AI maakt phishing nog geloofwaardiger
 

AI maakt phishing nog geloofwaardiger: vijf tips om fraude te ontmaskeren


Ze zien er steeds echter uit, de valse e-mails, tekstberichten en advertenties waarmee misdadigers u om de tuin proberen te leiden. Ja, dat ligt aan artificiële intelligentie, of wat dacht u? Toch kunt u fraude meestal nog herkennen.


AI helpt criminelen van overal ter wereld, zelfs Nigeriaanse prinsen, om een mail te schrijven in vlot Nederlands. Dus, helaas: een phishingmail herkent u niet meer in één oogopslag aan de taalfouten. En ook niet meer aan de slechte lay-out.

En denkt u dat er meer phishingmails dan ooit in uw inbox landen, dan kan dat wel eens kloppen: door het gebruik van AI kunnen oplichters snel eindeloos veel varianten van dezelfde mail opstellen, zodat spamfilters ze niet steeds detecteren en tegenhouden.

AI kan bovendien worden gebruikt om mails automatisch – en dus op grote schaal – te personaliseren via gegevens die ergens op het internet te vinden zijn of die ooit zijn gestolen. Wat onder meer kan betekenen: uw echte naam in de aanhef, en niet zomaar “Beste klant” of uw email-adres als aanspreking.

Er is ook goed nieuws. De oplichters hebben in wezen weinig nieuwe trucs verzonnen, al hebben ze wel nieuwe instrumenten ter beschikking. De klassieke voorzorgen, de meeste ervan toch, blijven dus werken. Wij zetten ze nog eens voor u op een rijtje, met enkele updates.


Reageer nooit meteen, hoe dringend het ook klinkt

Oplichters proberen altijd een gevoel van hoogdringendheid te creëren. U moet nu meteen reageren, of anders wordt u beboet, loopt u een gigantisch koopje mis, wordt uw pakje door de douane in beslag genomen of uw account afgesloten. Soms waarschuwen ze u dat een hacker tracht uw account te kraken of dat er een verdachte transactie is met uw kredietkaart. Maar wees gerust: u hebt altijd twee minuten om diep na te denken – en dat volstaat meestal. En probeer uw emoties in toom te houden: vaak proberen ze u bang, boos of hebberig te krijgen, dan denkt u minder helder na.


Klik niet door, gebruik geen QR-code of telefoonnummer uit het bericht

De oplichters proberen u meestal naar een valse website (of telefoonnummer, of Whatsapp-account) te lokken, waar ze u uw gegevens – of ineens uw geld – afhandig kunnen maken. Bijvoorbeeld door u te laten inloggen, zodat ze uw wachtwoord in handen krijgen, of u te laten betalen voor fictieve goederen. Die websites zien er tegenwoordig vaak enorm overtuigend uit, getrouwe kopieën van de websites van een bank, e-commercesite of Bpost.

Maar meestal kunt u aan de domeinnaam zien dat de website niet echt is. Als u met de muis boven de link zweeft, verschijnt het adres en dat lijkt vaak maar in de verte (of helemaal niet) op dat van uw echte bank. De eigenlijke domeinnaam is wat op het einde van het adres komt en vlak voor de eerste ‘/’, maar dat kan worden voorafgegaan door misleidende namen. Bijvoorbeeld: ing.bank-be.overschrijvingen-buitenland.eu heeft niets met ING te maken, een domeinnaam als ‘overschrijvingen-buitenland.eu’ kan een oplichter makkelijk registreren. Weet u niet zeker of het domein klopt of niet, zoek het bedrijf dan even op via een zoekmachine als Google.

Heeft uw bank of pakketbedrijf een belangrijke melding voor u, dan zult u die ook wel vinden door zelf het adres van dat bedrijf in uw browser in te tikken en in te loggen op uw eigen account.

Hetzelfde geldt voor telefoonnummers die u in een mail vindt: die kunnen vals zijn. En onthoud dat een QR-code in wezen ook een URL is die u naar gelijk waar op het internet kan sturen. Scan alleen QR-codes waarvan u de herkomst kent en vertrouwt. En open ook geen documenten die bij een mail zijn gevoegd, die kunnen besmet zijn met een virus.


Opgelet voor deepfakes

Oplichters maken steeds vaker gebruik van deepfakes, met AI gemaakte namaak-audio en -video. Zoals “Elon Musk”, die u in een spotje op Instagram of X aanraadt om meteen zijn pas gelanceerde cryptomunt te kopen.

Het wordt steeds gemakkelijker en goedkoper om deepfakes te maken, en dat betekent dat we ze nog vaker zullen zien. Kent u die klassieke fraude waarbij u een sms of Whatsapp-bericht krijgt van een onbekend nummer? “Hey papa, ik ben mijn gsm kwijt, kun je mij onmiddellijk wat geld overschrijven?” Vandaag is het technisch perfect mogelijk dat u wordt opgebeld met een geloofwaardige deepfake-versie van de stem van uw kind.

Zoiets is in Vlaanderen nog niet gemeld (wel al in Engelstalige landen), maar ooit moet het de eerste keer zijn. En jawel, zelfs een videogesprek met een valse versie van uw baas die u vraagt om een grote overschrijving te doen, het is in het buitenland al herhaaldelijk gebeurd.


Wat als u toch in de val getrapt bent?

Als u doorklikt naar een valse site, is er meestal nog niets gebeurd. Maar eenmaal u een wachtwoord of kredietkaartnummer hebt ingevuld, is er een probleem.

Bankkaarten blokkeren en wachtwoorden onmiddellijk veranderen, is dan de boodschap – misschien bent u nog op tijd. Soms zal uw bank u vergoeden voor verliezen, maar reken daar niet te hard op. Bent u overtuigd van uw gelijk, dan kunt u beroep doen op de Ombudsdienst in Financiële Geschillen. En doe aangifte bij de lokale politie. Phishingmails kunt u ook altijd doorsturen naar verdacht@safeonweb.be.


Op het werk: extra voorzichtig

Phishingmails die binnenkomen op uw professioneel e-mailadres zijn vaak afkomstig van ransomwarebendes. Die zijn niet uit op uw centen, maar op die van uw werkgever. Met uw wachtwoord hopen ze binnen te dringen op de servers van het bedrijf, die te versleutelen en dan losgeld te eisen. Dat brengt veel geld op, en dat betekent ook dat ze vaak heel wat moeite doen om overtuigende phishingmails te sturen. Soms hebben ze daarvoor de namen van uw collega’s op Linkedin opgezocht.

Let op voor mails die zogezegd van uw werk of van Microsoft komen en die proberen u via een link te laten inloggen op een nepsite. Bijvoorbeeld: een mail die zegt dat uw wachtwoord gaat vervallen, tenzij u meteen inlogt.


Blog DS, 30-05-2025 (Dominique Deckmyn)