Phishing is niet hetzelfde als hacking. Het is een vorm van internetfraude waarbij criminelen door middel van trucs en creatieve methodes – zoals telefoontjes, namaak e-mails en andere vormen van social engineering – proberen om je verleiden tot het prijsgeven van informatie of het uitvoeren van financiële transacties.

Dat laatste ondervond bioscoopketen Pathé, toen een serie e-mails met geldverzoeken het bedrijf ruim 19 miljoen euro kostte. Gedurende meerdere weken werden de algemeen directeur en de financieel directeur bestookt met verzoeken van een fraudeursbende die zich voordeed als de bestuurder van het Franse hoofdkantoor. Er moest steeds met de nodige urgentie geld overgeboekt worden voor ‘een geheime overname van een bedrijf in Dubai’. Eerst zo’n 8 ton om de onderhandelingen te bespoedigen, later grotere bedragen voor onder meer ‘Communication and development’. Uiteindelijk is er 19.244.304 euro overgeboekt voordat de directie in Frankrijk aan de bel trekt, maar dan is het geld al spoorloos.

Het is van groot belang dat iedere organisatie voldoende maatregelen neemt om zich tegen deze vorm van fraude te wapenen, want er zijn bedrijven die wekelijks benaderd worden met dergelijke pogingen. Een onmisbare fail-safe is het invoeren van vaste procedures en richtlijnen, waarbij er geen enkele betaling aan een nieuw rekeningnummer uitgevoerd wordt zonder dat er uitgebreide controles aan vooraf gaan. Zo zijn ook fraudes met zogenaamd gewijzigde facturen van leveranciers of veranderde rekeningnummers van medewerkers te ondervangen.

CEO-fraude zoals bij Pathé is slechts één variant, maar zo’n 80 tot 90 procent van alle cyberaanvallen op bedrijven begint nog altijd met phishing. Het aantal gevallen waarbij individuele consumenten worden benaderd, is na een aantal jaren van daling bovendien weer toegenomen, zo hebben de politie en de vier grote banken ING, ABN Amro, Rabobank en SNS, laten weten.

De Nederlandse Vereniging van Banken meldde eerder dat de schade door fraude met internetbankieren de eerste helft van dit jaar meer dan verdubbeld was, van 679.000 euro in de tweede helft van 2017 naar 1,56 miljoen euro in tot juli 2018. Onder meer door de opkomst van kant-en-klare phishing-toolkits is het nog gemakkelijk voor criminelen om phishing-mails uit te sturen. Ook zouden de oplichters steeds creatiever worden en bijvoorbeeld inspelen op de actualiteit.

In de voorbije periode maakte de Fraudehelpdesk melding van phishing e-mails vanuit de Rabobank (‘klik hier om een nieuwe betaalpas aan te vragen’) en de ING (‘de versleuteling van uw ING Mobiel zal komen te vervallen’), maar ook van bedrijven als Bol.com, KPN en Videoland.

Dat niemand veilig is voor deze vorm van misbruik van namen van bedrijven en organisaties, bewees de Autoriteit Persoonsgegevens door op de eigen website een waarschuwing te publiceren omdat oplichters uit naam van de AP valse brieven versturen. De officiële toezichthouder van onze privacy heeft namelijk te maken met profiteurs die kwalijke nepbrieven versturen aan ondernemers. In de brief doen zij voorkomen dat ze medewerkers van de toezichthouder zelf zijn en een bedrijfsbezoek willen plannen. Ook intimideren ze met mogelijk hoge boetes en bieden ze tegen veel geld een waardeloze AVG-scan aan.

Phishing via e-mail blijft favoriet, want we worden steeds vaker benaderd met fraudepogingen via de digitale post. Deze pogingen worden bovendien steeds geavanceerder, want de e-mails worden niet alleen in grote aantallen naar potentiële slachtoffers gestuurd, maar ook steeds vaker op maat gemaakt.

Hackers bestuderen bijvoorbeeld je social media om te achterhalen wat je bezighoudt, of waarmee ze je kunnen bereiken. Fraudeurs doen zich voor als een vertrouwde instantie, zoals je bank of LinkedIn, of als een bekende klant of relatie uit je netwerk, zoals in het geval van Pathé. Via een valse e-mail proberen ze op slinkse wijze je wachtwoord, creditcardgegevens of andere vertrouwelijke gegevens te achterhalen, of zelfs direct een financiële transactie in gang te zetten.