tech

‘Klik hier om uw pakket te volgen’ – hoe gevaarlijk is het om alleen op een link te klikken?

null Beeld Getty - bewerking Studio V
Beeld Getty - bewerking Studio V

Klik hier! Volg hier uw pakketje! Ook criminelen maken gebruik van onze reflex om meteen op een link te klikken. Hoe gevaarlijk kan die klik zijn?

U bent aan dit verhaal niet begonnen omdat er op het omslag van een papieren krant staat: sla om! Leest u het digitaal, dan bestaat de kans dat iemand of iets u heeft gewezen op een linkje, met daarbij, om eens wat te noemen: klik hier!

Het web staat vol met dat soort vrij dwingende instructies om iets te gaan doen en ze staan bij linkjes, of eigenlijk hyperlinks. Een adres, of stukje tekst, dat verwijst naar een plek op het web. Het enige dat u hoeft te doen is klikken. Om een treinreis te boeken, om een grappig plaatje te zien, om u in te schrijven voor een nieuwsbrief of om te zien waar uw bestelling blijft. En klikken doen we, de hele dag door.

Criminelen zijn goed op de hoogte van die klikdrang, bleek vorige maand. Een virus (‘Flubot’) op telefoons met het Android-besturingssysteem stuurt sms’jes naar nummers in de contactenlijst met een link naar waar een pakket zogenaamd kan zijn. Vermoedelijk honderdduizenden mensen kregen een sms met de boodschap dat er een pakket aankwam, ‘volg het hier’.

null Beeld Getty - bewerking Studio V
Beeld Getty - bewerking Studio V

Daarop klikken opent een webpagina waarvandaan een app moet worden gedownload om het pakket te kunnen volgen. Die pagina ziet eruit alsof hij echt van DHL of UPS is. Maar installeer je de app, dan kunnen criminelen meekijken met ingevoerde wachtwoorden en geld wegsluizen door met apps voor bankieren mee te kijken. Het is eigenlijk, zegt Dave Maasland van computerbeveiliger Eset, alsof je je telefoon aan iemand anders geeft en die iemand anders is een crimineel.

Een hoop potentiële ellende dus, die begint met een klik op een linkje. Daarboven staat soms nog wat knullig ‘Uw pakket komt er aan, tjlg het hier:’, of ‘Uw Uw pakkxt nomt er aan, volg het hier:’. Je zou denken: als die korte boodschap al een spelfout bevat, waarom zou je dan klikken? Maar als je een pakket verwacht, en dat gebeurt vaak, en er is veel communicatie van en met de pakketbezorger, is de kans aanwezig dat je gewoon op de link klikt om te zien waar het blijft. De vermoedelijk honderden mensen die de app installeerden zijn dus, zegt Maasland, niet dom dat ze ‘erin trapten’.

Appstore

Bij deze vorm van oplichting wordt misbruik gemaakt van onze conditionering om op een link te klikken als dat (digitaal) van ons wordt gevraagd. We klikken immers de hele dag op linkjes en meldingen en waarschuwingen klikken we juist vaak weg. Kun je een link zelf dan nog wel vertrouwen? Kan alleen klikken, bijvoorbeeld uit een bericht of een mail, al leiden tot problemen?

Dat kan, zegt Maasland, maar op telefoons is dat een stuk lastiger dan op een computer. ‘Telefoons zijn een soort gouden kooi, je moet eerst toestemming geven voordat er iets op mag worden geïnstalleerd. En vervolgens moet je de geïnstalleerde software toestemming geven iets op je apparaat te doen. Pas als er een app wordt geïnstalleerd, kan die app iets met je telefoon.’

Installeren kan normaal gesproken alleen via de officiële appstore (iOS) of de Google Play Store (Android). Maar niet iedereen zal zich realiseren dat de installatie niet verloopt via de officiële weg als er een scherm opent met ‘download app’. Dit ‘heel nare’ Flubot-virus omzeilt de standaardbeveiliging van telefoons vervolgens en vraagt om toegang tot iets als (weer die kromtaal) ‘toegangelijkheidsdiensten’, zegt Maasland. Klinkt misschien onschuldig, in feite geef je de malware toegang tot je complete telefoon. Dat het virus voor zover bekend niet voorkomt op iPhones, komt overigens doordat Android het net iets makkelijker mogelijk maakt een app te installeren via een andere weg dan Apple.

null Beeld Getty - bewerking Studio V
Beeld Getty - bewerking Studio V

Zero days

Er zijn mogelijkheden om door alleen maar op een linkje te klikken iets op de achtergrond te installeren, dus zonder dat je het doorhebt. Daarbij wordt gebruikgemaakt van zogenoemde zero days, een lek in de beveiliging van een app of besturingssysteem dat nog niet is gedicht. Die zero days worden op de zwarte markt verhandeld voor veel geld. Verontrustend, zegt Maasland, maar niet het soort criminaliteit waar je als argeloze burger wakker van hoeft te liggen. Dit soort hacks worden vaak gebruikt in spionage of om specifieke personen in de gaten te kunnen houden.

null Beeld Getty - bewerking Studio V
Beeld Getty - bewerking Studio V

Op een laptop of desktopcomputer iets dat echt kwaad kan verstoppen achter een link is eenvoudiger. Een link is een verwijzing en waar die naar verwijst is betrekkelijk eenvoudig aan te passen. Klik je op een link uit een mailtje (‘Er staat een grappig filmpje van je op internet, klik hier’), dan kan er op de achtergrond iets worden geïnstalleerd dat kwaad kan. Mailprogramma’s zijn doorgaans wel in staat om bijlagen bij berichten te scannen op allerlei kwaadaardigs, linkjes glippen er een stuk makkelijker door.

Antivirussoftware kan dat voorkomen. Bedrijven zetten daarom zeker sinds corona meer in op zogenoemde endpointbeveiliging, het via software beveiligen van de computer van een werknemer. Die software moet het zien als er iets geks gebeurt op een computer nadat je op een link hebt geklikt. Want de werkcomputer waar mensen met een kantoorbaan de hele dag voor zitten is vaak de plek waar ze op een linkje klikken. Of, zoals Maasland zegt: ‘Internet bestaat uit linkjes. We moeten wel klikken.’

Tips: vertrouw je het niet?

Krijgt u een link toegestuurd? Heeft u erop geklikt misschien? Een paar tips:

- Installeer op telefoons of tablets nooit iets dat niet via de officiële App Store (bij de winkel van Apple is dat overigens praktisch onmogelijk) of Google Play Store wordt aangeboden. Dus controleer of het echt via die app verloopt.

- Twijfel over een link? Typ hem zelf over in plaats van op de verwijzing te klikken. Je weet dan zeker dat je naar het adres gaat in het bericht en niet op de achtergrond wordt doorverwezen naar iets anders. Bovendien dwingt het je goed naar de url te kijken. Het is onwaarschijnlijk dat een pakketbezorger een link stuurt met een heel ander bedrijf in de url.

- Wees beducht op taal die opzichtig ‘druk’ uitoefent. Als in een mail vaak of in hoofdletters staat dat er ergens op geklikt moet worden, dan wil de afzender dat kennelijk erg graag en dat kan verdacht zijn. Sommige bedrijven, en bijvoorbeeld de Rijksoverheid, versturen geen mails meer met links, maar de mededeling dat er een bericht klaar staat in een inbox.