Trap er niet in: oplichting met e-mails over ID-kaarten van medewerkers
Table of Contents
Een schijnbaar onschuldige e-mail met verborgen bedoelingen
Veel medewerkers zijn gewend dat interne updates en HR-verzoeken per e-mail binnenkomen. Maar één bericht dat de ronde doet – de zogenaamde e-mail met de "Personeelspas" – is allesbehalve routine. Deze frauduleuze e-mail doet zich voor als een officiële melding over het bijwerken of aanmaken van nieuwe personeelspassen. Op het eerste gezicht lijkt het legitiem. Maar daaronder schuilt een phishingtruc die is bedoeld om inloggegevens voor e-mails te stelen.
Hoe de oplichting werkt
In het bericht wordt de ontvanger doorgaans gevraagd zijn of haar persoonlijke gegevens in te dienen via een link, vaak onder het mom van het bijwerken van de gegevens van zijn of haar identiteitskaart. Om urgentie te creëren, bevat de e-mail een deadline voor het indienen en wordt benadrukt dat de gegevens moeten overeenkomen met de geregistreerde informatie. De toon is professioneel en de opmaak kan de interne bedrijfscommunicatie weerspiegelen, waardoor het bericht overtuigender wordt.
Door op de link te klikken, worden gebruikers doorgestuurd naar een nepwebsite die een beveiligde inlogpagina nabootst. Daar worden ze gevraagd hun e-mailadres en wachtwoord in te voeren om verder te gaan. Deze site is echter een valkuil. Zodra de gegevens zijn ingevoerd, worden ze rechtstreeks naar cybercriminelen gestuurd.
Dit is wat het frauduleuze bericht zegt:
Subject: Staff New ID Card Production - XXXXXXXX
Dear Colleagues,
Please use the below link to send in your details for the production of the new XXXXXXXX staff ID cards.
Download ID Card Here - XXXXXXXX / Staff-ID-Cards/d/e/1FAIpQLSezH84QFMPZa-X2hNH9kf_cxRA2sMrix5saRtlZ9_MXKWngsw/ViewformPDF
Please do the needful and submit accordingly as the Previous ID card in your possession will be invalid.
Kindly send all information on or before Tuesday 13th May 2025.
Thank You.
Best Regards...?
Wat oplichters met uw inloggegevens doen
Gestolen inloggegevens kunnen veel meer opleveren dan alleen een gehackte inbox. Zodra aanvallers toegang krijgen tot een e-mailaccount, kunnen ze berichten doorzoeken op gevoelige gegevens, het account gebruiken om zich voor te doen als de eigenaar of verdere oplichtingspraktijken uitvoeren die gericht zijn op de contactpersonen van het slachtoffer.
In sommige gevallen gebruiken oplichters gehackte accounts om geld te vragen aan vrienden en collega's, schadelijke links te verspreiden of frauduleuze praktijken te promoten. Ze kunnen zelfs malware in e-mails stoppen die vanaf het gehackte account worden verzonden, in de hoop dat de ontvanger de afzender vertrouwt en schadelijke bestanden of links opent.
Bedrijfsnetwerken in gevaar
E-mailaccounts op de werkvloer zijn bijzonder aantrekkelijk voor oplichters. Met toegang kunnen criminelen proberen bredere organisatiesystemen te infiltreren. Ze kunnen malware zoals trojans, keyloggers of ransomware gebruiken, waardoor hele afdelingen ontregeld raken of zelfs de bedrijfsvoering plat komt te liggen. Wanneer financiële accounts worden gehackt, kunnen aanvallers ongeautoriseerde transacties uitvoeren, frauduleuze aankopen doen of digitale activa stelen.
Wat te doen als u het slachtoffer bent geworden van oplichting
Als u uw inloggegevens op een verdachte site hebt ingevoerd, onderneem dan onmiddellijk actie. Wijzig eerst het wachtwoord van het getroffen account. Werk vervolgens de inloggegevens bij voor alle andere accounts die hetzelfde wachtwoord gebruiken. Neem zo snel mogelijk contact op met uw IT-afdeling of het ondersteuningsteam van uw serviceprovider om de inbreuk te melden.
Het is ook verstandig om waar mogelijk tweefactorauthenticatie (2FA) in te schakelen. Dit voegt een extra beveiligingslaag toe die het voor aanvallers moeilijker maakt om volledige controle te krijgen, zelfs als ze je wachtwoord kennen.
Hoe u een phishing-e-mail herkent
Hoewel sommige oplichtingsberichten vol spelfouten en grammaticale fouten zitten, zijn andere gepolijst en lijken ze betrouwbaar. Vertrouw niet alleen op uiterlijk. Kijk goed naar het adres van de afzender. Als het er ook maar een beetje vreemd uitziet, kan dit een waarschuwingssignaal zijn. Let op onverwachte verzoeken om persoonlijke gegevens, dringende deadlines of verzoeken om in te loggen via onbekende links.
Voordat u op een link klikt, beweegt u de muiscursor erover (zonder te klikken) om de daadwerkelijke URL te zien. Als het webadres er verdacht uitziet of niets met uw organisatie te maken heeft, ga dan niet verder.
Let op je veiligheid
De sleutel tot het vermijden van phishing is voorzichtigheid. Wees sceptisch over ongevraagde berichten, vooral als ze om inloggegevens of persoonlijke gegevens vragen. Open nooit bijlagen en klik nooit op links in e-mails van onbekende afzenders. Zelfs als een bericht afkomstig lijkt te zijn van iemand die u kent, controleer het dan nogmaals als het verzoek ongebruikelijk lijkt.
Het gaat niet alleen om e-mail: wees op je hoede voor verdachte berichten op sociale media, berichtenapps en sms-berichten. Cybercriminelen gebruiken verschillende platforms om slachtoffers te lokken.
Download software en updates alleen van officiële, vertrouwde bronnen. Vermijd illegale software of updatetools van derden, die vaak vol zitten met malware.
Laatste gedachten
De oplichting met de "Personeelspas" laat duidelijk zien hoe gevaarlijk zelfs alledaagse e-mails kunnen zijn. Op de hoogte blijven, voorzichtig omgaan met persoonlijke informatie en snel handelen wanneer iets niet klopt, zijn de beste verdedigingen. Cybersecurity vereist geen paranoia, alleen bewustzijn.
