"De politie zal nooit via mail, SMS of telefonisch om uw persoonlijke gegevens vragen"
Onderstaand artikel verscheen enkele dagen geleden in de media.
De politie roept op om je gsm-nummer en je e-mailadres in te geven in het rijksregister. De reden hiervoor is tweeledig. Enerzijds zodat gemeente- en politiediensten je sneller kunnen bereiken en anderzijds als extra hulpmiddel bij identiteitscontroles. De communicatie van de politie (zie het filmpje in bovenstaand artikel) is op z’n minst ongelukkig. Ze halen de voordelen aan, maar ze maken de mensen niet bewust van de mogelijke risico’s.
Mogelijke risico’s
Veel bedrijven investeren om bewustzijn te creëren rond phishing. Gekende voorbeelden zijn banken, zoals KBC, die hun klanten informeren dat ze nooit zullen vragen om persoonlijke gegevens via e-mail, SMS of telefoon door te geven.
Maar ook de politie zelf publiceert tips om internetfraude — en dus ook phishing — tegen te gaan.
Ondanks de vele waarschuwingen blijven er mensen in de val trappen en is phishing enorm effectief. Maar wat heeft dit nu te maken met de oproep die de politie gedaan heeft hoor ik u denken?
Deze oproep zou wel eens onbedoeld een golf van phishing aanvallen kunnen uitlokken. Mensen die hier gehoor aan geven en hun e-mailadres en gsm-nummer in het rijksregister toevoegen, zullen minder op hun hoede zijn voor phishing.
De reden?
Ze hebben deze gegevens zelf, bewust ter beschikking gesteld én ze verwachten bovendien dat ze telefonisch of via e-mail gecontacteerd kunnen worden. Cybercriminelen weten dit ook en het is niet ondenkbaar dat ze hier op zullen inspelen.
Hoe kan het beter?
Phishing gebeurt meestal — maar niet uitsluitend — via e-mail. Daarom verloopt in Nederland alle communicatie van overheidsdiensten met de bevolking via een berichtenbox. Door enkel via deze weg te communiceren en dit ook zeer duidelijk te maken aan de gebruikers verminder je het risico op phishing drastisch.
Als je dan voor de verschillende gemeente- en politiediensten ook nog apps ter beschikking stelt — die de gebruiker alarmeren wanneer zijn input nodig is — valt de nood voor telefonische communicatie weg en verklein je het risico op phishing verder.
Als je toch beslist om mensen telefonisch te contacteren, geef dan zeer duidelijke aan welke informatie er in zo een gesprek kan gevraagd worden. Op die manier zullen de mensen mogelijke phishing pogingen gemakkelijk kunnen detecteren.
De politie zou nu al kunnen beginnen met een kleine aanpassing van een zin uit hun artikel over internetfraude:
“De politie zal nooit via mail, SMS of telefonisch om uw persoonlijke gegevens vragen”.