wat doet een bank tegen phishing?
We denken zelf dat phishing veel impact heeft op de maatschappij. Mensen zijn er wel bang voor, maar onderschatten het ook heel erg. Je vult zo je bankgegevens in en een paar uren of dagen later is je rekening leeg. Mensen zijn best wel naïef in privacygevoelige informatie, want phishing komt vaker voor dan je denkt. We denken zelf dat het alleen maar zal toenemen, door de technische ontwikkelingen. Om dit werkstuk in elkaar te zetten, hebben we voordat we begonnen een werkplan opgesteld. Hier hebben we ons heel goed aan gehouden, waardoor onze planning altijd goed op schema lag. We hebben eerst onze hoofdvraag en deelvragen gemaakt. Daarna hebben we een afspraak gemaakt bij de Rabobank en vervolgens zijn we via het stappenplan te werk gegaan. In dit werkstuk gaat het natuurlijk over phishing en de soorten, hoe je dit kunt voorkomen en hoe de banken ermee omgaan en wat de ze ertegen doen. Daarnaast hebben we een interview met een medewerker van de bank gehouden, die gespecialiseerd is in phishing. We zijn er ook achter gekomen hoe je phishing kunt herkennen en hoe snel mensen op een nep mailtje of telefoontje ingaan en hun persoonlijke gegevens doorgeven.
3.1 Wat is phishing? Phishing is een vorm van internetfraude of via de telefoon. Hierbij vragen fraudeurs naar de inloggegevens van je bankrekening, zoals je pincode en je 4
bankrekeningnummer. Fraudeurs maken via de mail een kopie van de officiële website om zo je inloggegevens te ontfutselen. Hierdoor kan de fraudeur super gemakkelijk inloggen op je bankaccount. Zo kunnen ze het bedrag op je rekening overboeken naar een andere rekening. Daardoor raak je al je geld kwijt. Er zijn in totaal 3 soorten vormen van phishing. Uiteindelijk heeft elke soort phishing het doel om persoonlijke gegevens te achterhalen. Dit zijn de 3 soorten phishing: € Nep reclames: Op een internet pagina staat een aanbieding, bijvoorbeeld: win 200 euro tegoed bij Albert Hein, of maak kans op een diner-bon t.w.v. 150 euro. Ook bij deze reclames moet je, nadat je op de link hebt geklikt allemaal gegevens invullen zoals: je email, adres of je telefoonnummer. Hierna krijg je allemaal spam in je mailbox en word je email adres en telefoonnummer doorgestuurd naar verschillende bedrijven, waardoor je super veel en verschillende spam krijgt. Maar uiteindelijk krijg je nooit je shop tegoed of je diner-bon. € Via de telefoon: Er zijn verschillende manieren om via de telefoon aan je bankgegevens te komen. Een veel voorkomende truc is: De fraudeur belt je en zegt tegen je dat je geskimd bent, terwijl dit niet het geval is. Skimmen houdt in dat je pinpas en bankgegevens gekopieerd worden. Hierdoor kunnen ze terwijl je pint, je pincode overnemen en wordt je magneetstrip in de pinpas gekopieerd. Ze vragen dan of je de pinpas wilt blokkeren, zo kunnen de fraudeurs je pinpas niet meer gebruiken en dan lijkt je geld veilig te zijn. Maar wat je niet in de gaten hebt, is dat de bank naar al je gegevens gaat vragen, als je bankrekeningnummer en je inlog gegevens. Hierdoor wordt alsnog je rekening leeg gehaald. € Via de mail: Dit is een van de bekendste vormen van phishing. Je krijgt van de fraudeur een mailtje, waarin je moet inloggen met je inloggegevens van je bankaccount, dus je bankrekeningnummer en je pincode. Als je dit ingevuld hebt, kan de fraudeur inloggen op je bankaccount en al je geld overmaken aan naar een ander rekeningnummer en ben je al je geld kwijt.
3.2 Hoe gaat men te werk bij phishing? Je krijgt opeens een berichtje in je mailbox, die van je bank blijkt te zijn. Je moet doorklikken naar de website van je bank, tenminste dat denk je. Maar het blijkt een nepwebsite te zijn. Dan krijg je een melding, dat je persoonlijke gegevens moet 5
doorgeven over je rekening en codes van je bank. Vaak geven ze als ‘reden’ dat het moet om de veiligheidsredenen, dat anders je gegevens verloren gaan of iets. Wat ook voorkomt is dat je als opdracht krijgt, om je gegevens rechtstreeks naar een persoon te mailen, wie dus die fraudeur blijkt te zijn. Ook kunnen ze je op bellen en doen alsof ze een bankmedewerker zijn en vragen naar je bankgegevens, omdat er om één of andere reden iets mis blijkt te zijn met je rekening.
Oplichters lokken mensen naar een kopie van een bankwebsite, dat doen ze vaak door een link in een e-mail. Als die gene de link opent en zich inlogt op zijn bankaccount, gaan die inloggegevens rechtstreeks naar de fraudeurs. Daardoor hebben ze dus gelijk de inloggegevens, en kunnen ze er mee doen wat ze willen.
Eerst gaan ze na of er geld te halen valt, dus of er genoeg geld op de bankrekening staat. Daardoor kiezen ze de doelgroep uit waarvan ze denken, dat er veel geld te halen is, dat zijn vaak mensen die al wat ouder zijn en wat meer geld hebben op de rekening. Ook gaan ze na, of deze persoon veel contactpersonen heeft om de nieuwe e-mails door te sturen. Aantal voorkomen fishing gevallen Hackers gaan erg slim te werk, ze zoeken precies uit wat een goeie tijd is om actief te gaan. Zoals tijdens kantoortijden, als mensen even snel iets moeten opzoeken of hun email checken, zullen ze niet alle tijd nemen om erbij na te denken van: Hé deze email klopt niet helemaal of deze website klopt niet. En zullen gewoon de opdrachten volgen, die ze krijgen. In het weekend, zijn de hackers niet actief.
Fraudeurs maken vooral gebruik van nepsites die te maken hebben met geld, zoals Ebay.
3.3 Hoe herken je phishing en wat doe je als je slachtoffer bent van phishing? Zodra je doorhebt dat je te maken hebt met phishing moet je gelijk een melding maken bij de bank. Soms heb je dat niet gelijk door, daarom zegt de bank ook dat je 6
regelmatig je afschrijvingen moet checken. Je kunt ook een rechtszaak starten, vaak geven ze je dan wel gelijk. Nadat je je bank hebt ingelicht, moet je gelijk daarna aangifte gaan doen bij de politie voor oplichting of voor diefstal. Als er geld van je rekening is gehaald, kun je het terug vragen bij je bank. Vaak vergoeden banken het geld wel, maar soms ook niet omdat ze vinden dat je onzorgvuldig bent geweest. Als je er niet uitkomt met de bank, kun je naar de geschillencommissie gaan. Je kunt phishing het beste herkennen aan bijvoorbeeld een mailtje die niet helemaal klopt. Kijk goed naar het afzendadres, als dat vaag is, is het al fout. Ook de aanhef is belangrijk, een bedrijf waar je klant bent, weten hoe je heet en zullen de aanhef beginnen met: Geachte meneer/mevrouw en dan je achternaam. In zo’n phishing mail word je vaak gevraagd naar persoonsgegevens of moet je op een link klikken, dat klopt al niet. Je moet ook goed kijken, naar het taalgebruik. Een phishing mail bevat vaak tekst die vertaald is, door een vertaalcomputer. E-mails van échte bedrijven, bevatten bijna nooit taalfouten. Kijk ook goed naar de vorm van de mail, als er bijvoorbeeld logo’s missen, weet je al dat het niet helemaal klopt.
3.4 Hoe voorkom je phishing? Phishing is makkelijk te voorkomen door een paar regels te volgen. € Je moet nooit inloggen via een link met persoonlijke gegevens. 7
€ € € €
Controleer goed het adres, voordat je persoonlijke gegevens invult. Het is ook verstandig, dat je regelmatig je afschrijvingen controleert. Regelmatig je wachtwoord veranderen, is ook niet verkeerd. Je moet nooit je wachtwoord of gebruikersnamen doorgeven via de telefoon of mail. € Als je een dreig berichtje krijgt, niet op reageren. € Ook kan een nep email al opvallen, als het bijvoorbeeld in slecht Nederlands is geschreven. € Als je het zeker wilt weten of een email of telefoontje echt is. Kun je altijd je bank bellen, om te vragen of je email of telefoontje inderdaad van de bank was. De bank zal nooit om bank of persoonlijke gegevens vragen via de mail. Daarom moet je nooit reageren om e-mails die daarna vragen. Als je zo’n email krijgt, moet je die gelijk verwijderen en nooit op een link klikken die in de email staat.
3.5 Wat doet een bank tegen phishing? De bank doet er zo veel mogelijk aan om phishing te voorkomen. De bank probeert de phishing mails en sites op te sporen. Daarna proberen ze deze sites op te heffen. 8
Als de bank zo’n site opgespoord heeft, zal de bank je informeren met een mail, brief of telefoontje. Dit doen ze om je te informeren en je erop te attenderen alert te zijn op nep mails van de bank. De bank zou je nooit een mail sturen om bijvoorbeeld een nieuwe site te testen of om uw bankgegevens door te mailen. Het is belangrijk dat je zo’n mail negeert en dat je die uitprint en aan de bank laat zien. Zo kunnen ze uitzoeken wie de bron is van deze mail. De bank besteed de laatste tijd meer tijd aan het bekend maken van phishing. Ze maken reclames en waarschuwen voor phishing. Wat hier duidelijk naar voren komt, is dat iedereen, dus ook familieleden of vrienden, een fraudeur kan zijn de je inloggegevens wil hebben. Dat doen ze om duidelijk te maken dat, hoe goed je iemand kent, je nooit je inloggegevens moet vertellen aan iemand.
De bank kan er verder niet veel tegen doen, want de verantwoordelijkheid ligt bij de klant zelf. Het enige wat de bank kan doen, is de klant informeren over phishing en de gevolgen vertellen, waarschuwen dus.
4. Ons eigen onderzoek
9
Voor ons eigen onderzoek hebben wij drie interviews afgenomen bij de Albert Heijn, de Van Haren en bij de Rabobank. Ook hebben we 10 enquĂŞtes afgenomen. Hierbij hebben we een paar diagrammen gemaakt.
Dit interview is gehouden met de filiaal manager van Van Haren Drachten. Is de winkel wel eens in aanraking gekomen met phishing? Niet in dit filiaal Welke vorm is dat geweest? N.v.t. Komt phishing vaak voor bij uw bedrijf/instelling? Daar weet ik niet zo veel van, dit handelt het hoofdkantoor af. Maar volgens mij niet heel vaak, anders werden wij hier wel over geĂŻnformeerd. Hoeveel % van de omzet, gaat verloren aan mensen die iets kopen maar het niet betalen? 0,07% op jaar basis. Heeft u wel eens meegemaakt dat mensen met nep geld betalen? Ja, hierdoor hebben we een vals geld detector aangeschaft. Deze controleert briefgeld op echtheid. Ook is het bij ons verplicht om het geld terug te tellen dat de klant geeft en het briefgeld eerst op de lade te leggen i.v.m. de wisseltruc. Heeft u wel eens klachten gehad van klanten, die phishing e-mails kregen op de naam van uw bedrijf ? Nee nog nooit. Wat voor maatregelen neemt u om phishing te voorkomen? N.v.t. Dit regelt het hoofdkantoor.
Dit interview is gehouden met de filiaal manager van de Albert Heijn. 10
Is de winkel wel eens in aanraking gekomen met phishing? Nee, als filiaal niet. Welke vorm is dat dan geweest? N.v.t. Komt phishing vaak voor bij uw instelling/bedrijf? Durf ik zo niet te zeggen, maar waarschijnlijk niet, anders zou ik het wel weten. Hoeveel % van de omzet gaat verloren, aan mensen die iets kopen maar het niet betalen? Durf ik zo niet te zeggen, niet zo heel veel in ieder geval. Heeft u wel eens meegemaakt dat mensen met nep geld betalen? Ja dit gebeurt wekelijks, mensen proberen met nep geld de boodschappen te halen. Om dit te voorkomen, gebruiken wij speciale stiften. Als je met de stift over het watermerk van nep geld gaat, wordt dit zwart. Zo kun je aantonen dat het geld nep is. Heeft u wel eens klachten gehad van klanten, die phishing e-mails kregen op de naam van uw bedrijf? Nee, ik weet wel dat zo iets bij de Aldi is gebeurt. Dan kreeg de klant een mail waarin ze â‚Ź50 shop tegoed kregen. Wat voor maatregelen neemt u om phishing te voorkomen? Er valt moeilijk maatregelen tegen te nemen. We kunnen alleen het geld controleren, meer niet.
11
Dit interview is gehouden met Maartsje Seefart, dit is een medewerkster van de Rabobank te Drachten.
Wat houdt phishing precies in? Criminelen vissen naar persoonlijke gegevens van mensen, door ze te verleiden met een mailtje, om vervolgens aan hun geld te komen. Hoe kan men phishing voorkomen? Het allermooiste zou zijn dat niemand meer reageert op phishing e-mails, dat is het enige wat het kan voorkomen.
Wat doet een bank tegen phishing? € De bank waarschuwt heel veel. € Ze geven als advies: Als je gebeld wordt en je het niet vertrouwd, bel de bank. € Het hoofdkantoor in Nederland, controleert de overboekingen van mensen. Zodra het grote, rare bedragen zijn met een rare omschrijving, nemen ze contact op met de rekeninghouder en vragen ze of dit klopt. Wat merkt de bank bij de maatschappij als het gaat om phishing? In deze tijd doen mensen meer aan social media, dus ook meer met e-mails, waardoor er dus meer phishing e-mails worden verstuurd. Steeds vaker reageren mensen op de e-mails. Phishing heeft veel impact op de maatschappij, vooral emotioneel bij de slachtoffers en financieel bij de banken en de andere instanties die eraan mee werken. Je hebt slachtoffers en fraudeurs, maar je hebt ook de geld ezels. Deze personen helpen bij het doorsluizen van crimineel geld, door hun bankrekeningnummer beschikbaar te stellen om het geld op te storten. De criminelen laten nooit het geld op hun eigen rekening storten, omdat ze anders makkelijk te traceren zijn. Hoe kan men een phishing e-mail herkennen? Vroeger kon je het goed herkennen aan slecht geschreven teksten. Nu is dat minder omdat er nu hulpmiddelen bestaan om goed Nederlands te schrijven. Verder kun je een e-mail herkennen aan deze punten: € Bij een bank staat nooit n.v. achter de naam van een bank € Als er ‘’klik hier’’ in de mail staat, moet je met de cursor er op gaan staan, maar niet klikken. Dan zie je de site waar de link naar verwijst, en als dat niet de site is van je bank, is het een nep mail. Bij welke doelgroep komt phishing het meeste voor? 12
Het komt in alle doelgroepen voor, maar vaak komt het tussen de 20 en 80 jaar het meeste voor. Het is moeilijk te zeggen in welke doelgroep phishing het meeste voorkomt, want de criminelen ‘’vissen’’ gewoon en weten niet hoeveel geld je op je rekening hebt staan. Je wordt er dus toevallig slachtoffer. Geeft de bank ook een vergoeding als je bankrekening is leeggehaald? Dat hangt af van de omstandigheden, zodra de klant zijn/haar codes afgegeven heeft, komt er geen vergoeding omdat de bank dat ziet als eigen schuld. De bank waarschuwt er immers vaak genoeg voor.
Kan de bank phishing voorkomen? Nee, de bank niet. De e-mails komen van de criminelen. Het enige wat de bank kan doen is waarschuwen. Hoe gaan criminelen te werk bij phishing? Vaak wordt er in een e-mail een virus meegestuurd, die zich installeert om je computer. Als je dan moet inloggen op je internet bankieren site, kijken de criminelen mee met de betalingen en hebben ze je gegevens in bezit. Heeft u ook tips voor ons, die wij op de avond van de presentatie kunnen meegeven aan de mensen, om zich te beschermen tegen phishing? Volg de 5 principes van veilig bankieren op, en die zijn: € Houd je codes geheim € Gebruik je pinpas alleen voor jezelf, dus leen hem niet uit. € Zorg voor een goede beveiliging voor je apparatuur (computer, laptop, telefoon) € Controleer je bankrekening en afschriften. € Meld rare gevallen bij de bank en volg de aanwijzingen van de bank op. Reageer nooit op onbekende telefoontjes en geef nooit je persoonlijke gegevens aan iemand die je niet kent. Trap niet in de babbeltruc, dit is een smoes waarmee oplichters je codes proberen te verkrijgen.
13
Uitslag van de enquête Wij hebben deze enquête afgenomen bij 10 mensen. Hieruit zijn de volgende uitslagen gekomen:
Mensen in aanraking met phishing
ja
Welke vorm van phishing
Telefoon
nee
Welke vorm van phishing kent u?
Sms
skimm
Wat houdt phishing in?
Bankgegevens kopiëren oplichten achter persoonlijke gegevens komen Mail
Skimm
Telefoon
sms
14
De conclusie Uit ons onderzoek is gebleken dat phishing veel invloed heeft op de maatschappij. Er worden dagelijks veel phishing e-mails gestuurd of telefoontjes gepleegd. En er trappen zoveel mensen in. Tegenwoordig zitten steeds meer mensen op social media en dus ook op de mail. Hierdoor worden er steeds meer phishing mails gestuurd en worden steeds meer mensen slachtoffer. Mensen zijn te goed gelovig en wat naïef, omdat ze ingaan op zulke berichten, terwijl de bank er heel veel voor waarschuwt. Wij stonden er versteld van hoe vaak het gebeurt, en om wat voor bedragen het gaat. Soms worden er wel meer dan duizenden euro’s afgeschreven. Wij denken dat veel mensen bang zijn om slachtoffer te worden van phishing, want het gaat zo gemakkelijk. Bij iets waarvan je denkt dat het vertrouwt is en je je gegevens geeft, en als je even later kijkt is je bankrekening leeg. De schade die phishing toe brengt is best groot, niet alleen bij de slachtoffers, maar ook bij de banken en politie. Dit kost hen veel geld en veel tijd. De slachtoffers hebben vooral emotionele schade, ze gaan minder snel banken maar ook minder snel mensen vertrouwen. Wij denken dat mensen hierdoor minder snel gaan internetbankieren, omdat het steeds onveiliger word. Fraudeurs worden steeds slimmer, en bedenken steeds betere tactieken om aan je gegevens te komen. Mensen die moeten betalen, zoals bij een tankstation, zullen nu eerder contant gaan betalen, omdat ze bang zijn om geskimd te worden. Wat ook weer nadelig is voor het tankstation, omdat als ze overvallen worden, meer contact geld kwijt zijn. Door de actie ‘klein bedrag pinnen mag’ gaan steeds meer mensen pinnen, en hier zien de fraudeurs hun kans. Het aantal skimm gevallen is toegenomen, sinds zulke acties.
15
De bronnenlijst Wij hebben onze informatie, van de volgende websites: € € € € € € € € € € €
www.browserchercker.nl – Browser chercker www.elsevier.nl – Jorien Apperloo www.infonu.nl – Lisa www.ING.nl – ING www.jurofoon.nl – Jurofoon www.opgelicht.nl – Opgelicht www.politie.nl/theamas/phising - De politie www.radartv.nl – De ANP www.safeinternetbanking.be – Safe internet banking www.veiligbankieren.nl – betaal vereniging Nederland www.z24.nl – Mike Jonker
€ Rabobank Drachten – Mevr. Seefart € Van Haren Drachten – Sanne Krottje € Tankstation BP – Medewerker BP
16