Wat is vishing?

Vishing, ook wel voice phishing genoemd, vindt plaats wanneer oplichters u bellen en u willen misleiden zodat u persoonlijke gegevens deelt of geld stuurt. Door zich voor te doen als legitieme bedrijven en social engineering-tactieken te gebruiken, hopen oplichters uw vertrouwen te winnen en u te overtuigen om gevoelige gegevens te gebruiken, die ze kunnen gebruiken om fraude of identiteitsdiefstal te plegen. Volgens het voice phishing-rapport 2024 van Keepnet is ongeveer 70% van de organisaties het slachtoffer geworden van vishing, wat resulteert in een jaarlijks financieel verlies van $14 miljoen. Vishing kan zowel individuen als organisaties treffen, dus het is belangrijk om te begrijpen hoe het werkt en hoe u uzelf kunt beschermen.

Wilt u meer weten hoe vishing verschilt van phishing en smishing, algemene voorbeelden van vishing bekijken en hoe u kunt voorkomen dat u het slachtoffer wordt van dergelijke aanvallen.

Vishing of phishing of smishing: wat is het verschil?

Denk aan phishing als een overkoepelende term voor cyberaanvallen die oplichters gebruiken om u te misleiden om uw persoonlijke gegevens te gebruiken. Phishing vindt meestal plaats via e-mails, waarbij oplichters u ongevraagde links of bijlagen sturen als onderdeel van hun aanvalspoging. Vishing en smishing vallen onder de noemer phishing, omdat ze dezelfde doelen hebben, maar vishing vindt uitsluitend plaats via telefoongesprekken, terwijl smishing uitsluitend plaatsvindt via sms.

Zo werkt vishing

In de meeste gevallen begint vishing met een oplichter die onderzoek naar u doet om vast te stellen hoe ze u het beste kunnen misleiden zodat u uw gegevens deelt. Ze kunnen uw e-mailadres gebruiken om andere persoonlijk identificeerbare gegevens (PII) te ontdekken, zoals uw telefoonnummer. Met deze gegevens kan een oplichter hun netnummer verbergen door deze te wijzigen zodat deze overeenkomt met het uwe, waardoor u denkt dat de oproep van een lokaal telefoonnummer afkomstig is.

Wanneer u een oproep van een oplichter beantwoordt, kunnen ze u mogelijk overtuigen om persoonlijke gegevens te delen, zoals bankrekeningnummers, creditcardgegevens of uw woonadres. Oplichters hopen dat u gelooft dat ze legitieme individuen of bedrijven zijn door een goede band op te bouwen. Dit doen ze door actief te luisteren, hartelijke gesprekken te voeren en tot doordachte vragen te stellen. Meer recent zijn oplichters begonnen met het gebruik van kunstmatige intelligentie (AI) om vishing-aanvallen uit te voeren door de stem van een bekende te gebruiken. AI maakt het mogelijk voor oplichters om u ervan te overtuigen dat u wordt gebeld door een vriend, familielid of collega. Ze doen dit door de stem van een persoon te analyseren via video’s, die vaak op sociale media worden geplaatst. Oplichters die AI gebruiken bij vishing-aanvallen zijn veel moeilijker te detecteren als scam, omdat de stemmen authentiek klinken, maar in feite niet de persoon is die ze beweren te zijn.

Als u gelooft dat de oplichter legitiem is en uw persoonlijke gegevens tijdens het telefoongesprek met hen deelt, gebruiken ze die gegevens vervolgens om cybermisdaden te plegen. Enkele kwaadaardige activiteiten die oplichters kunnen uitvoeren met de gegevens die u heeft gedeeld tijdens vishing-aanvallen, zijn het stelen van geld van uw bankrekening, uw creditcard gebruiken om ongeautoriseerde aankopen te maken of het hacken van uw e-mailaccount om mensen die u vertrouwt op te lichten.

Voorbeelden van vishing

Dit zijn enkele van de meest voorkomende voorbeelden van vishing-aanvallen die u kunt tegenkomen.

Nepoproepen van de belasting waarin directe betaling wordt geëist

Een oplichter kan zich voordoen als een belastingmedewerker en u bellen om u op de hoogte te stellen dat u belastingen verschuldigd bent en gevoelige gegevens moet verstrekken om juridische stappen te voorkomen. De meeste nepoproepen van de belastingdienst worden uitgevoerd via vooraf opgenomen berichten, dus u spreekt waarschijnlijk niet rechtstreeks met een echt persoon. Het bericht kan als volgt luiden: “Om juridische gevolgen te voorkomen, moet u binnen 24 uur geldige betalingsgegevens verstrekken voor de belastingen die u de belastingdienst verschuldigd bent.” Deze vishing-aanval is bedoeld om u bang te maken en u te ontmoedigen om de legitimiteit van het gesprek te betwisten door te beweren dat het van een overheidsinstantie is. De belastingdienst zal echter nooit telefonisch contact met u opnemen om betaling te eisen zonder eerst contact met u op te nemen via post of e-mail met uw toestemming. U moet nooit betalingsgegevens via de telefoon verstrekken aan iemand die beweert van de belastingdienst te zijn, tenzij u zelf het gesprek heeft gestart en er zeker van bent dat u met een legitieme belastingmedewerker spreekt.

Oproepen van uw bank waarin wordt gevraagd om accountgegevens

U kunt een telefoontje ontvangen van iemand die beweert van uw bank te zijn, waarin u wordt gevraagd om uw rekeninggegevens te verifiëren. Aangezien uw bank u nooit zal vragen om uw rekeninggegevens te verstrekken, waaronder beveiligingscodes of wachtwoorden, moet u dit beschouwen als een vishing-aanval. Een oplichter die zich voordoet als uw bank, kan bijvoorbeeld zeggen: “We hebben alleen uw bankrekeninggegevens nodig om een verdachte afschrijving te verifiëren. Kunt u ons de beveiligingscode van uw rekening geven, zodat we dit voor u kunnen controleren?” Het is dan het veiligste om op te hangen en rechtstreeks contact op te nemen met uw bank om te verifiëren of ze uw rekeninggegevens nodig hebben. Het verstrekken van persoonlijke of gevoelige gegevens via de telefoon aan een oplichter kan leiden tot een lege bankrekening.

Technische ondersteuning waarbij om toegang tot uw computer wordt gevraagd

Bij een vishing-aanval met technische ondersteuning doet een oplichter zich voor als een vertegenwoordiger van een technologiebedrijf, zoals Apple of Microsoft. Wanneer ze bellen, beweert de oplichter een technologisch probleem te hebben gedetecteerd op uw computer en dat ze externe toegang nodig hebben om dit probleem op te kunnen lossen. Tijdens het gesprek kan de oplichter bijvoorbeeld zeggen: “We hebben een bug op uw apparaat gevonden en hebben toegang nodig om het probleem op te lossen. Kunt u ons uw e-mailadres en huidige softwaregegevens geven?” Ze kunnen naar uw e-mailadres vragen om u codes of downloadbare inhoud te sturen, waardoor ze toegang krijgen tot uw apparaat. Het verstrekken van deze codes of het downloaden van dergelijke inhoud kan echter leiden tot het installeren van malware op uw computer, waardoor uw gegevens kunnen worden gestolen en uw privacy wordt geschonden. Als u een telefoontje ontvangt van een technologiebedrijf waarmee u geen contact heeft opgenomen, is het het beste om op te hangen en vervolgens zelf rechtstreeks contact op te nemen met het bedrijf om te bevestigen of ze een probleem met uw apparaat hebben gedetecteerd.

Medicare scams waarbij uw identiteitsnummer wordt geëist

Een andere veelvoorkomende vishing-aanval vindt plaats wanneer een oplichter zich voordoet als een Medicare-vertegenwoordiger met betrekking tot de mogelijkheid dat u in aanmerking komt. Ze kunnen waarschuwen dat u niet meer in aanmerking komt voor toegang tot uw Medicare, tenzij u uw identiteit verifieert door uw huidige Medicare-nummer te verstrekken. Een oplichter die zich voordoet als een Medicare-medewerken kan bijvoorbeeld zeggen: “We kunnen uw identiteit niet verifiëren zonder aanvullende gegevens. Om uw Medicare-uitkeringen te kunnen ontvangen, moet u uw identiteitsnummer van Medicare opgeven.” Dit soort vishing-aanval is bedoeld om u te misleiden zodat u uw Medicare-nummer en andere persoonlijke gegevens deelt en de oplichter vervolgens uw uitkeringen en identiteit kan stelen. Geef uw persoonlijke gegevens niet aan iemand die beweert van Medicare te zijn, tenzij u zeker weet dat de persoon legitiem is of als u zelf eerst contact met hen heeft opgenomen.

Familieleden beweren dat ze dringend geld nodig hebben voor een noodgeval

U denkt misschien dat het gemakkelijk te detecteren is als iemand zich voordoet als een familielid, maar oplichters gebruiken steeds vaker AI om bekende stemmen na te bootsen en u te misleiden, zodat u uw gegevens deelt of geld stuurt. Als u een telefoontje ontvangt van een familielid die beweert een ongeluk te hebben gehad en direct geld nodig heeft, probeer dan niet in paniek te raken of impulsief te reageren. Meestal worden deze vishing-aanvallen uitgevoerd in de vorm van grootouderoplichting, die zich meestal richten op ouderen door zich voor te doen als kleinkinderen of naaste familieleden tijdens een ramp. Een oplichter kan bijvoorbeeld de stem van uw kleinkind vinden via een video op sociale media. Ze kunnen die video uploaden naar AI-software die de stem van uw kleinkind kloont, waardoor de oplichter zich op overtuigende wijze als uw kleinkind kan voordoen. Als u ooit een dergelijk telefoontje ontvangt, moet u zelf rechtstreeks contact opnemen met het familielid via een andere methode, zoals een sms sturen naar het telefoonnummer dat is opgeslagen in uw contactenlijst.

Zo beschermt u uzelf tegen vishing

U kunt uzelf beschermen tegen vishing-aanvallen door oproepen van onbekende nummers te vermijden, een veilig woord in te stellen voor uw dierbaren, uw persoonlijke gegevens niet via de telefoon te verstrekken en ervoor te zorgen dat uw accounts zijn beveiligd met sterke wachtwoorden.

Neem geen telefoongesprekken aan van onbekende nummers

Als u telefoongesprekken van onbekende nummers ontvangt, is het beter om deze niet te beantwoorden. Onbekende nummers zijn vaak spambellers of oplichter, dus het vermijden van ongevraagde oproepen kan u helpen beschermen tegen vishing-aanvallen. Oplichters kunnen software gebruiken om een bepaald telefoonnummer op uw scherm getoond, waardoor dit vaak als een lokaal netnummer wordt weergegeven om vertrouwen op te bouwen. Als een nummer niet in uw contactenlijst is opgeslagen, is het veiliger om het gesprek naar voicemail te laten gaan in plaats van het gesprek te beantwoorden.

Spreek een codewoord af met uw vrienden en familie

Aangezien oplichters AI gebruiken om bekende stemmen te imiteren bij hun vishing-aanvallen, moet u een codewoord afspreken met uw vrienden en familie. Moderne vishing-aanvallen zijn bedoeld om u te laten geloven dat de persoon aan de andere kant van de lijn een bekende is. Dit wordt gedaan met behulp van AI. Door echter een codewoord af te spreken dat alleen bekend is bij uw vrienden en familie, kunt u de identiteit van de beller verifiëren. Als de beller het codewoord niet kent of een verkeerd antwoord geeft, weet u dat de beller in werkelijkheid een oplichter is.

Deel uw persoonlijke gegevens nooit met zomaar iemand

Zelfs als iemand beweert van de belastingdienst of een ander bedrijf te zijn en om directe betaling of persoonlijke gegevens eist, moet u nooit gevoelige gegevens via de telefoon delen. Deze oproepen kunnen dreigen met ernstige gevolgen als u niet doet wat ze vragen, zoals een gevangenisstraf of aanzienlijke boetes. Als u echter niet rechtstreeks contact heeft opgenomen met de belastingdienst of een legitiem bedrijf, is er geen reden waarom u een telefoontje van hen zou moeten ontvangen. Beschouw dit dus als een vishing-aanval.

Zorg ervoor dat uw accounts zijn beveiligd met sterke wachtwoorden en MFA

Een belangrijke manier om uzelf te beschermen tegen vishing-aanvallen en andere vormen van phishing, is door uw online accounts te beveiligen met sterke wachtwoorden. Zorg ervoor dat al uw accounts een sterk, uniek wachtwoord hebben dat bestaat uit minstens 16 tekens en een combinatie van hoofdletters, kleine letters, cijfers en symbolen. Door uw accounts te beveiligen met sterke, unieke wachtwoorden, vermindert u het risico dat een oplichter een zwak of hergebruikt wachtwoord raadt en uw accounts kan hacken om persoonlijke gegevens te stelen.

Naast het beveiligen van uw accounts met sterke wachtwoorden, moet u ook waar mogelijk multifactorauthenticatie (MFA) inschakelen. MFA voegt een extra beveiligingslaag toe aan uw accounts door een andere vorm van authenticatie te vereisen om uw identiteit te verifiëren voordat u toegang krijgt. Als u uw inloggegevens bij een vishing-aanval onthult, maar MFA heeft ingeschakeld, heeft de oplichter geen toegang tot uw account met alleen uw gebruikersnaam en wachtwoord, omdat ze een tweede manier nodig hebben om uw identiteit te verifiëren. Enkele voorbeelden van MFA zijn: een code van een authenticatie-app, een antwoord op een beveiligingsvraag, een pincode of uw biometrische gegevens.

Vertrouw op uw gevoel

We begrijpen dat, ongeacht hoe goed u zich hebt voorbereid op een cyberaanval, het moeilijk kan zijn om u emotioneel voor te bereiden op de mogelijke gevolgen. Het is gemakkelijk om in paniek te raken en alle logica uit het raam te gooien wanneer u zich realiseert dat u mogelijk het slachtoffer bent geworden van een vishing-aanval. Daarom moet u afgaan op uw intuïtie. Als u een telefonisch gesprek heeft met iemand en het gevoel heeft dat er iets niet klopt, moet u op uw gevoel vertrouwen en ophangen. Het is veel veiliger om rechtstreeks contact op te nemen met een bedrijf via een telefoonnummer dat op hun officiële website staat vermeld, dan om uw persoonlijke gegevens te delen met iemand waarbij u een ongemakkelijk gevoel heeft.

Samengevat

Aangezien AI nog steeds wordt gebruikt bij cyberaanvallen, is het belangrijk om te weten hoe u uzelf kunt beschermen tegen vishing-, phishing- en smishing-aanvallen. Ongeacht hoe een vishing-aanval plaatsvindt, kunt u uzelf beschermen door een codewoord af te spreken met uw dierbaren, geen persoonlijke gegevens via de telefoon te verstrekken en uw accounts te beveiligen met sterke wachtwoorden. Een eenvoudige manier om uw accounts met sterke wachtwoorden te beveiligen, is door een wachtwoordmanager zoals Keeper^® te gebruiken. Met Keeper Password Manager kunt u unieke wachtwoorden en MFA-methoden aanmaken, bijwerken en opslaan in een veilige, versleutelde kluis.

Start vandaag nog uw gratis proefversie van 30 dagen met Keeper Password Manager om uw accounts te beschermen en veilig te blijven tegen vishing-aanvallen.