Deze post maakt onderdeel uit van een serie over het onderwerp "online veiligheid" - Red.

Wereldwijd ontvangen miljoenen mensen zogenaamd "urgente" e-mailberichten die hen aansporen om direct actie te ondernemen om "ongelukken" te voorkomen. Het gaat om meldingen zoals "Onze bank heeft een nieuw beveiligingssysteem. Als u uw gegevens nu niet bijwerkt, zult u niet langer in staat zijn om toegang tot uw bankrekening te krijgen" en "We zijn niet in staat geweest om uw gegevens te verifiëren. Klik hier om uw rekeninggegevens te actualiseren". Soms wordt er in het e-mailbericht beweerd dat er iets vreselijks zal gebeuren met de afzender of een derde partij, bijvoorbeeld: "Er zal 30.000.000 euro in de staatskas verdwijnen als u mij niet helpt om dit bedrag naar uw bankrekening over te maken".

Mensen die op de links in dergelijke e-mailberichten klikken, krijgen mogelijk een internetpagina voorgeschoteld die er uitziet als een legitieme website die ze eerder hebben bezocht. Omdat de pagina vertrouwd aandoet, komt het weleens voor dat deze mensen hun gebruikersnaam, wachtwoord en/of andere persoonlijke gegevens op de website invoeren. Wat ze daarmee in feite doen, is een onbekende persoon alle informatie bieden die deze nodig heeft om hun account te kapen, hun geld te stelen of krediet op hun naam aan te vragen. Ze zijn daarmee het slachtoffer geworden van een "phishing"-aanval.

Het principe achter dergelijke aanvallen is redelijk simpel: iemand doet zich voor als een andere persoon in een poging u ertoe aan te zetten om persoonlijke of andere gevoelige informatie met hem of haar te delen. Phishers kunnen zich voor alles en iedereen uitgeven, van banken, e-mailproviders en softwareleveranciers tot online winkels, online betalingsdiensten en zelfs overheidsinstanties. En hoewel sommige van deze aanvallen primitief en makkelijk te doorzien zijn, zijn veel ervan uiterst geraffineerd en professioneel opgezet. Dat valse e-mailbericht van 'uw bank" kan heel betrouwbaar overkomen, en de frauduleuze "aanmeldingspagina" waarnaar u wordt doorgeleid kan er volstrekt legitiem uitzien.

Het goede nieuws is dat u maatregelen kunt ondernemen om phishing-aanvallen te vermijden: - Wees voorzichtig met het beantwoorden van e-mailberichten die u om gevoelige informatie vragen. Wees terughoudend met het klikken op links in e-mailberichten en het reageren op e-mailberichten die vragen naar rekeningnummers, gebruikersnamen en wachtwoorden of andere persoonlijke gegevens, zoals bijvoorbeeld sofi-nummers. De meeste legitieme bedrijven zullen nooit via e-mail om dergelijke informatie vragen. Google doet dat evenmin. - Ga zelf naar de website in plaats van op links in verdachte e-mailberichten te klikken.

Als u een bericht ontvangt dat om gevoelige informatie vraagt en vermoedt dat het om een legitiem verzoek gaat, moet u een nieuw browservenster openen en naar de website van het bedrijf of organisatie surfen zoals u dat normaliter zou doen, bijvoorbeeld door een bookmark in uw favorieten te gebruiken of door het adres van de website in de adresbalk van uw browser in te voeren. Hiermee vergroot u de kans dat u werkelijk op de website van het bedrijf of de organisatie terechtkomt in plaats van een website die door phishers is opgezet. En als een bedrijf of organisatie echt iets van u vraagt, zal dit in de regel op de officiële website worden aangekondigd.

Als u twijfels heeft over een ontvangen verzoek, moet u zeker niet schromen om rechtstreeks contact op te nemen. U zult slechts een paar minuten van uw tijd kwijt zijn met het bezoeken van website van het bedrijf of de organisatie, een e-mailadres of telefoonnummer van de klantenservice te vinden en daar contact mee op te nemen om te achterhalen of het een legitiem verzoek gaat.

Als u zich op een website bevindt die u vraagt om gevoelige informatie in te voeren, is het zaak om naar verdachte kenmerken te zoeken, ongeacht de manier waarop je op de pagina bent beland. Zoek naar aanwijzingen dat u werkelijk met de officiële website van het bedrijf of de organisatie te doen heeft in plaats van een frauduleuze pagina op een ander domein (zoals mybankk.com of g00gle.com.)

Als u zich op een pagina bevindt die beveiligd zou moeten zijn (zoals een pagina die om je creditcardgegevens vraagt), moet het internetadres beginnen met "https" en moet er een hangslotpictogram in het browservenster worden weergegeven. In Firefox en Internet Explorer 6 wordt het hangslotpictogram rechtsonder in het scherm weergegeven; in Internet Explorer 7 vind u dit pictogram rechts van de adresbalk. Hoewel het zoeken naar deze aanwijzingen geen onfeilbare methode is, vormt het desondanks een goed uitgangspunt.

Wees op uw hoede voor "fantastische aanbiedingen" en "geweldige prijzen" die u op internet tegenkomt. Als iets te goed lijkt om waar te zijn, is dat meestal ook zo. De kans bestaat dat u te maken hebt met een phisher die gegevens probeert te ontfutselen. Elke keer dat u wordt gevraagd om persoonlijke of andere gevoelige informatie achter te laten om in aanmerking voor een online aanbieding te komen, dient u deze aanbieding kritisch evalueren en de website op verdachte kenmerken controleren.

Gebruik een browser die met een phishing-filter is uitgerust. De laatste versies van de meeste browsers, zoals Firefox, Internet Explorer en Opera bieden phishing-filters die u kunnen helpen met het identificeren van mogelijke phishing-aanvallen. Belangrijk is dus dat elke keer dat u wordt gevraagd om persoonlijke of andere gevoelige informatie via internet prijs te geven, dit verzoek grondig moet evalueren. Op deze manier kunt u uw online veiligheid waarborgen en geeft u phishers het nakijken.

Geplaatst door: Ian Fette, Google Security Team