‘Het systeem met paswoorden zou moeten verdwijnen, omdat het enorm onveilig is, maar het is nu eenmaal goedkoop’

Sinds corona hebben zakkenrollers en oplichters hun werkterrein verlegd naar de digitale wereld. De laatste jaren worden er steevast records gebroken qua meldingen over phishing bij het Centrum voor Cybersecurity België (CCB). Welke nieuwe technieken gebruiken de digitale stropers? Waarom trappen zelfs alerte mensen in hun val? En hoe kunt u uw spaargeld beter beschermen? Humo hengelde naar antwoorden bij experten en slachtoffers.

(Dit artikel verscheen in december 2020 in Humo)

Bij phishing, of online oplichting, denken we al snel aan de klassieke e-mail vol spelfouten van een zogezegde Nigeriaanse prins, of een bank die om je pincode vraagt. Maar oplichters worden steeds creatiever. Bankenfederatie Febelfin heeft dan ook de handen vol met voorlichtingscampagnes.

ISABELLE MARCHAND (woordvoerder Febelfin) «De meeste oplichters zijn een pak professioneler geworden. Spelfouten en slecht Nederlands zien we niet zo vaak meer. Phishingmails worden tegenwoordig ook vaak in naam van energieleveranciers of een overheidsinstantie gestuurd. Wellicht omdat de banken al zo lang sensibiliseren en mensen daar alerter voor geworden zijn.

»De inhoud van zo’n bericht kan verschillen. De oplichters vragen bijvoorbeeld om een openstaand bedrag van een factuur te betalen. We zien nu geregeld berichtjes die zogezegd van bpost komen, over een pakketje waar je via een link nog verzendkosten voor moet betalen. Dat gaat om kleine bedragen, maar zo raken de oplichters wel je rekening binnen, die ze vervolgens plunderen. De meeste mensen verwachten dezer dagen elke week wel één of meerdere pakketjes, dus ze kijken niet raar op als ze zo’n berichtje krijgen.»

HUMO De oplichters spelen bewust in op de gevolgen van de coronacrisis?

MARCHAND «Absoluut. We zitten meer thuis en shoppen vaker online, daar maken oplichters handig gebruik van. Zeker nu er een hele groep mensen is die dat voor de eerste keer doet: zij vormen de makkelijkste slachtoffers. We zien dan ook dat oplichters nu opvallend vaak inzetten op senioren, die doorgaans ook nog eens een meer gespekte rekening hebben dan jongeren.

»De oplichters maken ook misbruik van de actualiteit. Zo worden er de laatste maanden vaak valse mails verstuurd, zogezegd van de FOD Financiën, waarin je op een link moet klikken om een coronapremie aan te vragen.

»Sinds augustus zien we ook een enorme piek in het aantal gevallen van ‘hulpvraagfraude’. Slachtoffers krijgen een berichtje via WhatsApp van een onbekend nummer met de boodschap: ‘Dag mama, dit is mijn nieuwe nummer.’ Na wat smalltalk (‘Mijn gsm zat in de wasmachine, haha, zo stom’ of ‘Lastig hè, met die lockdown?’) vragen ze om hulp: of mama snel even kan helpen met een dringende betaling die niet lukt? Uiteraard betalen ze het daarna ‘zo snel mogelijk terug, beloofd.’»

HUMO Sluw, nu mensen hun kinderen soms wekenlang niet meer in levenden lijve zien. Daar spelen de oplichters handig op in. Mijn moeder kreeg ook zo’n berichtje en zodra ze het woord ‘mama’ zag staan, verdween al haar achterdocht. Er is tenslotte maar één iemand op de wereld die haar zo noemt.

MARCHAND «Veel mensen tuinen erin. Zo’n bericht speelt erg in op de emoties, want ouders zullen hun kinderen altijd willen helpen. De oplichter vraagt meestal om een overschrijving te doen naar het bedrijf dat zij zogezegd geld verschuldigd zijn. Dat is vaak de rekening van een money mule, een geldezel, wiens bankrekening wordt misbruikt om het geld snel door te sluizen. Het misbruik van geldezels is momenteel een enorm probleem. Nog te veel mensen – vooral jongeren – laten zich voor de kar van criminelen spannen. Ze denken dat ze niets verkeerd doen, maar eigenlijk wassen ze crimineel geld wit.»

DOMME EZEL

Stefanie(*) uit Antwerpen had nog nooit van geldezels gehoord, tot ze er zelf eentje bleek te zijn.

STEFANIE «In augustus ging ik op zoek naar een bijverdienste die ik van thuis uit kon doen, dus googelde ik op ‘online bijverdienen’. Zo stuitte ik op een bedrijf dat mensen zocht om ‘fondsen te beheren’. De website zag er heel betrouwbaar uit. Er stond op wie ze waren, hoeveel tijd je aan het werk zou spenderen en wat je ermee kon verdienen. Je kon een contactformulier invullen voor meer informatie, dus dat deed ik.

»Ze mailden me al snel terug met meer uitleg. Het kwam neer op het verhandelen van geld: er zouden af en toe bedragen op mijn rekening worden gestort en die moest ik dan weer overmaken naar een andere rekening. Ze verzekerden me dat het 100 procent veilig was en dat ze met grote klanten werkten. Nadat ik mijn gegevens en bankrekeningnummer had ingevuld, schakelde de communicatie over op de app Telegram.

»Toen kreeg ik ineens instructies over het aankopen van bitcoins. Daar was voorheen niets over gezegd, maar blijkbaar moest ik met het geld dat op mijn rekening belandde bitcoins aankopen en naar hen doorsturen. Ik zou 10 procent ontvangen op de bedragen die ik kreeg. Ik was eigenlijk een soort wisselkantoor.»

HUMO Je had niet door dat het om illegale praktijken ging?

STEFANIE «Nee, hun uitleg kwam heel overtuigend en professioneel over. Ik merkte wel dat hun antwoorden met Google Translate naar het Nederlands waren vertaald. Maar het leek een simpele klus en het ging ook over relatief kleine bedragen van een paar honderd euro. Na twee dagen liepen die echter al flink op en verscheen er ineens 1.000 euro op mijn rekening, soms 2.000. Ze vroegen me toen om de limiet op mijn bankrekening te verhogen naar 10.000 euro per dag. Daar deed ik moeilijk over, maar de communicatie werd al snel dwingender. Uiteindelijk belandden er soms sommen tot 5.000 euro op mijn rekening, allemaal uit Duitsland.»

HUMO Wanneer besefte je dat er iets niet klopte?

STEFANIE «Toen ik enkele dagen later ineens niet meer bij mijn rekening kon. Ik belde naar mijn bank, die meldde dat ze mijn rekening hadden geblokkeerd omdat die voor criminele doeleinden werd gebruikt. Pas toen is het belletje gaan rinkelen. In mijn bankkantoor raadden ze me aan naar de politie te gaan. Daar heb ik een verklaring afgelegd en kreeg ik te horen dat het fenomeen steeds vaker voorkomt.»

HUMO Krijgt de zaak nog een juridisch staartje voor jou?

STEFANIE «Daar heb ik tot nog toe niets over gehoord, maar de kans is reëel. Er loopt sinds september een onderzoek naar die Duitse rekeningen, maar ik weet niet wat mij te wachten staat. Dat maakt me onrustig, het is erg stresserend.»

101 MILJOEN DOLLAR

HUMO Geldezels worden ook vaak gebruikt voor kluisrekeningfraude, nog zo’n fenomeen dat sinds de coronacrisis populair is geworden.

MARCHAND «Zulke slachtoffers lopen vaak eerst in de val van phishing, waardoor de fraudeurs al toegang hebben tot hun rekening. Daardoor komen ze extra overtuigend over wanneer ze het slachtoffer later opbellen, omdat ze specifieke transacties kunnen benoemen. Ze doen zich voor als bankmedewerker en waarschuwen voor verdachte transacties op de rekening, die erop wijzen dat criminelen het geld proberen te stelen. Voor alle veiligheid moet het slachtoffer daarom het volledige saldo overschrijven naar een veilige ‘kluisrekening’, die eigenlijk gewoon de rekening van een geldezel is. De oplichter begeleidt het slachtoffer telefonisch om met de kaartlezer de juiste handelingen uit te voeren.»

HUMO Waarom gebruiken oplichters die tactiek, als ze al toegang hebben tot de rekening?

MARCHAND «Omdat ze meestal geen groot bedrag kunnen overschrijven zonder extra controle of beveiliging, zoals een kaartlezer. Bovendien duurt het op die manier veel langer voor het slachtoffer doorheeft dat er sprake is van fraude, want die rare overschrijving op hun bankafschrift hebben ze zélf uitgevoerd.»

HUMO Moet een online oplichter de dag van vandaag eigenlijk nog technisch onderlegd zijn? Een overtuigend verhaal en een flinke portie lef lijken al voldoende te zijn.

BART PRENEEL (professor en hoofd van de afdeling Computerbeveiliging en Industriële Cryptografie aan de KU Leuven) «Onderlegde hackers kunnen enorm veel schade aanrichten. Bij één van de grootste aanvallen aller tijden werd een aantal banken in Bangladesh gehackt via het SWIFT-netwerk, waarlangs het internationale betaalverkeer verloopt. In totaal is er toen 101 miljoen dollar gestolen. Dat doe je niet door zomaar op de goedgelovigheid van mensen in te spelen, er is veel technologie nodig. Zulke dingen zijn enkel weggelegd voor echt goede hackers. Maar ja, die kun je ook gewoon inhuren.

»Wat dat betreft is er weinig verschil met de gewone wereld. Iemand inhuren om ergens in te breken, een ander te bedreigen of te vermoorden, geld wit te wassen: dat kan ook allemaal in de digitale wereld. Het is louter een kwestie van vraag en aanbod. Als je genoeg geld hebt, hoef je vrijwel geen technologische kennis te bezitten om online geld te stelen. Dan koop je gewoon een database met wachtwoorden.

»Als het om kleinere bedragen gaat, kun je als leek ook makkelijk zelf aan de slag gaan. Financiële systemen mogen nog zo goed beveiligd zijn met kaartlezers, wat haalt het uit als je een nietsvermoedend slachtoffer zover krijgt dat hij je zijn paswoord geeft? Tegen het bespelen van de menselijke psychologie is geen enkele technologie opgewassen. De mens is nog steeds de zwakste schakel in het beveiligingssysteem. Wij zijn nu eenmaal gevoelig voor bepaalde dingen, zoals ‘je kind’ dat om hulp vraagt. Dat soort phishing zullen we nooit de wereld uit kunnen helpen, omdat de slachtoffers de bedragen zélf overschrijven.»

HUMO Er heeft zich een opvallende verschuiving voltrokken naar fraude via de smartphone. Zijn mensen minder achterdochtig op hun gsm?

PRENEEL «Ik vermoed van wel, al speelt er nog iets anders. De banken hebben ons jarenlang gepusht om mobiel te bankieren, waardoor de toegang tot onze rekeningen kwetsbaarder is dan ooit. Ik ben één van de weinige mensen die dat weigert te doen, om de simpele reden dat ik weet hoe het werkt. De Belgische betaalkaarten zijn zeer veilig dankzij de fysieke chip, maar die veiligheid verlies je zodra je voor betalingen naar een smartphone overschakelt. Alle data zit dan in de software van de bank en als criminelen daar controle over krijgen, is in één klap al je geld weg.»

HUMO Volgens u is mobiel bankieren minder veilig?

PRENEEL «Jazeker. Al is het ook niet per se onveilig, omdat de banken dat probleem oplossen door hun klanten op de app volledig in de gaten te houden. Dat maakt het allemaal wel veiliger, maar je boet ook stevig in qua privacy. Daar ben ik het niet mee eens. Ik vind dat beveiligingsproblemen moeten opgelost worden met veilige chips en veilige servers, niet door de privacy van de gebruikers af te pakken.

»Naar mijn mening hebben de banken boter op het hoofd. Ze hebben mensen systemen in handen gestopt die ze eigenlijk niet goed begrijpen. Stel je voor dat er ineens een wildvreemde man aan je deur staat met een papieren overschrijvingsformulier dat je zo snel mogelijk moet invullen. Dat zou je nóóit zomaar tekenen. Maar online doen veel mensen dat wel, omdat ze niet precies weten hoe digitaal bankieren werkt. Het is te complex geworden. Maar de banken maken het je lastig om het nog zonder te doen, want overal worden loketten gesloten.»

DIGIBETE BEJAARDEN

‘Tot ik zelf slachtoffer werd, dacht ik dat enkel oude vrouwtjes en naïeve mensen erin trapten. Nu weet ik wel beter.’ Dean Kenes (30) verloor begin dit jaar een paar duizend euro, nadat hij per sms werd gewaarschuwd dat zijn bankkaart geblokkeerd was.

DEAN KENES «Vroeger kreeg je een louche mail waarin men beweerde dat je een miljoen dollar had gewonnen met één of andere buitenlandse loterij, maar nu zijn zulke valse berichten niet meer van echte te onderscheiden. Ik dacht dat ik er zelf heel alert voor was, maar toch is het die oplichters gelukt.»

HUMO Wat is er precies gebeurd?

KENES «Op woensdagavond keek ik op mijn bankapp en zag dat er geld weg was van mijn spaarrekening. Er stond ongeveer 4.000 euro op en er bleef maar 500 euro meer over. Dat vond ik vreemd, want zo’n groot bedrag had ik zeker niet zelf afgehaald. Het geld bleek in een zestiental schijven van telkens een paar honderd euro overgemaakt te zijn naar een Duits rekeningnummer op naam van ene Anthony.

»Ik wist meteen dat er iets niet klopte, maar ik begreep niet hoe het was kunnen gebeuren. Als ik gewoon mijn bankkaart was verloren, hadden ze mijn pincode moeten kennen om aan mijn spaargeld te raken. Ik belde meteen de bank, die me vertelde dat het verdwenen bedrag volledig vergoed zou worden, zolang ik zelf niets getekend had met mijn kaartlezer. Ik was opgelucht, want ik was er 100 procent zeker van dat ik zelf geen rare transactie had uitgevoerd.

»De volgende dag ging ik naar het bankkantoor om alles verder te regelen. De medewerker vroeg me nogmaals of ik echt niets had getekend met mijn kaartlezer. Ik dacht nog eens diep na en toen viel mijn frank. Op maandag had ik een sms gekregen van Card Stop met de melding dat mijn bankkaart geblokkeerd was, met een link erbij om dat weer ongedaan te maken. In paniek was ik naar die website gegaan, die er precies hetzelfde uitzag als de echte. Om mijn kaart te deblokkeren, moest ik me legitimeren met mijn kaartlezer.»

HUMO Was je op geen enkel moment achterdochtig?

KENES «Ik had het in die periode heel druk op het werk en ik stond net op het punt om alleen te gaan wonen. Het is alsof die oplichters wisten dat het echt het allerslechtste moment voor mij was om met een geblokkeerde bankrekening te zitten, waardoor ik veel minder aandacht aan dat bericht schonk dan ik normaal zou hebben gedaan.

»Ik heb voor de zekerheid de veelgestelde vragen doorgenomen op de website van wat ik dácht dat Card Stop was. Die waren in perfect Nederlands geschreven en beschreven mijn eigen situatie: dat er iets mis kon gaan waardoor je kaart geblokkeerd werd, maar dat je die in dat geval ook weer kon deblokkeren. Ik ging ervan uit dat het wel oké zou zijn, omdat fake websites toch niet zo gedetailleerd zouden zijn. Ik had zelfs de reflex om te checken of het webadres begon met ‘https’, omdat banken daar nu zo vaak voor waarschuwen. Dat was het geval, dus leek het me veilig. Toen heb ik digitaal getekend met mijn kaartlezer, om mijn bankkaart te deblokkeren. Zo heb ik de criminelen blijkbaar toegang gegeven tot mijn rekening.»

HUMO Ben je nog naar de politie gegaan?

KENES «Nadat ik op donderdag bij de bank was geweest, heb ik onmiddellijk aangifte gedaan bij de politie én bij het meldpunt van de FOD Economie. Het hele weekend lang heb ik gevloekt op mezelf. Op maandag ging ik weer langs bij de bank, met een kopie van mijn aangifte. Tijdens dat bezoek ontdekte de bankmedewerker dat het volledige bedrag was teruggestort vanaf die Duitse bankrekening. Die Duitse bank was blijkbaar zeer alert en had door dat de rekening werd misbruikt voor oplichting. Ze hebben het geld onderschept en teruggestort.

»Ik ben niet te trots om toe te geven dat ik in die val ben getrapt, maar er lijkt wel een taboe op te rusten. Zodra ik mijn verhaal deed bij vrienden en familie, bleek plots meerdere mensen iets soortgelijks te zijn overkomen. Mensen vertellen er niet graag over, omdat ze zich ervoor schamen. Bang dat mensen hen dom of naïef zullen vinden. Maar kijk naar mij: het overkomt echt niet alleen maar digibeten en bejaarden.»

GOUDEN TIPS

HUMO Als het iedereen kan overkomen, dan ook de intelligente en immer alerte Humo-lezer. Wat kunnen we doen om ons beter te beschermen?

PRENEEL «Je moet je altijd afvragen of je wel op de juiste site zit. Maar daarvoor moet je certificaten checken, IP-adressen controleren, domeinnamen nakijken… Dat vergt expertise die buiten het bereik ligt van de gemiddelde gebruiker.»

MARCHAND «Er zijn wel enkele concrete tips. Behandel je codes om digitaal te bankieren net zoals de code van je bankkaart. Geef die nóóit zomaar aan iemand anders door. Ga nooit via een link of een andere omweg naar de site van je bank. Typ altijd zelf het webadres in je browser, zodat je zeker op de echte site belandt. Als je via sociale media of WhatsApp een hulpvraag krijgt van een dierbare, bel dan eerst diens gekende nummer, om te controleren of het echt is. Maak nooit zomaar geld over zonder dat je hem of haar daadwerkelijk hebt gesproken! Oplichters kunnen soms ook een bericht sturen vanaf het echte nummer, omdat ze dat gehackt hebben.»

PRENEEL «De standaardbeveiliging voor veel websites en apps is een gebruikersnaam en paswoord, maar dat is een gigantisch probleem. Mensen moeten tientallen paswoorden aanmaken voor van alles en nog wat, daarom gebruiken ze altijd dezelfde. Bovendien zijn die vaak veel te voorspelbaar. Criminelen verkopen ook databases met gebruikersnamen en wachtwoorden. Het systeem met paswoorden zou naar mijn mening moeten verdwijnen, omdat het enorm onveilig is, maar het is nu eenmaal goedkoop.»

HUMO Hoe veilig is het systeem met verificatiecodes die je via mail of sms krijgt? Ik lees soms over oplichting waarbij die onderschept worden.

PRENEEL «Elke extra stap in het beveiligingsproces is per definitie veiliger – de zogeheten tweestapsverificatie. Vaak betekent het dat je een verificatiecode toegestuurd krijgt per mail of sms. Nu, als je mailbox makkelijk te hacken is, dan stelt die verificatiemethode natuurlijk niet zoveel voor. Per sms is het al moeilijker, want dan moeten criminelen ook toegang hebben tot je gsm-nummer.»

FRAUDEDETECTIE

In Nederland schat men dat criminelen in 2020 een recordbedrag van 30 miljoen euro konden buitmaken dankzij phishing. Voor België is een dergelijke schatting niet beschikbaar, maar Febelfin meldde eerder dit jaar wel dat er zeker 12.432 Belgische slachtoffers bekend waren. Dat is een stijging van 27,5 procent ten opzichte van 2018. In totaal werd bij hen 7,5 miljoen euro ontvreemd.

MARCHAND «We weten niet hoe vaak online fraudeurs proberen om mensen geld af te troggelen. Potentiële slachtoffers maken meestal geen melding van mislukte pogingen. Zelf verwijder ik zulke berichten ook meteen, ik besteed er niet veel aandacht aan.»

KENES «Volgens de lokale politie was ik al de zesde in twee dagen die aangifte deed. Eén van de slachtoffers was 30.000 euro kwijt. Ik heb geluk gehad dat de Duitse bank het geld onderschept had, want mijn eigen bank had me niet vergoed. Sterker nog: ik moest een nieuwe bankkaart aanvragen en daar moest ik ook nog eens voor betalen.

»Natuurlijk heb ik zelf een fout gemaakt, maar toch. Al mijn verzekeringen, mijn lening en mijn rekeningen heb ik bij die bank. Ik ben al jarenlang trouwe klant. Maar omdat ik op het knopje van de kaartlezer had gedrukt, was het ineens allemaal mijn verantwoordelijkheid.»

MARCHAND «Als de klant in de val is getrapt, kan de bank daar vaak helaas niet zoveel meer aan doen. Zij zullen de klant bijstaan en een dossier openen om het fraudegeval te onderzoeken en te beoordelen of de klant kan worden terugbetaald. Als je als klant grof nalatig bent geweest, kan dat voor de bank een reden zijn om niet terug te betalen. Het verschilt per fraudegeval.»

PRENEEL «Technisch gezien kunnen banken apps wel zo bouwen dat phishing moeilijker wordt. Maar helaas is hun aanpak reactief: ze verzamelen meldingen van valse mails, enzovoort. De eerste slachtoffers van een nieuwe phishingtechniek worden eigenlijk voor de bus geworpen, want pas daarna grijpen de banken in.»

HUMO Wat zouden de banken anders moeten doen?

PRENEEL «Ze investeren niet voldoende in fraudedetectie. Een bank is perfect in staat om te zien dat een overschrijving van 10.000 euro uitzonderlijk is op de rekening van een doorsnee klant. Als iemand ineens al zijn spaargeld overmaakt naar een onbekende buitenlandse rekening, dan zou er toch een belletje moeten rinkelen? Een andere tactiek die oplichters gebruiken is om een groot bedrag in tientallen kleinere transacties over te schrijven, maar dat gebeurt wel op zeer korte tijd naar steeds dezelfde rekening. Dat zijn transacties die duidelijk buiten het normale uitgavepatroon vallen.

»Het is me zelf overkomen toen de magneetstrip van mijn bankkaart in Portugal door oplichters was gelezen. Op anderhalve dag werd dertig keer 70 euro afgehaald in cash ergens in Zuidoost-Azië, waar dat gewoon kan zonder pincode. Ik heb toen zelf mijn bank moeten opbellen, want zelfs na twee weken was het hun nog niet opgevallen. Ze wilden het bedrag niet eens terugbetalen, maar ik heb voet bij stuk gehouden en mijn slag thuisgehaald. Alleen slaagt niet elke klant daarin.

»In andere landen worden mensen in zo’n geval opgebeld door de bank om te checken of het wel om normale transacties gaat. De betalingen worden dan tijdelijk geblokkeerd tot ze van de klant te horen krijgen dat het oké is. Dat is dus perfect mogelijk, maar in België gebeurt het niet. Wettelijk gezien doen de banken niets verkeerd, maar ze laten hun klanten in feite gewoon bestelen.»

HUMO Waarom doen de Belgische banken niet aan actieve fraudedetectie, mevrouw Marchand?

MARCHAND «De transacties worden wel degelijk breed gemonitord. Als er transacties gebeuren die niet in lijn zijn met jouw profiel, dan valt dat meestal wel op bij de bank. Mogelijk nemen ze dan contact met je op om te controleren of het klopt.»

KENES «Bij mij was het geld op één dag in schijven van een paar honderd euro overgemaakt. Ik heb toen niets van de bank vernomen.

»Destijds was ik heel boos op mezelf, maar ook gefrustreerd door de reactie van de bank. Achteraf vond ik online een persbericht van Febelfin van drie weken eerder, waarin ze waarschuwden voor oplichting met valse sms’jes van Card Stop. Dat had mijn bank nooit gedeeld met mij. Als ik het had gelezen, was ik er nooit in getrapt. Onze banken dragen dus een grote verantwoordelijkheid.»

HUMO Hoe is de zaak uiteindelijk afgelopen?

KENES «Deze zomer kreeg ik nog een brief van het parket dat de zaak was behandeld, maar ik weet niet of er ooit een dader is gevonden. Ook van de Duitse bank heb ik niks meer gehoord. Sinds het gebeurd is, krijg ik wel opvallend veel meldingen in de app van mijn bank met tips en waarschuwingen over phishing. Wellicht sta ik nu op een lijst van naïeve klanten of zo.»

(*) Stefanie is een pseudoniem.

(Verschenen in Humo in december 2020)