Je account beschermen tegen phishing, vishing en smishing
De term phishing verwijst naar identiteitsdiefstal via valse websites en e-mails of andere berichten. Het doel van een phishing-aanval is toegang te verkrijgen tot je account en gevoelige informatie. Een aanvaller kan een eigen website maken die een gerenommeerde website nabootst of je een bericht sturen dat afkomstig lijkt te zijn van een betrouwbare bron. Phishing-berichten kunnen afkomstig zijn van een nepaccount of een account dat is gehackt.
Aanvallers kunnen vergelijkbare tactieken gebruiken om je account in het vizier te nemen door vishing (phishing via voicemail) en smishing (phishing via sms), om gevoelige informatie te verzamelen. Het is niet nodig om gevoelige informatie via de telefoon te verstrekken en niet te klikken op links die via sms worden verzonden. Als je denkt dat je mogelijk een telefoontje of sms hebt ontvangen voor phishing, neem je onmiddellijk contact op met Shopify Support .
Een phishing-bericht kan je vragen de volgende acties te ondernemen:
- een link volgen;
- een bestand downloaden;
- een bijlage openen;
- beantwoorden met persoonlijke gegevens of tweestapsverificatiecodes.
Als je een van deze acties uitvoert, kan je computer of mobiele apparaat besmet raken met malware. Dat is schadelijke software, zoals wormen, trojans, bots en virussen.Als je apparaat geïnfecteerd is, kan een aanvaller toegang krijgen tot je persoonlijke informatie.
Phishing kan ook rechtstreekse verzoeken om persoonlijke gegevens omvatten, zoals je bankrekeninggegevens.
Bij phishing kan je op een van de volgende manieren worden gevraagd persoonlijke gegevens te verstrekken:
- per e-mail of een ander berichtensysteem;
- via een formulier;
- via een frauduleus telefoonnummer;
- via een vals fysiek adres.
Zelfs een verzoek om je e-mailadres in te voeren en je wachtwoord opnieuw in te stellen, kan gevaarlijk zijn.
Op deze pagina
- Herken de waarschuwingssignalen
- Shopify en aanvragen voor gevoelige documenten
- Controleer het via een andere communicatiemethode
- Controleren of je verbinding met een website HTTPS gebruikt
- Open geen belagen of links die je niet verwacht
- Wees voorzichtig wanneer je openbare wifi gebruikt
- De richtlijnen van de overheid volgen als je persoonlijke gegevens gestolen zijn
Herken de waarschuwingssignalen
Je kunt jezelf tegen phishing beschermen door de waarschuwingssignalen te begrijpen. Lees berichten aandachtig, van wie ze ook lijken te komen, en bekijk websites nauwkeurig, hoe vertrouwd ze ook lijken.
Vaag of algemeen taalgebruik
Hoewel een phishing-aanval gebaseerd kan lijken te zijn op gedegen onderzoek en helemaal op jou lijkt te zijn afgestemd, is algemeen taalgebruik een kenmerk van dit soort oplichterij. Pas op met berichten die van een organisatie lijken te komen die je vertrouwt, maar beginnen met vage woorden als Beste accounthouder.
En als een bericht een belangrijke zakelijke of financiële mogelijkheid belooft, maar je niet voldoende details geeft om te kunnen bevestigen dat de afzender je kent, dan is het misschien een phishing-bericht.
Ik ben Frederick, een bankier.
Neem z.s.m. contact met me op over een mogelijke erfenis van een overleden familielid.
Via sms kan ik niet veel vertellen. E-mail mij op het onderstaande adres.
Zakelijke berichten van persoonlijke accounts
Geraffineerde aanvallers kunnen genoeg informatie uit je online-aanwezigheid verzamelen om een bericht te maken dat afkomstig lijkt te zijn van iemand die je echt kent.
Update over groothandelsprijzen
Hallo Georgina:
Dit is alleen ter info. Hier is een spreadsheet met onze huidige groothandelsprijzen: stoffenprijzen-oktober.xls
Ik hoop dat je tevreden was met de laatste partij shirts! Laat het me weten als je vragen of opmerkingen hebt.
Julia Chan
Accountmanager
Stoffenstalen
Aanvallers kunnen het zakelijke account van je contactpersoon hacken of een vals persoonlijk account aanmaken en van daaruit een phishing-mail sturen. Als de gebruikersnaam voor het persoonlijke e-mailadres van je contactpersoon Julia bijvoorbeeld juliachan3857 is, kan een aanvaller een e-mail sturen vanaf een account met de gebruikersnaam juliachan9665. Deze aanvalsvorm maakt gebruik van de volgende gedragingen:
- Mensen sturen vaak per ongeluk e-mailberichten van het verkeerde account.
- Zelfs als je het persoonlijke e-mailadres van Julia weet, kijk je misschien niet al te precies en zie je het verschil niet.
Paniekzaaiende of te opgewonden toon
Kijk uit voor tijdgevoelige verzoeken die proberen je bang te maken, zodat je iets doet zonder na te denken. Bijvoorbeeld:
We hebben een catastrofale serverstoring gehad. Reageer binnen de komende 24 uur met je gebruikersnaam en wachtwoord, anders raak je de toegang tot je winkel permanent kwijt.
In e-mailberichten kunnen aanbiedingen staan die te mooi lijken om waar te zijn, zoals een korting van 90% van een reisorganisatie die alleen beschikbaar is als je nu reageert.
Spelfouten, slechte grammatica en stijlvariaties
Hoewel een frauduleuze website of e-mailbericht er professioneel uit kan zien, bevatten deze mogelijk spelfouten en grammaticale fouten. Als je wilt vaststellen of een website of e-mailbericht frauduleus is, let je op verkeerd gebruik of inconsistenties in de volgende elementen:
- spelling;
- hoofdlettergebruik;
- nummers
- leestekens;
- notatie
Verdachte URL's
Phishing-pogingen kunnen URL's omvatten die legitiem lijken als je er niet zo nauwkeurig naar kijkt. Veel phishing-pogingen gebruiken URL's die bewust zijn gekozen om te lijken op een URL die je al kent. Als je bijvoorbeeld je zwemkleding normaal gesproken via de legitieme URL van Voorbeeldkleding koopt en je een e-mail krijgt met een link naar een net-URL, dan weet je dat het een phishing-poging is.
De echte URL leid je naar een site op het domein example-apparel.com, dat het eigendom van Voorbeeldkleding is, en de nep-URL leid je naar een schadelijke site op het domein com-aquatic.net, dat waarschijnlijk het eigendom van criminelen is.
| Legitieme URL | Nep-URL |
|---|---|
| voorbeeldkleding.nl/watersport/zwemkleding | voorbeeldkleding.nl-watersport.net/zwemkleding |
Shopify en aanvragen voor gevoelige documenten
Shopify vraagt je nooit om gevoelige informatie rechtstreeks via een e-mailbericht dat tekst of een afbeelding is, of een bestandsbijlage.
Voorbeelden van gevoelige documenten:
- elke vorm van identificatie;
- wachtwoorden
- creditcardgegevens;
- bankgegevens;
- nationale identiteitsnummers, zoals BSN (burgerservicenummer).
Shopify vraagt je alleen gevoelige documenten in te dienen via een beveiligde uploadpagina die begint met app.shopify.com of .shopify.com.
Controleer het via een andere communicatiemethode
Praat persoonlijk of telefonisch met de vermeende afzender van een verdacht bericht en controleer of een webpagina legitiem is door met iemand in de organisatie te praten.
Als je telefonisch contact opneemt met de afzender, bel dan het nummer dat geregistreerd staat voor die persoon of dat in meerdere betrouwbare onlinebronnen staat. Als je bijvoorbeeld per e-mail een verdacht verzoek om informatie van de belastingdienst krijgt, bel je het nummer van de belastingdienst op het nummer dat op de belastingaangifte van vorig jaar vermeld staat. Bel nooit een nummer dat op een verdachte website of in een e-mail wordt vermeld.
Controleren of je verbinding met een website HTTPS gebruikt
Wanneer je verbinding maakt met een website waar je wordt gevraagd een gebruikersnaam en wachtwoord of andere gevoelige gegevens in te voeren, controleer je of er een slotje wordt weergegeven naast de URL in je browser.
Het slotje geeft aan dat de verbinding met de site is versleuteld met behulp van het HTTPS-protocol. URL's voor versleutelde verbindingen beginnen met https:// en niet met http://. Verbindingen die http:// gebruiken, verzenden gegevens in tekst zonder opmaakt, wat betekent dat deze onderweg kan worden onderschept en gelezen.
Voordat je op een link klikt die je naar een plek leidt waar van je wordt verwacht dat je er gegevens invult, controleer je eerst of de URL begint met https://.
Open geen belagen of links die je niet verwacht
Doe niets met bijlagen, links of formulieren, tenzij je ze verwacht en weet wat ze bevatten. Ze kunnen je niet alleen omleiden naar een schadelijke site die is ontworpen om je gegevens te stelen, maar kunnen ook je apparaat infecteren met malware.
Wanneer de linktekst een URL is, controleer dan of deze overeenkomst met de URL in de link zelf. Als een link bijvoorbeeld is uitgeschreven als https://help.shopify.com in de hoofdtekst van een e-mail, kan deze je mogelijk naar een phishing-pagina op een andere URL leiden.
Veel phishing-aanvallen proberen misbruik te maken van online bankieren. Als je een verdachte e-mail van je bank ontvangt met een speciale aanbieding voor een creditcard, klik dan niet op de link. Typ in plaats daarvan de URL van je bank handmatig in een nieuw venster en kijk of de aanbieding in het dashboard van je account wordt weergegeven.
Wees voorzichtig wanneer je openbare wifi gebruikt
Openbare wifi is handig als je niet thuis of op je werk bent, maar het biedt oplichters ook veel manieren om toegang te krijgen tot je gegevens. Je kunt je risico's verminderen door stappen te ondernemen om jezelf en je gegevens te beschermen.
Controleer de namen van hotspots
Een aanvaller kan zijn eigen niet-versleutelde wifi-hotspot aanmaken en de naam laten lijken op een betrouwbare hotspot in de buurt, zoals het netwerk van een koffiebar. Als je verbinding maakt met de phishing-hotspot, kan de aanvaller je naar zijn eigen pagina leiden, waar je kunt worden blootgesteld aan malware of kunt worden gevraagd privégegevens in te voeren.
Voordat je verbinding maakt met een hotspot, controleer je of de hotspot die je wilt gebruiken legitiem is. Als je de naam van de hotspot niet op een voor de hand liggende plek ziet staan, vraag je een medewerker van die locatie erom.
Toegangspunten naar je apparaat deactiveren
Zelfs als je verbinding hebt gemaakt met een legitieme openbare wifi-hotspot, kun je nog steeds het risico lopen op hetzelfde netwerk als een aanvaller te zitten. Openbare wifi-netwerken zijn veel minder veilig dan privénetwerken, zoals die bij je thuis of op kantoor.
Bescherm jezelf door bestandsdeling binnen je netwerk uit te schakelen en je firewall in te schakelen voordat je verbinding maakt. Zelfs met deze voorzorgsmaatregelen is het nog steeds geen goed idee om gevoelige inhoud te verzenden of te ontvangen via een openbaar wifi-netwerk.
Gevoelige gegevens alleen via een VPN verzenden en ontvangen
Een virtueel privénetwerk zorgt voor een beveiligde verbinding tussen je apparaat en de VPN-servers van het bedrijf. Van daaruit geven de VPN-servers je gegevens door aan het internet. Als een aanvaller toegang krijgt tot de gegevens die je verzendt en ontvangt via een openbare wifi-hotspot, zijn de gegevens versleuteld en niet bruikbaar voor hen.
Techradar en PC Mag zijn goede plekken om te beginnen voor meer informatie over het kiezen van een VPN.
Zonder een VPN is de veiligste optie geen gevoelige gegevens via openbare wifi te verzenden.
De richtlijnen van de overheid volgen als je persoonlijke gegevens gestolen zijn
Persoonlijk identificeerbare informatie (PII) bestaat uit gegevens die kunnen worden gebruikt om een bepaald persoon te identificeren of zelfs na te bootsen. PII omvat de volgende typen gegevens:
- voor- en achternaam;
- e-mailadres
- adres;
- telefoonnummer;
- creditcardnummer;
- nationaal identiteitsnummer (zoals BSN of paspoort);
- rijbewijs;
- geboortedatum.
Als je persoonlijk identificeerbare informatie hebt verstrekt via een verdacht kanaal of als je Shopify-account is gehackt, raadpleeg dan de richtlijnen van je overheid, zoals deze informatie van de Canadese en Amerikaanse overheid.
Canada
Wat je moet doen:
Een rapport indienen:
Verenigde Staten
Wat je moet doen:
Een rapport indienen: