Een van de meest voorkomende phishingtrucs is de nep-inlogpagina. Oplichters bouwen een pagina die er precies zo uitziet als de echte inlogpagina van je bank, e-mail of een andere dienst. Het enige doel is dat jij je gebruikersnaam en wachtwoord invult, zodat de crimineel die kan overnemen. De pagina staat op een webadres dat sterk lijkt op het echte, een zogenaamd look-alike domein. In dit artikel lees je hoe je zo'n nepsite herkent en hoe je veilig inlogt.
Hoe een look-alike domein eruitziet
Het echte verschil tussen een nepsite en de echte zit bijna altijd in het webadres in de adresbalk, niet in het uiterlijk van de pagina. Oplichters gebruiken adressen die op het eerste gezicht kloppen.
| Truc | Voorbeeld van de gedachte |
|---|---|
| Verwisselde letters | Een l die op een i lijkt, of omgekeerd |
| Extra woorden | Een bekende naam met een toevoeging ervoor of erachter |
| Andere extensie | Een ander stuk achter de naam dan het officiele |
| Subdomein-truc | De bekende naam staat ergens in het adres, maar niet als hoofddomein |
Lees de adresbalk van rechts naar links
Het hoofddomein staat vlak voor de eerste schuine streep. Oplichters zetten een bekende naam vaak ergens in het adres om je te misleiden, terwijl het echte hoofddomein iets heel anders is. Controleer dus welk deel echt het hoofddomein is, niet of de bekende naam ergens voorkomt.
Hoe je veilig inlogt
De veiligste gewoonte is om nooit via een link in te loggen, maar het adres zelf te openen.
Veilig inloggen zonder je wachtwoord te verliezen
- Log niet in via een link uit een e-mail, sms of chatbericht. Typ het adres zelf in de adresbalk of gebruik een opgeslagen bladwijzer.
- Controleer het volledige webadres in de adresbalk voordat je iets invult. Let op kleine afwijkingen in de domeinnaam.
- Gebruik een wachtwoordmanager. Die vult je wachtwoord alleen in op het echte, opgeslagen adres en niet op een namaaksite.
- Zet tweestapsverificatie aan, zodat een gestolen wachtwoord alleen niet genoeg is om in te loggen.
- Twijfel je over een pagina, sluit die dan en ga zelf naar de officiele website of app.
Een wachtwoordmanager doorziet de nepsite voor je
Een wachtwoordmanager koppelt je wachtwoord aan het exacte webadres. Sta je op een look-alike domein, dan biedt de manager je wachtwoord niet aan. Dat uitblijven van de automatische invulling is een sterk signaal dat je niet op de echte site bent.
Het slotje betekent niet dat de site echt is
Een hangslotje in de adresbalk betekent alleen dat de verbinding versleuteld is, niet dat de site betrouwbaar is. Ook nep-inlogpagina's hebben tegenwoordig vaak een slotje. Beoordeel daarom altijd de domeinnaam zelf, niet alleen het slotje.
Hoe weet ik welk deel van het webadres het hoofddomein is?
Het hoofddomein is het deel vlak voor de eerste schuine streep na het adres, samen met de extensie erachter. Alles wat daarvoor staat, kan een oplichter zelf verzinnen. Beoordeel dus dat hoofddeel, niet of een bekende naam ergens voorkomt.
Betekent het hangslotje dat een site veilig is?
Nee. Het slotje geeft alleen aan dat de verbinding versleuteld is. Ook namaaksites kunnen een slotje hebben. Controleer altijd de domeinnaam zelf voordat je inlogt.
Waarom helpt een wachtwoordmanager tegen nep-inlogpagina's?
Een wachtwoordmanager koppelt je inloggegevens aan het exacte echte webadres. Op een look-alike domein vult hij niets in. Dat is meteen een waarschuwing dat je niet op de echte pagina bent.
Ik heb mijn wachtwoord op een nepsite ingevuld, wat nu?
Wijzig direct je wachtwoord op de echte site, doe dat ook op andere accounts waar je hetzelfde wachtwoord gebruikte, en zet tweestapsverificatie aan. Lees het artikel over een gehackt account voor de volledige herstelstappen.