Overzicht
Actueel
29 August 2019
Waarschuwing: actuele vormen van fraude via SMS en apps

Phishing is niet hetzelfde als hacking. Het is een vorm van internetfraude waarbij criminelen door middel van trucs en creatieve methodes – zoals telefoontjes, namaak e-mails en andere vormen van social engineering – proberen om je verleiden tot het prijsgeven van informatie of het uitvoeren van financiële transacties.

We denken bij phishing vooral aan verdachte e-mails, maar ook via sociale media en berichten op je smartphone is deze vorm van oplichting veelvoorkomend. In die laatste categorie zijn er de afgelopen maanden in Nederland diverse nieuwe tactieken opgedoken, waarbij consumenten via onder andere SMS, WhatsApp en de zogeheten Tikkie-truc zijn gedupeerd. We nemen er een aantal met je door.

Leestijd: 3 minuten

Tikkie-truc

Zes mannen zijn aangehouden op verdenking van oplichting door middel van het versturen van nep-Tikkies. Dat heeft Politie Noord-Nederland vandaag laten weten. Ze zouden in totaal bijna 100.000 euro buitgemaakt hebben door namaakberichten van de populaire betaalapp in te zetten, waarbij in totaal 375 mensen zijn opgelicht.

Bij de Tikkie-truc worden verkopers op Marktplaats benaderd door criminelen die zich als koper voordoen. Bij een van de varianten stuurde de oplichter(s) de nietsvermoedende verkoper een linkje dat lijkt op het adres van betaalapp Tikkie. Bij de echte app is de URL Tikkie.me en niet Eventikke.nl/tikkie.me zoals in een voorbeeld van de Fraudehelpdesk (inmiddels offline). Gedupeerden werd vervolgens gevraagd om via de app een bedrag van 1 cent over te maken, waarbij de gebruikte link naar een nepsite leidde waarmee de oplichter toegang kon krijgen tot het rekeningnummer van het slachtoffer.

De belangrijkste tip is daarom: kijk altijd goed naar de link, want deze truc staat of valt bij het goed opletten op de URL. De politie vult aan: "Klik nooit op een link die je via WhatsApp, mail of sms krijgt van iemand die je niet kent! Dat is het belangrijkste advies dat we kunnen geven in deze fraudezaak."

Bij ING zijn in de eerste helft van 2019 ruim duizend klanten op een vergelijkbare wijze gedupeerd geraakt. Bij hen was via ‘Mijn ING’ illegaal toegang verkregen tot hun bankrekeningen. Klanten hadden zonder dat ze dat door hadden via een nagemaakte Tikkie-omgeving toegang gegeven tot hun eigen bankrekening. Door preventief handelen wist de bank bij een groot aantal klanten schade te voorkomen door transacties bij deze klanten te pauzeren. ING wist hiermee ruim 300.000 euro aan schade te voorkomen. Bij 375 klanten slaagden de illegale transacties dus wel. De bank heeft aangifte gedaan van deze frauduleuze transacties.

Het gevaar van het exacte voorbeeld hierboven lijkt met de recente aanhouding geweken, maar er duiken ongetwijfeld vergelijkbare varianten op de komende tijd. 

Nep-SMS vanuit banken

Oplichting via SMS'jes vanuit vertrouwde financiële instellingen en dienstverleners zoals je bank of verzekeraar blijven ook populair. Aan de enorme hoeveelheid valse berichtjes die bij de Fraudehelpdesk gemeld worden is ook deze week weer een nieuwe toegevoegd, zogenaamd afkomstig van een bekende bank.

In het bericht staat dat er een overschrijving van 354 euro geaccepteerd zou zijn. Om de overboeking te annuleren, dien je via een meegestuurde link in te loggen. De link leid je naar een neb-website die sterk lijkt op het domein van de bank, maar als je hier inlogt en de code intoetst om een betaling tegen te houden, belandt de informatie bij de oplichters die vervolgens in kunnen loggen op de echte website en zo geld weg kunnen sluizen.

Een tweede variant die veel opduikt, is een SMS'je dat vanuit ING verzonden lijkt te zijn en bericht over een update van de app. Berichtjes van de bank zelf komen echter van afzender 'ING' en bevatten nooit een link. Deze variant is afkomstig van variërende 06-nummers en luidt: "Beste ING klant, download nu de nieuwe ING app met vernieuwde certificaten en maak de blits. Log in op Mijn ING en volg deze stappen [linkje weggelaten]." De hier bewust weggelaten link voert naar een onbetrouwbare website. ING is op de hoogte van deze vorm van oplichting.

Nep-SMS'jes van CJIB over openstaande vordering

Tot slot kreeg de Fraudehelpdesk deze week veel reacties op pogingen van SMS-fraude vanuit het Centraal Justitieel Incasso Bureau (CJIB). Er zou volgens deze berichtjes sprake zijn van een openstaande vordering. Met de opmerking "betaal vandaag via iDeal"  proberen de oplichters een bedrag van 332,84 euro te incasseren.

De Fraudehelpdesk laat weten dat het echte CJIB mensen nooit per SMS over openstaande boetes benadert. Dat geldt ook voor andere vormen van digitale communicatie. CJIB: "Maakt u zich geen zorgen. Dit is altijd een bericht van oplichters. Het CJIB mailt, sms-t of WhatsAppt u nooit over een boete, aanmaning of betalingsachterstand."

Je kunt deze pogingen melden bij de Fraudehelpdesk. Heb je het bedrag al overgemaakt, doe dan aangifte bij de politie. Meer informatie over de mogelijkheden - altijd fysiek op het politiebureau - vind je via deze link

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.
Neem contact op
Awareways Phishing Simulatie

Wist je dat het eenvoudig is om je medewerkers goed voor te bereiden op phishing? De phishing software van Awareways biedt een online platform waarmee diverse aanvallen op een simpele en kosteneffectieve manier binnen een organisatie kunnen worden gesimuleerd. Lees meer op awareways.com/phishing.

Daarnaast bieden we een e-learning module over het onderwerp, om medewerkers te leren hoe je (spear) phishing kunt herkennen en hoe je (niet) moet reageren.

Kijk ook eens naar

Praktijkvoorbeelden
Een overzicht van onze praktijkvoorbeelden.
Security Awareness Engine
De spil in jouw security awareness programma.
Nulmeting
Awareness in cijfers het kan echt.