Dagelijks ontvang ik e-mailberichten die mij een hoog inkomen beloven met weinig inspanning. En berichten dat er een en ander niet in orde is met mijn bankrekening. In het eerste geval willen cybercriminelen gebruik maken van jouw bankrekening om geld door te sluizen, op zoek naar katvangers. In het tweede geval vissen ze naar de voor een transactie benodigde gegevens, hetgeen phishing wordt genoemd. Hieronder lees je hoe deze twee typen geraffineerde mailtjes twee zijdes van dezelfde medaille zijn.
Waar het geld vandaan komt
“Ik begrijp niet dat ik hier in kon trappen”, aldus onderneemster Heidi in “Eigen Bedrijf” nr. 4 2012, tweemaandelijkse magazine van de Kamer van Koophandel.
Heidi gaf telefonisch een retourcode van haar paslezer door aan cybercriminelen die vervolgens al het geld van haar bankrekening(en) wegsluisden: “Ik was er heilig van overtuigd dat ik een bankmedewerker aan de telefoon had”. Het gesprek opende met het bericht dat de bank een veiligheidsprocedure met haar wilde doorlopen. Tenslotte werd Heidi medegedeeld dat zij twee uur lang niet in mocht loggen op haar account. Omdat een beloofd e-mailbericht met een samenvatting van het gesprek uit bleef kreeg ze na een paar minuten argwaan. Na enkele minuten belde zij de bank die haar vertelde nooit telefonische veiligheidsprocedures te doorlopen. Via internetbankieren constateerde Heidi vervolgens dat haar geld was verdwenen.
De bank kon volgens Heidi het geld niet meer terughalen, “waarschijnlijk gingen de bedragen naar zogeheten kattenvangers” [die het geld doorsluizen]. Met Heidi is het uiteindelijk goed afgelopen, omdat zij buiten haar schuld slachtoffer is geworden van phishing krijgt zij het gestolen geld terug.
Doorsluizen door katvanger / geldezel
Een week voor publicatie van het artikel in “Eigen Bedrijf” kreeg ik via e-mail van een hooggeschoold iemand uit mijn netwerk de vraag of ik bekend was met een bedrijf wat €4000+ per maand aan salaris biedt plus 6% commissie over transacties voor part-time werk aan huis. Mijn reply was kort: “Nee maar lijkt op spam want ze noemen je naam niet. Ik krijg zelf honderden van dergelijke mailtjes per maand.” Omwille van mogelijke herleidbaarheid plaats ik de inhoud van dat mailtje hier niet maar hier staat een soortgelijk phishing mailtje.
Een paar dagen later kreeg ik een vervolg e-mail. Mijn contactpersoon was aangenomen na opgave van naam, adres, telefoonnummers, leeftijd en bankrekeningnummer. Op de rekening stond al vlot een bedrag van €5000+. Mijn contactpersoon kreeg argwaan omdat nog helemaal niet duidelijk was wat de baan precies inhield en omdat het “sollicitatieproces” zo eenvoudig verliep. Het geld is door mijn contactpersoon direct teruggestort.
De (late) instructie die daarop volgde was van het ontvangen bedrag 6% commissie (en eventuele transactiekosten) in te houden en maximaal €4800 op te nemen en te storten op een rekening bij een kantoor van de Western Union Bank. Op het bericht van mijn contactpersoon dat het geld al terug is gestort werd boos en ontkennend gereageerd. Telefoontjes van geblokkeerde telefoonnummers neemt mijn contactpersoon op advies van de politie even niet aan.
Pas op voor phishing-mailtjes!
Zoals je ziet is het zaak goed op te passen met mailtjes over loterijen en bankgerelateerde zaken. Natuurlijk is het zo dat als een aanbod te goed lijkt om waar te zijn er vast een addertje onder het gras zit. Belangrijk is dat banken nooit om je inloggegevens vragen en je altijd aanspreken met je naam.
Het gaat ook niet bij alle phishing mailtjes direct om geld, mogelijk kom je op een website terecht die je inloggegevens probeert te ontfutselen of is er een kwetsbaarheid van je webbrowser, Adobe Reader, Adobe Flash of Java waardoor er ongewenste programmatuur op je computer kan worden geïnstalleerd. Via deze software (malware) kan men jouw computer op afstand bedienen en zo je inloggegevens verzamelen of je computer inzetten voor aanvallen op websites. Een firewall of virusscanner helpt daar vaak niet tegen. Van de kwetsbare software die ik noemde is vaak al snel een nieuwe versie beschikbaar die je alleen maar even hoeft te installeren. Dan moet je wel weten dat er een update is. Helaas handelt iedere software het updaten op een eigen manier af. Voor Windows-computers kun je het programma Secunia installeren, deze waarschuwt je als er updates zijn van software die je gebruikt.
Onderstaand filmpje van Common Craft geeft een goede introductie in phishing. In het boek The Art of Explanation vertelt Common Craft hoe je een goede uitleg opbouwt.
Twijfel je over een bericht? Neem dan contact op met de betrokken instantie. Of kijk op de website. Zo krijg ik de laatste tijd nep-verzoeken om via LinkedIn te connecten. De mailtjes zijn erg goed nagemaakt. In plaats van klikken op de link in het mailtje kun je je muis erboven houden en zien waar die heen gaat. Als dat niet het adres van de betrokken website is, dan is dat verdacht. In het geval van LinkedIn kun je ook je webbrowser opstarten, linkedin.com intypen in de adresbalk van de website, inloggen en daar in je inbox kijken. Als hetzelfde bericht daar niet te vinden is dan weet je ook dat er iets mis is. Hieronder zie je een mailtje wat zogenaamd van de Rabobank afkomstig is. Naast het feit dat ik daar niet bankier verwijst de link naar coamoro.it – iets wat niet op rabobank.nl lijkt. Als jouw webbrowser linksonder niet weergeeft waar een linkje naar verwijst zoek dan eens via het menu Beeld of View naar een optie als “Statusbalk weergeven” of “Show status bar”.
Neem voor meer informatie over veilig bankieren een kijkje op de website Veiligbankieren.nl.
Fraude verplaatst zich ook naar offline – zo kun je momenteel worden gebeld door medewerkers die zich uitgeven als personeel van Microsoft. Door – met jouw hulp – je PC over te nemen maken ze je geld afhandig.
Als je naar aanleiding van praktijkervaringen aanvullingen op dit artikel hebt dan hoor ik die graag! Zo vul ik dit artikel graag aan met wat er gebeurt als een katvanger het geld wél overmaakt. Ik vermoed dat de bank het geld bij de katvanger komt halen maar kan me ook voorstellen dat de bank deze ook als slachtoffer beschouwt.
Politie Utrecht gaf 21 augustus 2012 als mogelijk vervolg aan: “Als u het geld had doorgesluisd had uit onderzoek moeten blijken waar het geld vandaan kwam en wat de bedoeling van het doorsluizen was geweest. U kan zich dan schuldig maken aan het plegen van strafbare feiten, als blijkt dat het betreffende geld van criminele activiteiten afkomstig is geweest. Ik heb uw bevindingen doorgestuurd naar de financiele recherche. Zij pakken dit verder op indien er opsporingsmogelijkheden in zitten.”
ING Bank bevestigde dit 27 augustus 2012: “Geld wat gestort wordt is frauduleus verkregen (gestolen), als je dan met je pas op neemt en doorstort ben je in feite medeplichtig aan het verduistren van gestolen geld. Meestal loop het voor de betrokken persoon goed af doordat men kan bewijzen dat men te goeder trouw op een aanbod voor werk heeft gereageerd. […] Valt niet aan te tonen dat een klant te goeder trouw heeft gereageerd dan kan het ook zijn dat de bank het vertrouwen in de klant opzecht en een verzoek doet om betrokken rekening op te heffen.”