Wat zijn scamwebsites en hoe kun je ze vermijden?

Wat zijn scamwebsites?

Scamwebsites zijn illegale websites op internet die worden gebruikt voor kwaadaardige aanvallen en om gebruikers te laten frauderen. Scammers maken misbruik van de anonimiteit van het internet om hun echte identiteit en bedoelingen te verhullen achter verschillende dekmantels. Hieronder vallen neppe beveiligingswaarschuwingen, weggeefacties en andere misleidende indelingen die er legaal uitzien.

Hoewel het internet veel nuttige doeleinden heeft, zijn veel dingen niet wat ze lijken op het web. Onder de miljoenen legitieme websites die om aandacht vragen, bevinden zich een aantal websites die zijn opgezet voor kwaadaardige doeleinden. Met behulp van deze websites proberen criminelen allerlei soorten oplichting uit te voeren, van identiteitsdiefstal tot creditcardfraude.

Hoe werkt een scamwebsite?

Scamwebsites kunnen meerdere doeleinden hebben, van het publiceren van misleidende informatie tot het doen van beloftes over geweldige beloningen in ruil voor geld. Het einddoel is bijna altijd hetzelfde: ervoor zorgen dat je je persoonlijke of financiële gegevens opgeeft.

Een website van deze aard kan een op zichzelf staande website, pop-up of ongeautoriseerde overlay van een legitieme website via clickjacking zijn. Het doel van deze websites is om gebruikers aan te trekken en te misleiden, ongeacht hoe de websites eruitzien.

Aanvallers die gebruikmaken van scamwebsites, gebruiken meestal de volgende stappen om gebruikers te misleiden:

1. Lokken: Aanvallers lokken internetgebruikers naar de website via verschillende distributiekanalen.
2. Hacken: Gebruikers voeren bepaalde acties uit die hun gegevens en apparaten blootstellen aan de aanvaller.
3. Uitvoeren: Aanvallers maken misbruik van de gebruikers om hun privégegevens te gebruiken voor persoonlijke belangen of om hun apparaten te infecteren met schadelijke software voor verschillende doeleinden.

Hoewel er ingewikkelde scams bestaan, kunnen de meeste worden verdeeld in drie eenvoudige fasen.

Een scamwebsite kan internetgebruikers lokken via meerdere communicatiekanalen, zoals sociale media, e-mail en sms-berichten. Zoekresultaten worden soms bewerkt via SEO-methoden (zoekmachineoptimalisatie), wat ertoe leidt dat schadelijke websites in de bovenste resultaten verschijnen.

Gebruikers zijn zich minder bewust van mogelijke scams als de website eruitziet als een aantrekkelijke aanbieding of een angstaanjagend waarschuwingsbericht. De meeste scamwebsites zijn afhankelijk van psychologische uitbuiting om effectief te zijn.

Het is belangrijk om te begrijpen hoe deze scams je voor de gek proberen te houden, zodat je jezelf kunt beschermen. Laten we eens kijken hoe aanvallers deze uitbuiting benutten.

Hoe werkt uitbuiting door een scamwebsite?

Kort gezegd maken scamwebsites gebruik van social engineering. Deze methode is meer afhankelijk van het misbruiken van menselijk inzicht dan van technische computersystemen.

Aanvallers die deze vorm van manipulatie gebruiken, zijn afhankelijk van het feit dat slachtoffers geloven dat een schadelijke website legitiem en betrouwbaar is. Sommige scamwebsites worden zo ontworpen dat ze eruitzien als legitieme, betrouwbare websites, zoals die van officiële overheidsorganisaties.

Websites die voor scams zijn ontworpen, bevatten vaak fouten. Deze kunnen door oplettende gebruikers worden opgemerkt. Bij scamwebsites wordt er gebruikgemaakt van een essentieel onderdeel van social engineering om detectie te voorkomen, namelijk emotie.

Door emotionele manipulatie kan een aanvaller je natuurlijke sceptische instincten omzeilen. Deze scammers proberen vaak de volgende gevoelens op te wekken bij hun slachtoffers:

• Haast: Tijdsgevoelige aanbiedingen of meldingen voor accountbeveiliging kunnen je dwingen om meteen actie te ondernemen voordat je eerst goed hebt nagedacht.
• Enthousiasme: Aantrekkelijke beloningen zoals gratis cadeaukaarten of aanbiedingen om snel rijk te worden kunnen zorgen voor een gevoel van optimisme. Hierdoor kun je mogelijke negatieve aspecten negeren.
• Angst: Onjuiste waarschuwingen over virusinfecties en je account leiden tot paniek en wekken een gevoel van haast op.

Deze emoties kunnen op zichzelf of in combinatie met andere emoties ervoor zorgen dat de aanvaller zijn doelen kan bereiken. Je kunt echter alleen slachtoffer worden van een scam als deze relevant of herkenbaar voelt voor jou. Er zijn veel verschillende scamwebsites die specifiek voor dit doeleinde zijn gemaakt.

Soorten scamwebsites

Scamwebsites, net zoals veel andere soorten scams, worden volgens verschillende principes uitgevoerd, maar hebben een gelijksoortige werking. In het volgende gedeelte gaan we dieper in op welke principes een scamwebsite kan gebruiken. Zo ben je beter in staat om toekomstige pogingen te ontdekken. Hier volgen een aantal veelvoorkomende soorten scamwebsites:

Phishing-scamwebsites

Phishing-websites vormen een belangrijk middel waarmee aanvallers neppe situaties kunnen creëren en ervoor kunnen zorgen dat gebruikers hun privégegevens opgeven. Deze scamwebsites zien er vaak uit als websites van legitieme bedrijven of instituties, zoals banken en e-mailproviders.

Aanvallers lokken gebruikers doorgaans naar de website via e-mails of andere berichten waarin staat dat er een fout of ander probleem is opgetreden waar je actie voor vereist is. Met de scam wordt een situatie gecreëerd waarin wordt gevraagd om je accountinloggegevens, creditcardgegevens of andere gevoelige gegevens. De gegevens van slachtoffers van dit soort aanvallen worden vervolgens voor kwaadaardige doeleinden gebruikt.

Scamwebsites voor online winkelen

Scamwebsites voor online winkelen zijn een van de meest voorkomende soorten scams. Hierbij wordt een neppe online winkel of winkel van slechte kwaliteit gebruikt om de creditcardgegevens van slachtoffers te verzamelen.

Dit soort scams zijn problematisch omdat ze soms daadwerkelijk de producten of diensten leveren, waardoor de illusie van betrouwbaarheid wordt gecreëerd. De kwaliteit is echter duidelijk ondermaats. Bovendien vormen deze websites een ongecontroleerde gateway waarmee je creditcardgegevens kunnen worden verkregen voor overdadig en ongeautoriseerd gebruik.

Scamware-scamwebsites

Bij scamwebsites met scareware worden pop-ups met neppe beveiligingswaarschuwingen gebruikt die je proberen over te halen om malware op je apparaat te downloaden die is vermomd als een authentiek anti-virusprogramma. De pop-ups claimen dat je apparaat is geïnfecteerd door virus of malware. De gevoelens van angst en haast zorgen ervoor dat je een oplossing downloadt.

Als je een echte internetbeveiligingssuite hebt, kan dit voorkomen dat je slachtoffer wordt van het downloaden van malware. Gebruikers die dit niet hebben, kunnen helaas gemakkelijker slachtoffer worden van deze scams.

Sweepstake-scamwebsites

Bij sweepstake-scams gaat het om weggeefacties of grote prijzen die gebruikers overhalen om mee te doen. Hierdoor verstrekken ze uiteindelijk financiële gegevens om nepkosten te betalen.

Deze kosten worden weergegeven als de belasting op de prijs of als verzendkosten. Gebruikers die hun gegevens verstrekken, lopen het risico op fraude en ontvangen hun prijs niet.

Voorbeelden van scamwebsites

Bij internetscams uit het verleden werden vaak speciaal opgezette scamwebsites gebruikt. Hier volgen een aantal noemenswaardige voorbeelden om je te helpen bij het spotten van toekomstige pogingen:

Scamwebsites voor onderzoek naar coronavaccins

Van midden tot eind 2020 deden geruchten over nepvaccins voor corona de ronde. Via deze zogenaamde coronascams werden betaalgegevens en andere waardevolle gegevens zoals je burgerservicenummer verzameld in ruil voor toegang tot het onderzoek naar een coronavaccin.

Hoewel er bij legitieme vaccinatieonderzoeken deelnemers kunnen worden betaald en hen om persoonlijke gegevens kan worden gevraagd, is er nooit gevoelige informatie vereist om deel te kunnen nemen. Betalingen voor klinische onderzoeken worden vaak in de vorm van cadeaukaarten gegeven. Bij scams wordt er echter vaak gevraagd om je kaartgegevens of zelfs je bankrekeningnummer. Er wordt gewoonlijk gevraagd om een aantal standaard persoonsgegevens bij echte onderzoeken, maar nooit om je burgerservicenummer of andere gevoelige gegevens.

Scamwebsites voor DMV-phishing

In oktober 2020 hebben aanvallers met phishing-scams gebruikgemaakt van de overstap op online diensten door zich voor te doen als het Department of Motor Vehicles (DMV). Het maken van websites die eruitzien als legitieme DMV-sites stellen scammers ertoe in staat om frauduleuze betalingen van voertuigregistraties af te nemen.

Hoe kun je neppe websites identificeren?

Er zijn gelukkig een aantal eenvoudige manieren waarop je jezelf en je gezin kunt beschermen tegen scamwebsites, zodat je veilig op het internet kunt surfen.

Je kunt jezelf beter beschermen tegen deze bedreigingen door de onderstaande tips te volgen:

1. Emotionele taal: Speelt de tekst van de website in op je emoties? Wees op je hoede als je een versterkt gevoel van haast, optimisme of angst ervaart.
2. Slechte kwaliteit: Dit is misschien vanzelfsprekend, maar let goed op hoe de site is ontworpen. Heeft de website het niveau van ontwerp en de visuele kwaliteit die je mag verwachten van een legitieme website? Afbeeldingen met een lage resolutie en vreemde lay-outs kunnen duiden op een scam.
3. Vreemd taalgebruik: Let op spelfouten, onnatuurlijk of slecht Nederlands en overduidelijke grammaticafouten, zoals het onjuiste gebruik van enkelvoud- en meervoudsvormen.
4. Het ontbreken van bepalende webpagina's: Daarnaast zou een goede bedrijfswebsite standaard pagina's zoals een contactpagina en een 'Over ons'-pagina moeten hebben. Bel het bedrijf op als je de website niet helemaal vertrouwt. Wees op je hoede als het nummer een mobiel telefoonnummer is of als er niet wordt opgenomen. Als het lijkt alsof het bedrijf mondeling contact wil voorkomen, is daar waarschijnlijk een reden voor.

Hoe kun je scamwebsites vermijden?

Als je scamwebsites wilt vermijden, moet je op je hoede zijn op het internet. Hoewel je misschien deze sites niet helemaal kunt vermijden, kun je wel proberen te voorkomen dat ze invloed op je hebben. Hier zijn enkele manieren waarop je deze scams kunt vermijden.

Controleer de domeinnaam

Websites die zijn opgezet om een legitieme site te imiteren hebben vaak domeinnamen die lijken op de webadressen van legitieme sites. Een imitatiewebsite kan bijvoorbeeld FBI.com of FBI.org gebruiken in plaats van FBI.gov. Let extra goed op de webadressen die eindigen op .net en .org, omdat dit soort domeinnamen minder vaak voorkomen bij online winkelsites.

Als je je verder wilt verdiepen, kun je kijken wie de domeinnaam of URL heeft geregistreerd met behulp van sites als WHOIS. Er worden geen kosten in rekening gebracht voor zoekopdrachten.

Wees voorzichtig met betalen

Een goede tip om te onthouden is dat je nooit direct via bankoverschrijving moet betalen. Als je geld overmaakt naar een bankrekening en de transactie een scam is, krijg je nooit meer je geld terug. Betalen met een creditcard biedt je enige vorm van bescherming in het geval dat er iets verkeerd gaat.

Te mooi om waar te zijn?

De luxe uit je wildste dromen beloven in ruil voor een paar minuten van je tijd of andere minimale inspanning is een succesvolle tactiek van fraudeurs. Vraag jezelf altijd af of iets te mooi om waar te zijn lijkt.

Verkoopt de site tablets, pc's of merksneakers voor een ongelofelijk lage prijs? Belooft de website van een gezondheidsproduct grote spieren of extreem gewichtsverlies binnen slechts twee weken? Wat dacht je van een waterdichte manier om rijk te worden? Het kan niet misgaan als je aanneemt dat dingen die te mooi om waar te zijn lijken, niet waar zijn.

Zoek op internet

Als je een website nog steeds niet helemaal vertrouwt, kun je wat onderzoek doen om te zien wat andere mensen op internet over de site zeggen. Een goede of slechte reputatie is vaak duidelijk te vinden op internet. Als anderen een slechte ervaring hebben gehad met een website, delen ze dat waarschijnlijk online. Bekijk beoordelingen op sites zoals Trustpilot, Feefo en Sitejabber om te controleren of een bepaalde site in het verleden is geassocieerd met scams.

Vertrouw er niet blindelings op als je geen slechte beoordelingen tegenkomt, aangezien de scamwebsite nieuw kan zijn. Houd rekening met alle andere factoren om ervoor te zorgen dat je niet het eerste slachtoffer wordt.

Gebruik altijd een veilige verbinding

Als je een legitieme site bezoekt die om financiële of beveiligde gegevens vraagt, moet de bedrijfsnaam zichtbaar zijn naast de URL in de adresbalk, evenals een hangslotsymbool dat aangeeft dat je een veilige verbinding hebt. Alle alarmbellen moeten gaan rinkelen als je dit symbool niet ziet of als je browser je waarschuwt dat de site een verouderd beveiligingscertificaat heeft. Gebruik altijd eersteklas beveiligingssoftware om je persoonlijke bescherming te verhogen en om voor een extra beschermingslaag te zorgen.

Neem niks voor lief en klik niet zomaar op een link om een website te openen. Typ in plaats daarvan het webadres handmatig in of sla deze op in je bladwijzers. Kwaadwillende criminelen kopen vaak domeinnamen die erg veel op de echte webadressen lijken. Als je echter het webadres zelf invoert of het juiste webadres opslaat, kun je jezelf beter beschermen.

Een andere goede optie is om een Kaspersky Premium-functie zoals Safe Money te gebruiken. Deze functie biedt extra zekerheid als je online betaalt.

Wat moet je doen als je slachtoffer bent geworden van een scamwebsite?

Als je slachtoffer bent geworden van een van deze schadelijke sites, moet je direct actie ondernemen. Je hebt nog steeds de kans om de manieren te beperken waarop de aanvaller jou kan uitbuiten. Dit zijn een aantal manieren waarop je de schade van een scam kunt beperken:

1. Verbreek het contact met de scammer.
2. Zoek en verbreek lopende betalingen aan scammers en betalingen in behandeling.
3. Annuleer gehackte creditcards om te voorkomen dat er nog meer geld ongewild wordt afgeboekt.
4. Update je belangrijkste wachtwoorden en pincodes, waaronder die van bankrekeningen en e-mailaccounts.
5. Bevries je creditcard zodat scammers geen misbruik kunnen maken van je identiteit voor nieuwe pogingen tot accountfraude.
6. Rapporteer de scam aan serviceproviders en instellingen die hulp kunnen bieden.

Als je jezelf en anderen probeert te beschermen tegen toekomstige scams, is het cruciaal dat je de juiste autoriteiten op de hoogte stelt.

Hoe kun je scamwebsites rapporteren?

Weten hoe je een website moet rapporteren is net zo belangrijk als het rapporteren zelf. Zorg er dus voor dat je voldoende informatie hebt.

Rapporteer de scam vooral aan diensten die hierdoor worden beïnvloed, zoals:

• Je bank en/of creditcardmaatschappij.
• De Internal Revenue Service (IRS) van de Verenigde Staten.
• Providers van online accounts, zoals Google en Apple.
• E-commerce-winkels, zoals Amazon en eBay.

Rapporteer websitescams of pogingen tot websitescams aan het Internet Crime Complaint Center (IC3) of econsumer.gov voor internationale scams.

Google zorgt ervoor dat de zoekresultaten geen schadelijke sites bevatten, maar rapporteer de website toch om hen hierbij te helpen.

Meld de scam tenslotte bij je lokale politiebureau. Zij kunnen dit soort scams onderzoeken die in de regio zijn voorgekomen.

Kaspersky Internet Security heeft twee AV-TEST-awards gewonnen voor de beste prestaties en bescherming van een internetbeveiligingsproduct in 2021 ontvangen. In alle tests toonde Kaspersky Internet Security fantastische prestaties en bescherming tegen cyberbedreigingen.

Gerelateerde koppelingen:

• Brute force-aanvallen: definitie en voorbeelden
• Social engineering en de installatie van malware
• Wat te doen als je identiteit is gestolen: een handleiding in stappen
• Hoe vermijd je mobiele scams?