Iedere zaterdag om 19.05 uur op NPO 1

  • Social engineering: weg geld én identiteit

    hacker cybercrime internetoplichting 930

    Je bent lekker je zolder aan het opruimen en besluit je oude camera aan te bieden op een website als Marktplaats. Voor je het weet zit je in een WhatsApp-conversatie met een potentiële koper. Op slinkse wijze weet deze ‘koper’ je persoonlijke gegevens te ontfutselen. En binnen enkele minuten ben je niet je camera, maar wel het geld op je bankrekening én je identiteit kwijt.

    Social engineering
    Deze vorm van oplichting wordt social engineering genoemd. Criminelen proberen je vertrouwen te wekken en je te verleiden om persoonlijke gegevens of beveiligingscodes af te geven.

    Slachtoffer
    Het overkomt ook Koos Dirkse uit Leiden. Hij heeft zijn camera op Marktplaats staan en krijgt een appje van ene Lydia de Mooij, die de camera voor de vraagprijs wil overnemen. Ze woont ver weg, en vraagt aan Koos of hij de camera aangetekend op kan sturen. Ze houdt een verhaal op dat ze onlangs zelf is opgelicht en stuurt – om vertrouwen te wekken – een foto van haar bankpas en rijbewijs op. Ze vraagt Koos hetzelfde te doen. Daarna gebruikt Lydia de zogeheten ‘zakelijke bankrekening-truc’.

    Ze weet Koos, die bij de ING zit, ertoe te bewegen om een bevestigingscode af te geven, onder meer door tweemaal te benadrukken dat hij écht zijn TAN-code niet moet doorsturen, omdat deze strikt persoonlijk is. Koos gaat voor de bijl, maar komt er twee uur later achter dat zijn hele rekening is leeggeplunderd.

    Identiteitsfraude
    Maar het is niet Lydia die de rekening heeft leeggehaald. Dat is de oplichter die enkele weken eerder hetzelfde trucje heeft uitgehaald bij Brechtje de Mooij (doopnaam is Lydia, daarom staat deze op het rijbewijs). Brechtje heeft begin januari niet haar bevestigingscode afgestaan, maar wel een foto gestuurd van haar rijbewijs en bankpas. En die foto’s worden nu door de oplichters steeds doorgestuurd naar nieuwe slachtoffers.

    Brechtje heeft aangifte gedaan en haar papieren laten vervangen, maar wordt nog regelmatig gebeld door de politie dat haar naam weer is gevallen tijdens een nieuwe aangifte.

    Extra risico
    Bij de ‘zakelijke rekening-truc’ maken fraudeurs gebruik van de koppeling tussen de betalingsapp op een telefoon met je bankrekening. Michel van Eeten, hoogleraar Internetveiligheid aan de TU Delft, bekijkt voor ons welke mogelijkheden banken bieden om deze koppeling te maken.

    Hij merkt op dat ING een extra mogelijkheid heeft. “Iedere mogelijkheid die je biedt is een extra mogelijkheid tot misbruik, zeker als deze afwijkt van wat mensen zien als een normale betalingshandeling. De ING heeft het in die zin iets risicovoller ingeregeld.” Dat hoeft wat Van Eeten betreft niet zo erg te zijn, mits ze met enig begrip kijken naar wat hun klanten overkomt.

    Wie draait op voor de kosten?
    ING laat weten te betreuren dat Koos slachtoffer is geworden van fraude, maar niet over te gaan tot vergoeding van de schade. “De klant heeft in dit geval zelf de fraudeur toegang gegeven tot zijn betaalrekening door gegevens te delen. [..] Klanten moeten zorgvuldig en veilig omgaan met o.a. codes en bankpassen, juist om te voorkomen dat deze in verkeerde handen raken. Dit staat duidelijk vermeld in onze voorwaarden en in de veiligheidsregels die we samen met de andere banken en de Consumentenbond hebben opgesteld.” De volledige reactie van ING en die van Betaalvereniging Nederland vind je hier.

    Van Eeten is het hier niet mee eens. “Wat de wet zegt is dat banken gewoon moeten vergoeden. Als zij vinden dat hun klanten er een potje van hebben gemaakt, dan moeten ze maar naar de rechter. Gek genoeg is het in de Nederlandse praktijk andersom.”

    Alarmbellen

    Helen van der Sluys van het Centraal Meldpunt Identiteitsfraude en –fouten (CMI) herkent deze vorm van fraude. De alarmbellen moeten gaan rinkelen bij:

    - Het direct bieden van de vraagprijs zónder het product gezien te hebben

    - Amicaal taalgebruik

    - Slachtofferrol

    - Het snel moeten handelen

    Wat te doen?
    Gedupeerden voelen zich vaak stom dat ze erin zijn getrapt, maar door de gewiekste methodes kan het iedereen overkomen. Als je dit overkomt, is het volgens Van der Sluys noodzaak om zo snel mogelijk je bank in te lichten en een nieuwe bankpas aan te vragen. Ook adviseert ze sterk om je rijbewijs te vernieuwen, aangifte te doen bij de politie én je te melden bij het CMI. “Ook is het belangrijk om je rekening in de gaten te houden, of deze niet wordt misbruikt om bijvoorbeeld een telefoonabonnement op af te sluiten.”

    Laatste tip

    “Geef nooit je bankpas, rijbewijs of beveiligingscode af. En maak ook nooit 1 of 5 cent over ‘ter controle’ als daarom wordt gevraagd”, aldus het CMI.

ING laat weten te betreuren dat Koos slachtoffer is geworden van fraude, maar niet over te gaan tot vergoeding van de schade. “De klant heeft in dit geval zelf de fraudeur toegang gegeven tot zijn betaalrekening door gegevens te delen. [..] Klanten moeten zorgvuldig en veilig omgaan met o.a. codes en bankpassen, juist om te voorkomen dat deze in verkeerde handen raken. Dit staat duidelijk vermeld in onze voorwaarden en in de veiligheidsregels die we samen met de andere banken en de Consumentenbond hebben opgesteld.” De volledige reactie van ING en die van Betaalvereniging Nederland vind je hier.

Fragment