SPOOFING - ANY DESK APP

Inmiddels worden we regelmatig - soms wel dagelijks - geconfronteerd met fishing  -emails, -sms, - apps; steeds weer in verrassend creatieve varianten.

Soms simuleert een fraudeur dat hij / zij een familielid is; ‘de papa en mama variant’: Een beweerdelijk kind appt dan dat de telefoon is kwijtgeraakt en het kind dringend geld nodig heeft; er wordt verzekerd dat het geld echt zal worden terugbetaald. Dat is inmiddels een oude fraudeurstruc.

Een andere keer wordt beweerd dat U een tweetrapsbeveiliging nodig heeft voor de toegang tot een organisatie of bankrekening en daartoe een speciale link dient aan te klikken.  De Kamer van Koophandel is voor dit doel wel misbruikt.

Nog in ontwikkeling schijnt te zijn dat er met QR codes wordt gescamd.

Laatstelijk had ik een cliënte, die slachtoffer is geworden van spoofing. “Bij bankhelpdesk fraude, ook wel spoofing genoemd, doet de crimineel zich voor als een medewerker van de bank van het slachtoffer. De crimineel misbruikt hiervoor de naam en/of telefoonnummer van de bank. De crimineel wint het vertrouwen van het slachtoffer en door de hoedanigheid van bankmedewerker aan te nemen haalt hij het slachtoffer over een betaling te doen naar een zogenaamd veilige rekening bij zijn of haar bank,” aldus de Nederlandse Vereniging van Banken.   

Cliënte hecht er aan het verhaal publiek te maken zodat zoveel mogelijk mensen gewaarschuwd worden voor deze vorm van fraude.

Allereerst kreeg cliënte een fishing mail uit naam van haar bank met de mededeling dat zij haar onlangs hadden gevraagd zich online te identificeren, maar haar reactie nog niet hadden ontvangen. Haar werd verzocht via een bepaalde link – genoemd in de mail – de benodigde gegevens in te vullen. Zou ze dit niet doen, dan zou ze per een nabije datum geen gebruik meer kunnen maken van de services van de bank. Ze heeft de gegevens ingevuld.

Vervolgens werd cliënte – binnen 5 minuten – zogenaamd gebeld door de bank.

Op de mobiele telefoon van cliënte verscheen  de melding op het scherm dat het dé bank was, die belde. Cliënte had op haar telefoon het telefoonnummer van die bank ingeprogrammeerd, zodat iedere twijfel bij haar werd weggenomen, dat het niet haar bank was die belde.

De fraudeur noemde zijn naam en deelde cliënte mede dat zij gehackt was. Hij nodigde haar uit om zijn naam te googelen zodat ze kon vaststellen dat hij bij de bank werkte. Hij raadde haar aan middels facebook, instragram en linkedin een en ander te controleren. Dat klopte natuurlijk allemaal.

De fraudeur stelde cliënte gerust dat zij zijn gestelde naam kon terugvinden op de website van de bank met zijn functieduiding.  

De fraudeur – die inmiddels het volledige vertrouwen van cliënte had gewonnen - verzocht cliënte om de app ANYDESK op haar laptop te installeren. Zij volgde alle instructies van de fraudeur op. De fraudeur was kalm en rustig.  Hij had zeer veel geduld.  Dat was opvallend en had alarmerend moeten zijn, aldus cliënte. Hij zei dat hij haar ging helpen haar geld terug te halen.

ADVIES: vraagt iemand U ANYDESK te installeren, werk daar niet aan mee. Tenzij U de betrokkene persoonlijk kent, U hem/haar zelf benadert en 100% kunt vertrouwen.

Terug naar mijn cliënt.

Diezelfde avond realiseerde cliënte zich dat het allemaal niet klopte.

Binnen een paar uur waren substantiële sommen van diverse bankrekeningen overgeboekt naar andere banken in binnen- en buiteland.

Nadat cliënte haar vergissing had bemerkt, heeft zij direct haar Bank gealarmeerd en heeft bij de politie zo spoedig mogelijk aangifte gedaan.  

Cliënt hecht er aan publiek te maken dat:

1.       fraudeurs gebruik maken van de app ANYTIME en

2.       ook al lijkt men volgens het scherm van de mobiele telefoon contact te hebben met de eigen bank, kan dit niet het geval zijn.

Uiteindelijk heeft cliënte een substantieel bedrag teruggekregen van de bank met een beroep op de coulanceregeling.

In beginsel hoeft de bank geen geld te vergoeden als U het geld zelf heeft overgemaakt naar een fraudeur.

Echter, In 2022 hebben banken in samenwerking met de Nederlandse Vereniging van Banken een aantal voorwaarden waaronder de gestolen gelden wel worden vergoed:

·         U hebt aangifte gedaan van het voorval

·         Er is sprake geweest van spoofing van naam en/of het telefoonnummer van de eigen bank

·         U kunt enige vorm van bewijs aandragen dat er spoofing heeft plaatsgevonden

·         U bent een niet-zakelijke klant

Als U echter van een zakelijke rekening gelden heeft overgemaakt, is men meestentijds nog niet zover dat men tot een vergoeding overgaat ook al is voldaan aan geschetste voorwaarden. Maar er wordt thans discussie gevoerd over de vraag of de banken dit standpunt in redelijkheid kunnen blijven innemen.

Neem altijd zelf contact op met een bank of instelling middels het bij U bekende telefoonnummer om te verifiëren of er sprake is van spoofing. Gebruik nooit de linken en telefoonnummers van mensen die U benaderen.

Bent U wel een keer door een fraudeur verleid, schroom niet om deze informatie met mensen om U heen te delen. Daar houden fraudeurs niet van.

Fraudeurs maken gebruik van de onwetendheid en het goede vertrouwen van mensen.

Samen kunnen we ons beter weren tegen deze vorm van fraude.