De schade door phishing is in één jaar tijd verviervoudigd. En dat is voor een groot deel te danken aan relatief nieuwe oplichtingstrucs: sms-phishing, WhatsApp-phishing en qr-phishing. ‘Iedereen kan hier intrappen.’
‘Hee Ron, Luuk hier. Me andere toestel is vermist geraakt en ik heb helaas aangifte moeten doen. Je kan me oude nummer verwijderen en deze mag je opslaan.’ Rolf Schakenraad kijkt vervreemd op van zijn smartwatch wanneer hij bovenstaand bericht ontvangt. Niet alleen omdat zijn broer hem ineens ‘Ron’ noemt, maar ook omdat Luuk op dat moment naast hem op de squashbaan staat. En hem dus met geen mogelijkheid op dat moment berichtjes kan sturen.
Een paar appjes later komt de aap uit de mouw. ‘Ik zit met een groot probleem’, stuurt nep-Luuk. ‘Ik wou vragen of je dit voor me kan betalen, want me hele internetbankieren is geblokeerd.’ Wat volgt is een rekeningnummer van ABN Amro, een naam en het bedrag van 186,99 euro. ‘Voor de noodtandarts. Ik stort het maandagmiddag terug als ik er weer in kan.’
Rolf en Luuk trappen er niet in. Toch was het verzoek best overtuigend, zegt de echte Luuk. ‘De oplichter had een foto van mij als WhatsApp-profielfoto ingesteld en wist dat Rolf en ik broers zijn. Ik vermoed dat hij die informatie van Facebook heeft gehaald. En het nummer van Rolf heeft hij denk ik gevonden bij een advertentie op Marktplaats.’
Een schot hagel
Rolf Schakenraad is lang niet het enige doelwit van criminelen die proberen mensen op te lichten. In de meeste gevallen proberen criminelen slachtoffers naar een nagemaakte website te lokken, die in het geniep betaalgegevens steelt. Dat zogenoemde smishing is een groeiend probleem. In 2018 verviervoudigde de schade: van 1 miljoen euro naar 4 miljoen euro.
Fraudeurs gebruiken naast de bekende mailtjes met teksten als ‘Klik op deze link om ervoor te zorgen dat uw bankrekening niet wordt afgesloten’ ook steeds vaker WhatsApp, smsjes en qr-codes. ‘Sms wordt vooral gebruikt bij grootschalige aanvallen’, weet Dennie Spreeuwenberg, CEO van IT-beveiligingsbedrijf NextTech Security. ‘Het is een schot hagel: je stuurt talloze telefoonnummers hetzelfde bericht met een link erin, in de hoop dat veel mensen happen.’
Heel moeilijk is het ook niet om zo’n sms te sturen, demonstreert Spreeuwenberg. Binnen een paar seconden laat hij een sms landen op een telefoon van een Digitaalgids-redacteur. ‘Uw bericht kon niet worden afgeleverd’, prijkt er in het scherm, gevolgd door een link naar een webpagina die meer informatie belooft. Spreeuwenberg verstuurt smsjes zoals deze in opdracht van klanten, die zo werknemers bewust willen maken van de gevaren van phishing.
Het bericht dat Spreeuwenberg verstuurt lijkt afkomstig van het nummer van de voicemaildienst van telecomprovider KPN. Maar is dat niet. ‘Ik heb alleen gedaan alsof KPN de afzender is’, legt Spreeuwenberg uit. ‘Dat noem je spoofing. Er zijn talloze online sms-diensten die je de naam van de afzender laten aanpassen.’
Spoofing is sinds drie jaar in Nederland bij wet verboden. Maar handhaven – een taak van de Autoriteit Consument en Markt (ACM) – is moeilijk, omdat dat alleen op telefoonnummer kan en niet op naam. Het ministerie van Economische Zaken en Klimaat wil daarom de wet aanpassen om handhaving makkelijker te maken. Daarnaast zoekt het ministerie met telecomproviders naar manieren om spoofing-smsjes tegen te gaan. Begin 2020 moet er een plan liggen.
Gerichte aanvallen
Zulke maatregelen kunnen Martijn Peltenburg niet snel genoeg komen. Hij ontvangt een paar keer per week gespoofde phishing-smsjes. De ene keer met ‘de Belastingdienst’ als afzender, de andere keer lijkt een verzekeraar het bericht te versuren. ‘Ik vermoed dat mijn telefoonnummer ergens op een lijst staat die online wordt verhandeld. Eén keer ben ik erin getrapt. Ik kreeg een bericht van Vodafone dat mijn simkaart was verlopen. Zonder erbij na te denken klikte ik op de link. Ik had al snel door dat het linke soep was, dus heb toen meteen de website weggeklikt en heb mijn telefoon laten controleren op foute software.’
Telefoonnummers voor dit soort massale aanvallen kopen oplichters massaal in. Ze zijn afkomstig uit gehackte online databases, maar worden soms ook door medewerkers van callcenters verkocht aan criminelen. Ook telefoonnummers die voor oplichting via WhatsApp worden gebruikt kunnen van zulke lijsten afkomstig zijn. Al worden nummers voor WhatsApp-oplichting ook handmatig verzameld. Op WhatsApp heb je weinig aan een schot hagel. ‘WhatsApp is persoonlijker dan sms’, aldus Spreeuwenberg. ‘Je hebt het daar vooral over gerichte aanvallen.’
Elly Schraven werd slachtoffer van zo’n gerichte aanval. Begin augustus ontving ze een bericht van iemand die een spijkerjas die Elly op Marktplaats te koop had staan wilde overnemen. ‘Ze zei dat het een cadeau voor haar moeder was. Die woonde in Nederland, maar de koper zelf woonde in het buitenland. Ik moest volgens haar eerst bij mijn bank controleren of ik betalingen uit het buitenland kon ontvangen. Ze stuurde me een link naar een site die er precies zo uitzag als de website van de Rabobank. Daar moest ik een qr-code scannen om betalingen uit het buitenland te accepteren. Dat heb ik gedaan.’
Terwijl Schraven de qr-code scande gaf ze de internetcrimineel die het op haar gemunt had zonder het te weten toegang tot haar rekeningen, die vervolgens geplunderd werden. De oplichter maakte bedragen van wisselende groottes over naar verschillende rekeningen. Tot alles op was. Schraven kwam daar pas achter toen het te laat was. ‘Mijn automatische incasso’s waren ook gestorneerd. Daardoor kreeg ik ook aanmaningen voor mijn huur, die niet kon worden afgeschreven. Gelukkig heeft mijn bank alles vergoed, maar ik ben er echt goed ziek van geweest.’
Een natuurlijke manier
‘WhatsApp-oplichters gaan vaak heel doortrapt te werk’, aldus een vertegenwoordiger van de Volksbank. De organisatie achter ASN Bank, BLG Wonen, RegioBank en SNS krijgt regelmatig met dit soort fraudezaken te maken. Wanneer een slachtoffer zich bij de Volksbank meldt, krijgt hij of zij de schade in veel gevallen vergoed. Mits hij kan aantonen dat hij zorgvuldig om is gegaan met zijn apparaten. ‘We vragen klanten daarnaast altijd aangifte te doen en kijken direct of rekeningen, inloggegevens en digipassen geblokkeerd moeten worden. En we proberen frauduleus overgeboekte bedragen veilig te stellen en boeken ze, indien mogelijk, terug.’
Dat oplichten via sms en WhatsApp voor internetcriminelen een lucratieve business is, komt volgens ethisch hacker Rik van Duijn omdat het hele natuurlijke manieren zijn om met mensen in contact te komen. ‘Dat wekt vertrouwen’, aldus Van Duijn, die voor KPN Security onderzoek doet naar phishing. ‘Criminelen zoeken steeds nnieuwe manieren om ons op te lichten. Daarom zie je nu ook het gebruik van qr-codes opkomen. Veel mensen weten dat ze een link naar een website niet zomaar moeten vertrouwen. Van qr-codes hebben ze het gevoel dat ze veilig zijn. Terwijl een qr-code eigenlijk een link is, in de vorm van een afbeelding.’
De trucs die oplichters gebruikten bij Rolf, Martijn en Elly komen Van Duijn allemaal bekend voor. Ze worden gewoon verhandeld, met name in openbaar toegankelijke groepen op de chatdienst Telegram Messenger. ‘Voor een paar tientjes kun je zelfs les krijgen van een andere oplichter, die je opbelt en precies uitlegt wat je moet doen’, aldus Van Duijn. Je hoeft doorgaans niet heel technisch onderlegt te zijn voor dit soort oplichting. Het zijn vaak ook jonge jongens op hun kamer. Ze zien het als een interessant alternatief voor vakkenvullen.’
Oplichting via sms, WhatsApp en qr-codes vindt volgens ethisch hacker Van Duijn vooral plaats binnen de landsgrenzen. De taal redelijk tot goed kunnen is voor oplichters van groot belang. Van Duijn: ‘Het is gek als je een appje krijgt van het nieuwe telefoonnummer van je moeder en ze ineens alleen Engels spreekt.’ Dat maakt het volgens de ethisch hacker ook lastiger voor potentiële slachtoffers om oplichting te voorkomen. ‘Heel veel heeft ook met timing te maken. Als jij al heel druk bent en je krijgt een appje van iemand die zegt dat hij je broer is en hulp nodig heeft, dan ben je in je haastigheid al snel geneigd te helpen. Dat je erin trapt maakt je ook niet dom. Eigenlijk kan iedereen hier intrappen, zelfs als je denkt dat jou dat niet zou gebeuren.’
Dit artikel verscheen eerder in