De verfijnde kneepjes van een internetoplichter

Roos werd slachtoffer van ‘spearphishing’. Beeld studio vonq

Veel mensen weten inmiddels dat ze moeten waken voor nepmails die van een bank of bedrijf afkomstig lijken. Maar criminelen worden steeds geraffineerder. Zo kreeg Roos plots een WhatsApp van haar ‘broer’.

Heey Heey. Hoe is het. Met Erik.’ Zo begon het vorige maand. De app’jes komen binnen vanaf een telefoonnummer dat Roos niet kent, maar aangezien ze haar broer Erik herkent op de foto, gaat ze ervan uit dat hij een nieuw nummer heeft. Ze slaat het op in haar telefoon.

De volgende dag begint haar broer over problemen die hij heeft om rekeningen te betalen. Er is iets mis met zijn internetbankieren. Roos (55), die stewardess is, is dan net aangekomen op Curaçao. “Ik was moe en wilde eigenlijk gaan slapen. Dus gaf ik hem via de app mijn inlogcode en wachtwoord. Ik gaf hem ook twee codes waarmee hij geld kon overboeken en zei dat hij het verder zelf maar moest regelen. Ik ben altijd een beetje gehaast en wil gewoon dingen geregeld hebben.”

Even later belt de bank. Over een verdachte transactie die in de wacht is gezet. Roos vertelt dat het haar broer is die geld aan het overboeken is en dat zij ervan weet. Uiteindelijk wordt er 4500 euro van haar rekening geschreven. En niet door haar broer, ontdekt Roos later. De man die zich voordoet als Erik blijkt een geraffineerde oplichter. De foto bij het profiel is van Facebook geplukt.

Roos wil niet met haar echte naam in de krant, omdat ‘ze niet weet waartoe hij in staat is’. Ze heeft het gevoel dat de dader van alles over haar weet. En dat gevoel vindt ze misschien nog wel erger dan het geld waarnaar ze kan fluiten.

Ze geeft inzage in de whatsapp-conversatie met haar ‘broer’ en de aangifte die ze bij de politie deed. Daaruit blijkt goed hoe de oplichter te werk gaat: hij doet bijvoorbeeld net of hij verschillende keren probeert te bellen, maar tekens doet zijn telefoon raar of zou er iets mis zijn met de verbinding op Curaçao.

Tekst loopt door onder de afbeelding.

Beeld studio vonq

Hij lijkt ook mee te liften op haar antwoorden. Zo noemt hij pas de naam van haar schoonzus nadat zij dat heeft gedaan. En hij speelt op de emotie met zinnen als: “Als je me niet wil helpen, kun je het ook gewoon zeggen hoor”. Waarop Roos zegt dat ze hem natuurlijk wil helpen.

Roos is slachtoffer van wat ‘spearphishing’ wordt genoemd. Dat is de verfijnde variant van ‘phishing’, waarbij criminelen met nepmails bijvoorbeeld naar inloggegevens hengelen. Die berichten - soms te herkennen aan het slechte Nederlands - worden aan veel mensen tegelijk gestuurd. De criminelen schieten zo met hagel, in de hoop dat het bij een paar slachtoffers raak is.

Familiebanden en hobby’s

Bij spearphishing gaat het niet om een massamail, maar mikt de oplichter veel gerichter op één persoon of een groepje personen. Om zo echt mogelijk over te komen, verzamelt hij daarvoor al allerlei informatie over zijn slachtoffer.

Moeilijk is dat niet. Via sociale media als Facebook en Linkedin zijn familiebanden, werkgever, functie en hobby’s eenvoudig te vinden. Allemaal nuttige informatie als je iemand wil doen geloven dat je te vertrouwen bent.

“We zien dat ze echt hun best doen om geloofwaardig over te komen”, zegt Pim Takkenberg, directeur cybersecurity bij Northwave. Hij adviseert mkb’ers over internetbeveiliging en ziet regelmatig pogingen van spearphishing voorbij komen. “Je ziet bijvoorbeeld dat het design van een mail klopt, dat die ondertekend wordt door iemand die echt bij het bedrijf werkt. Het is bijna niet van echt te onderscheiden.”

Hoeveel slachtoffers net als Roos met spearphishing te maken krijgen, is onbekend. Volgens de Fraudehelpdesk - de website waar mensen aankloppen als zij misleiding vermoeden - komt dat onder meer omdat het een containerbegrip is. Zo kun je het Nederlandse filiaal van een internationaal bedrijf dat zogenaamd een e-mail van de buitenlandse ceo ontvangt met de opdracht om snel geld over te maken, als spearphishing zien. Maar bij de Fraudehelpdesk heet het CEO-fraude.

Bij de organisatie wordt bovendien niet bijgehouden of er sprake is van de klassieke phishingmail, of dat het een gerichte misleidingspoging is. Er komen zo’n 50.000 berichten per maand binnen waarvan consumenten vermoeden of zeker weten dat ze nep zijn. Het is onmogelijk ze allemaal uit te pluizen, aldus de Fraudehelpdesk.

Wel lijken consumenten zich steeds bewuster van het bestaan van nepmails. De financiële schade voor banken door phishing daalt al een aantal jaar. De banken zelf zeggen dat dit te danken is aan de verschillende campagnes die de afgelopen jaren op tv en radio zijn uitgezonden. Daarin werd consumenten op het hart gedrukt dat banken nooit zomaar een e-mail naar hun klanten sturen.

Maar ook criminelen weten dat consumenten alerter zijn op nepberichten. Dat is ook de reden dat spearphishing steeds populairder wordt, zegt Pim Takkenberg. Ook de Nederlandse Vereniging van Banken en de Betaalvereniging Nederland - die bij dit fenomeen samen optrekken - herkennen die trend. Al houden ook zij niet bij of het bij fraude om phishing of spearphishing gaat, omdat het voor de boodschap richting de consument niet uitmaakt, aldus Berend Jan Beugel van Betaalvereniging Nederland. “Die is en blijft: geef nooit je pincode of geheime toegangscodes voor internetbankieren aan een ander, niet via sms, niet via WhatsApp, niet via de telefoon en niet via andere kanalen. Gewoon nooit bekendmaken aan een ander, zonder voorbehoud.”

Argwaan

De persoon die Roos lastigvalt, is niet tevreden met 4500 euro. ‘Erik’ begint over een camper die hij wil kopen als verrassing voor zijn vrouw. “Mijn broer heeft niet zo lang geleden met een camper door Nieuw-Zeeland gereisd, dus dat vond ik niet zo raar.”

Opnieuw vraagt hij Roos geld over te maken. Dit keer gaat het om 19.000 euro. “Ik stond echt op het punt om het te doen. Stom hè”, zegt ze.

Toch begint ze argwaan te krijgen. Het geld moet naar een rekeningnummer in België overgemaakt worden. Volgens haar ‘broer’ komt de vorige eigenaar van de camper daar vandaan. Maar zij vindt het wat vreemd. Ook omdat ze hem nog steeds niet aan de lijn heeft gehad. Haar broer reageert bovendien steeds gepikeerder omdat ze vragen gaat stellen. “Die reactie vond ik vreemd. Het is niets voor mijn broer.”

De argwaan is bij Roos compleet als zij opnieuw een telefoontje van de bank krijgt. Iemand stelt zich voor als medewerker van de security-afdeling. De bank heeft gezien dat ze probeerde in te loggen. Of er problemen zijn? “Maar ik had helemaal nog niet geprobeerd in te loggen”, zegt Roos. Ze gaat ervan uit dat het de oplichter was, die blijkbaar behoorlijk ongeduldig werd toen zij maar niet met die 19.000 euro over de brug kwam.

Detectie door banken

Nu, een maand later, heeft de politie de zaak nog in onderzoek. Regelmatig ziet Roos de oplichter nog online verschijnen op WhatsApp. Door het 06-nummer te googelen komt ze erachter dat steeds meer mensen waarschuwen dat er een crimineel achter dat nummer schuilgaat. De verhalen van andere slachtoffers lijken op die van Roos. Blijkbaar is zij niet de enige die in zijn babbeltruc is gestonken.

Hoe kun je je tegen spearphishing wapenen? Dat is bijzonder lastig, erkennen deskundigen. Banken nemen wel maatregelen, maar dat stopt niet alle fraude. Zo hebben banken tegenwoordig systemen die verdachte overboekingen detecteren. Dat wil bijvoorbeeld zeggen dat als je het ene moment in Nederland pint en een half uur later vanuit Curaçao, de alarmbellen afgaan.

In ieder geval lijken voorlichtingscampagnes die bij phishing zo effectief zijn, bij spearphishing niet voldoende. Volgens het Nationaal Cyber Security Centrum (NCSC) zijn de gerichte misleidingspogingen daarvoor al te verfijnd en te geloofwaardig.

Toon en stijl

Zo proberen criminelen niet alleen de juiste naam of bedrijfslogo te gebruiken, maar analyseren en kopiëren ze zelfs de toon en stijl van de partij waarvoor ze zich uitgeven, schrijft het NCSC in het jaarlijkse ‘Cybersecuritybeeld’. Technische middelen om de nepberichten tegen te houden zijn er wel, maar die zijn erg duur, zegt Takkenberg. “Er zijn systemen die mails scannen en verdachte berichten tegenhouden. Maar dat is voor mkb-bedrijven niet te betalen. Laat staan voor consumenten.”

Dus het advies blijft: waakzaam zijn. Maar ja, dat is makkelijker gezegd dan gedaan. Ook Roos begrijpt terugkijkend niet waarom ze de oplichter geloofde. “Mensen vragen of ik nog wel vertrouwen heb in de mensheid, maar ik vraag me vooral af of ik nog wel op mezelf kan vertrouwen.”

De echte naam van Roos is bij de redactie bekend.

Ook voor spionage is vaak gebruikgemaakt van spearphishing

Niet alleen criminelen die uit zijn op geld gebruiken spearphishing om hun doel te bereiken. Sterker nog, ze keken het trucje af van de staten die ooit gerichte misleiding gebruikten met als doel andere staten of bedrijven digitaal te bespioneren.

Spearphishing is namelijk ook een efficiënte manier om een virus op een computer te installeren. Opent het slachtoffer de bijlage bij de mail, dan is de afzender binnen.

Genoeg bekende hacks begonnen zo. Neem die bij de Democratische Partij in de Verenigde Staten, waarbij uiteindelijk mailconversaties uitlekte. Het gezamenlijk rapport dat de FBI en Homeland Security over die hack uitbrachten spreekt over twee verschillende momenten van spearphishing die daaraan vooraf gingen. De eerste keer werden nepmails gestuurd naar verschillende mensen bij overheidsinstanties, waarbij ‘tenminste een van de aangevallen personen’ in een e-mail een link opende naar een website met malware of een bijlage dat het virus bevatte. De tweede keer kreeg het partijbestuur e-mails waarin gevraagd werd om hun wachtwoord te veranderen door op een link te klikken. In werkelijkheid deden ze dat op een nepwebsite, waardoor de aanvallers de inloggegevens in handen kregen. Dat leidde volgens het onderzoeksrapport waarschijnlijk tot de ‘diefstal van informatie van meerdere hooggeplaatste partijleden’.

Dezelfde techniek werd gebruikt bij de poging om de Onderzoeksraad voor Veiligheid te hacken in de weken voor de presentatie van het rapport over de ramp met vlucht MH17. Een medewerker van de raad ontving een mail die afkomstig leek van een collega en waarin werd aangeraden om vanwege de veiligheid het mailadres te veranderen, ontdekte het beveiligingsbedrijf TrendMicro. Als de medewerker daarop was ingegaan, was er een computervirus geïnstalleerd, wat toegang had verschaft tot de systemen van de onderzoeksraad.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden