Digitaal veilig blijven met een eenvoudig 3-stappenplan

De groeiende digitale mogelijkheden hebben als consequentie dat online fraude en misbruik van persoonlijke gegevens een realistisch perspectief zijn geworden. Online fraude en misbruik van persoonlijke gegevens zijn inmiddels een heus verdienmodel geworden voor criminelen. Het valt daarom nog niet mee om goed op de hoogte te blijven van de allernieuwste online scams en misleidingstactieken. Het meest voorkomende misbruik zit ‘m tegenwoordig in digitale misleiding op grond van elektronische nepberichten. Echter, met een eenvoudig 3-stappenplan voor veilig digitaal handelen kun je doorgaans voorkomen dat jij hiervan het volgende gemakkelijke slachtoffer wordt.

Misleiding op grond van een elektronisch nepbericht is niets anders dan een digitale babbeltruc die jou overhaalt om jouw persoonlijke gegevens op de één of andere verdekte wijze met derden te delen. Noch jouw persoonlijke inloggegevens, noch eventueel aan jou toegezonden codes deel je daarom ooit met derden. Ook niet onder het motto dat iemand zijn/haar code per ongeluk naar het verkeerde emailadres of telefoonnummer heeft laten sturen. Met een dergelijke code kan iemand namelijk potentieel één van jouw accounts, jouw mobiele nummer of zelfs jouw burgerlijke identiteit overnemen.

Hieronder deel ik met jou een eenvoudig 3-stappenplan voor veilig digitaal handelen. Dit betreft een getrapt gedrags- of veiligheidsprotocol dat inhoudt dat je tijdens iedere stap de hoogst mogelijke veiligheidsstandaard in acht neemt. Zelfs nadat je hebt besloten dat de desbetreffende email, sms of app hoogstwaarschijnlijk authentiek is. Door het consequent toepassen van een dergelijke vorm van veilig digitaal handelen, wordt de kans dat jij nog voor digitale misleidingstactieken of babbeltrucs valt een stuk kleiner.

STAP 1 – Wantrouw linkjes in ongevraagde emails, sms’jes of appjes
Een zeer belangrijk uitgangspunt is dat je in eerste instantie nooit op linkjes in ongevraagde emails, sms’jes of appjes klikt. Linkjes in ongevraagde digitale berichten kunnen of jouw digitale apparaat infecteren met gijzelsoftware, geavanceerde software of trojans of ze leiden je naar goed nagemaakte websites van oplichters die jouw geld of jouw digitale identiteit proberen te stelen. Er is veiligheidshalve al sprake van ongevraagde emails, sms’jes of appjes als niets wat je zeg maar in de afgelopen 5 minuten digitaal hebt ondernomen, kan verklaren waarom je een bepaald bericht krijgt toegezonden. Handel dergelijke ongevraagde berichten daarom per definitie af via STAP 2.

Als jij je zo-even hebt aangemeld voor een nieuwe digitale dienst, je jouw gegevens hebt aangepast voor een bestaande digitale dienst of iets hebt gekocht in een webshop, dan kun je de jou toegestuurde email, sms of app uiteraard met een aan zekerheid grenzende waarschijnlijkheid vertrouwen en doorgaans ook rustig op de meegestuurde link klikken.

Daarnaast zijn er natuurlijk nog de ongevraagde berichten van jouw vertrouwde contactpersonen. Wantrouw zulke berichten met name als ze je naar websites van financieel gevoelige of identiteitsgevoelige diensten proberen te leiden. Handel dergelijke berichten daarom eveneens af via STAP 2. De afzender van deze berichten is namelijk gemakkelijk te manipuleren of te spoofen. Vertrouw zulke berichten en linkjes in principe alleen indien je een dergelijke concrete actie van deze of gene ook daadwerkelijk verwacht of goed kan plaatsen.

STAP 2 – Browse altijd handmatig naar het desbetreffende hoofddomein om in te loggen
Wanneer je na alle voorzorgen veronderstelt dat het jou ongevraagd toegestuurde bericht hoogstwaarschijnlijk authentiek is alsmede betrekking heeft op een door jou gebruikte digitale dienst, toets dan uit voorzorg toch altijd handmatig de jou welbekende URL van het hoofddomein in binnen jouw webbrowser. Controleer deze op typefouten en log vervolgens in met de jou bekende inloggegevens. Alleen op deze manier kun je namelijk met zekerheid voorkomen dat je onverhoopt op een goed nagemaakte website of een nepbericht (bijv. via een deeplink naar de originele website) van oplichters terecht komt. Dit is per definitie veiliger dan via een potentieel gemanipuleerde link en werkt voor vrijwel al jouw digitale diensten en berichten.

In sommige gevallen worden er zelfs brieven per post verzonden om jou in de val te lokken. Wantrouw elke URL welke niet expliciet overeenkomt met het jou welbekende hoofddomein van de desbetreffende instantie. Bel bij twijfel de desbetreffende instantie op. En dan natuurlijk niet via het telefoonnummer dat in de potentieel gefalsificeerde brief staat.

Voor ontvangen informatieve links en voor betaalverzoeken werkt bovenstaande strategie natuurlijk niet, vanwege het feit dat dergelijke linkjes niet onder een persoonlijk account zijn gerangschikt. Met betrekking tot informatieve links zul je per keer moeten afwegen of de geboden informatie jou het relatief geringe risico van een potentiële digitale besmetting waard is. Binnen bepaalde grenzen van acceptabele websites mag je hiervoor echter gerust op jouw virus- en malwarescanner vertrouwen. Voor de potentieel veel risicogevoeligere betaalverzoeken kun je niettemin beter altijd STAP 3 hanteren.

STAP 3 – Controleer de URL van jouw bank achter het slotje alsmede op het certificaat
Tenslotte blijven er dan alleen nog de digitale berichten met betaalverzoeken over waarbij je er uiteindelijk niet aan ontkomt om toch op de link te klikken, tenminste als je veronderstelt dat het authentieke verzoeken betreffen. Deze betaalverzoeken openen uiteindelijk de website van jouw bank. Tenminste als je werkt op een laptop of een desktop computer. Om uit te sluiten dat je onverhoopt toch op een goed nagemaakte website van jouw bank terecht komt, doe je er goed aan om altijd de URL naast het beveiligde slotje in de adresbalk alsmede de URL op het certificaat van de website te checken. Het certificaat check je door op het beveiligde slotje te klikken en vervolgens het certificaat via het popup menu te openen.

Doe dit zowel direkt vóórafgaand als direkt ná het authenticeren van jouw persoonlijke bankomgeving om uit te sluiten dat je tussentijds kunt worden gemanipuleerd door een trojan. De authentificatie bestaat voor sommige banken en procedures namelijk uit twee te onderscheiden stappen, te weten inloggen en vervolgens het bevestigen van jouw betaalopdracht. Indien de URL gegevens beide keren overeenkomen met de jou welbekende URL van jouw bank mag je er vanuit gaan dat er geen veiligheidsrisico meer bestaat en kun je jouw betaalopdracht definitief bevestigen.

STAP 3 – Controleer de URL van DigiD achter het slotje
Bij het inloggen op en middels een hooggevoelige identiteitsdienst zoals DigiD check je altijd tenminste de URL naast het beveiligde slotje in de adresbalk (www.digid.nl)

OPTIONELE STAP 4 – Bankieren via een bankapp is veiliger dan via een webbrowser
Nog veiliger en bovendien gemakkelijker dan bovenstaande STAP 3 is om betaalverzoeken alsmede zelf geïnitieerde betaalopdrachten per definitie slechts te verwerken via de app van jouw bank (tablet, mobiel) in plaats van via jouw webbrowser. Tussen jouw webbrowser en de bank kan zich namelijk ongemerkt een derde (criminele) partij nestelen. Tussen de app van jouw bank en de bank is dit vooralsnog technisch onmogelijk. Hierdoor hoef je geen URL gegevens van jouw bank meer te double-checken.

Opent het betaalverzoek op tablet of mobiel ná ingegeven keuze voor jouw bank toch steevast via de webbrowser in plaats van via de beschikbare bankapp, dan kan dat een indicatie zijn dat er iets niet in de haak is met het desbetreffende betaalverzoek. Misbruik van bankgegevens is namelijk per definitie alleen mogelijk via jouw webbrowser. Probeer het dan later nogmaals om er zeker van te zijn dat het niet de app van jouw bank is die tijdelijk offline is. Blijft het betaalverzoek ná keuze voor jouw bank steevast openen via de webbrowser ga er dan maar vanuit dat het betaalverzoek malafide is.

Let er bij het aanvankelijk downloaden van de app van jouw bank via jouw appstore wel op dat de ontwikkelaar van de app ook daadwerkelijk jouw eigen vertrouwde bank betreft. Er worden namelijk nog weleens gelijknamige malafide bankapps van criminele ontwikkelaars aangetroffen die je net zoals de authentieke bankapp aanvankelijk moet authenticeren via jouw webbrowser. In het geval van een malafide bankapp betekent dit dat met het authenticeren via jouw webbrowser direkt zowel jouw bank- als spaarrekening worden leeggeplunderd. Naast de juiste ontwikkelaar van de app spreekt een hoog aantal downloads eveneens voor de authenticiteit van de app. Vanwege het feit dat malafide apps meestal maar kort in de appstores blijven staan, is het aantal downloads doorgaans niet wat je er van mag verwachten. Duizenden of tienduizenden downloads in plaats van honderdduizenden tot ettelijke miljoenen voor de meeste Nederlandse banken.

Dit artikel is met de grootst mogelijke zorgvuldigheid tot stand gekomen. De auteur aanvaardt niettemin geen enkele aansprakelijkheid in relatie tot de onderwerpen die binnen dit artikel worden beschreven.

Art Huiskes (onderzoeksjournalist)