De e-mail zag er legitiem uit, dus Danielle Radin klikte op de link die erin stond, verwacht dat haar producten worden opgenomen in een gids voor vakantiegeschenken.

"Ik had er meteen spijt van, " zegt Radin, eigenaar van Mantra Magneten, een website die wellnessproducten verkoopt. "Ik kwam op een willekeurige website die eruitzag als die pop-ups die je vertellen dat je de loterij hebt gewonnen."

Binnen enkele dagen na die klik drie weken geleden, Radin begon meldingen te krijgen dat mensen in Ecuador, China en elders probeerden toegang te krijgen tot haar e-mailaccount. Ze was niet verrast; ze wist dat haar kleine bedrijf in San Diego het doelwit was geweest van een phishing-zwendel.

Terwijl cybercriminelen op elk moment van het jaar toeslaan, ze zijn vooral actief tijdens de feestdagen en het indienen van inkomstenbelasting, wanneer computergebruikers meer e-mails verwachten te zien - en oplichters richten zich steeds meer op individuele kleine bedrijven met phishing-zwendel, het verzenden van berichten die er legitiem uitzien, maar in plaats daarvan schade toebrengen. Een nietsvermoedende eigenaar of werknemer klikt op een link of bijlage en ontdekt net als Radin dat schadelijke software hun pc's is binnengedrongen.

Cybersecurity-experts ontdekken dat criminelen die duizenden computergebruikers onder de deken hielden in de hoop een handvol computergebruikers voor de gek te houden, hun methoden hebben verfijnd. Oplichters vinden kleine bedrijven via websites, sociale mediasites en door e-mailadresboeken te kammen. Ze ontginnen ook persoonlijke gegevens van inbreuken bij retailers en andere grote bedrijven. Vervolgens, met behulp van een proces genaamd social engineering, ze maken e-mails die er steeds realistischer uitzien, alsof ze echt van een baas komen, collega, vriend, potentiële klant of leverancier, een bank en zelfs de IRS.

"In de afgelopen twee jaar hebben ze meer professionele campagnes gevoerd, " zegt Perry Toone, eigenaar van Thexyz, een e-mailserviceprovider gevestigd in Toronto. "Het kan een paar minuten duren voordat ik heb vastgesteld dat het phishing-aanvallen zijn. Dat geeft aan dat ze het heel goed doen."

Radin denkt dat de oplichters haar hebben gevonden via haar website of een blog. Zoals veel kleine bedrijven, ze heeft een e-mailadres op haar site, en de oplichters kwamen erachter dat ze misschien geïnteresseerd was om te verkopen via een cadeaugids voor de feestdagen. Maar een doelwit vinden is één ding; de zwendel zal niet werken tenzij het een e-mailontvanger overhaalt om te klikken. Zelfs degenen die technisch onderlegd zijn, kunnen soms op hun hoede zijn. Radin werd gedupeerd, ook al is ze de auteur van "Everyone's Been Hacked, "een boek dat online wordt verkocht.

Vaak slaagt een oplichterij omdat er maar een greintje twijfel is bij een computergebruiker:de e-mail is realistisch genoeg dat een eigenaar of werknemer voelt dat ze hem moeten lezen. Soms klikt een medewerker uit angst of verantwoordelijkheidsgevoel, zegt Rahul Telang, een professor in informatiesystemen aan het Heinz College van de Carnegie Mellon University.

"Het klinkt misschien niet erg persoonlijk, maar je hebt een idee dat je moet doorgaan - je hebt het gevoel dat de e-mail van de baas komt, " hij zegt.

Computergebruikers kijken misschien niet zo goed naar een e-mail als zou moeten - er kunnen subtiele tekenen zijn dat een bericht problemen oplevert. Terry Cole, eigenaar van Cole Informatics, een bedrijf dat zich bezighoudt met cyberbeveiliging, herinnert zich dat hij een e-mail kreeg die echt van een collega leek te komen. Hij was een van de vele mensen in de industrie die het ontving.

"Er stond dat deze collega me een beveiligd privébericht had gestuurd dat ik kon lezen en een link had om te klikken. Dit kwam absoluut overeen met mijn normale ervaringen met het communiceren met hem, " zegt Cole, wiens bedrijf is gevestigd in Parsons, Tennessee.

Cole deed in dat geval niet wat hij gewoonlijk doet en raadt iedereen aan om te doen:controleer het e-mailadres om er zeker van te zijn dat het helemaal correct is. Toen hij op de link klikte, het bracht hem naar een nepwebsite die beweerde verbonden te zijn met Microsoft en hem om zijn ID en wachtwoord vroeg. Hij ging niet verder en liep geen schade op aan zijn pc.

De feestdagen bieden oplichters extra mogelijkheden:wenskaarten per e-mail, kennisgevingen van pakketverzending, aanbiedingen van kortingen - allemaal vals. Cybercriminelen zoeken ook persoonlijke informatie van eigenaren en werknemers onder het mom dat ze een W-2- of 1099-belastingformulier moeten maken; in deze tijd van het jaar, de gedachten van ondernemers gaan naar belastingen.

"Iets dat beweert jou te kennen, uw naam, waar je werkt en wil dat je actie onderneemt, is moeilijker te herkennen, " zegt Sherrod DeGrippo, senior directeur van dreigingsonderzoek en -detectie bij Proofpoint, een cyberbeveiligingsbedrijf gevestigd in Sunnyvale, Californië.

Een veelvoorkomende zwendel tijdens de feestdagen is een e-mail die zogenaamd van de baas is en een personeelslid vertelt cadeaubonnen te gaan kopen en de nummers terug te e-mailen, zegt De Grippo.

"Als het van een baas of CEO lijkt te komen, Ik denk dat er die neiging is onder medewerkers om die aanwijzingen op te volgen. Ze spelen op hun emoties, " ze zegt.

Vaak, een zwendel slaagt erin een werknemer ertoe te brengen op een persoonlijke e-mail te klikken terwijl hij op een bedrijfs-pc zit - veel werknemers controleren hun persoonlijke e-mail terwijl ze aan het werk zijn. Ook al kwam de e-mail binnen via een persoonlijk bericht, het is de machine van het bedrijf die kan worden geïnfecteerd.

Bedrijven kunnen zichzelf gedeeltelijk beschermen door de toegang van werknemers tot persoonlijke e-mailsites te beperken, zegt Telang. Hij stelt ook seminars voor om stafleden te helpen de risico's te begrijpen die zelfs legitiem ogende e-mails kunnen opleveren.

Sommige vormen van oplichting zijn bedoeld om de toetsaanslagen van een gebruiker te controleren. Dus iedereen die toegang heeft tot een bedrijfs- of persoonlijke account van welke aard dan ook, kan een crimineel toegang geven tot hun geld of gevoelige persoonlijke gegevens. Een hulpmiddel om te voorkomen dat een bankrekening wordt geleegd of een creditcard wordt gemaximaliseerd, is om rekeningen te hebben met multifactor-authenticatie; dat vereist een wachtwoord en een aparte code die naar een ander apparaat wordt gestuurd en dat is voor elke login anders.

© 2019 The Associated Press. Alle rechten voorbehouden.