Categorie archieven: Digitaal

Valse e-mails.

Oplichters sturen nieuwe valse e-mails: eHerkenning, iDIN en malware

Valse e-mails: Ze bestaan al jaren, maar zo nu en dan duiken er nieuwe varianten op. In deze berichten gaan oplichters in op zaken zoals eHerkenning en iDIN. Het doel is in verreweg de meeste gevallen om inloggegevens voor internetbankieren te ontfutselen. Ook gaan er valse e-mails namens de Rabobank rond: in deze mails zit schadelijke malware. We nemen een aantal recente exemplaren onder de loep.

Om te beginnen de valse ‘Rabobank’-mail met malware.

Deze is de moeite van het benoemen waard omdat deze nepmail op één essentieel onderdeel afwijkt van vergelijkbare valse mails.

Valse ‘Rabobank’-mail: Geen nepsite, maar malware

In praktisch alle valse mails proberen oplichters je ertoe te verleiden om op een link te klikken. Deze links verwijzen doorgaans naar nepsites waarop het de bedoeling is dat je gevoelige (financiële) gegevens invoert, zoals inloggegevens voor internetbankieren en andere (persoons)gegevens.

De Fraudehelpdesk heeft onlangs veel meldingen gekregen over valse ‘Rabobank’-mails met daarin malware. Het zou gaan om een mail waarin klanten lezen dat er sprake is van “een ongelezen bericht van de bank”. Wie op de bijgevoegde mail klikt, belandt echter niet op een nepsite, maar installeert onbedoeld malware.

Het is niet duidelijk om wat voor malware het precies gaat, maar malware is in alle gevallen slecht nieuws. Bij de Fraudehelpdesk zijn vooralsnog alléén voorbeelden bekend waarin de naam van de Rabobank wordt misbruikt voor het verspreiden van malware, maar de organisatie houdt wél een slag om de arm: “Mogelijk worden deze mailtjes ook namens andere banken verstuurd.”

Het advies is om niet op de link in de mail te klikken en deze te verwijderen. Toch geklikt? Dan kun je je melden bij de Fraudehelpdesk voor advies.

Valse e-mail over iDIN: “Veilig inloggen met verplichte iDIN-identificatie”

Ook gaat er momenteel een valse mail rond over iDIN (afkorting van identificeren en inloggen). Dat is een inlogmethode die ontwikkeld is door banken en bij zo’n 200 instanties – waaronder verzekeraars en hypotheekverstrekkers – kan worden gebruikt:

“iDIN is een dienst die ontwikkeld is door de banken. U kunt met iDIN veilig en op dezelfde manier inloggen bij overheidsinstanties, verzekeringsmaatschappijen en webwinkels. U gebruikt namelijk de veilige en vertrouwde inlogmethode van uw bank. Zo hoeft u veel minder gebruikersnamen en wachtwoorden te onthouden.”

Klanten van ABN AMRO, ING, Rabobank, SNS, ASN Bank, Regiobank én Bunq kunnen iDIN gebruiken als alternatieve inlogmethode bij instanties die iDIN ondersteunen. 

In deze valse mail staat dat iDIN op termijn “verplicht wordt voor consumenten en ondernemers” en dat het specifieke wetsvoorstel dat hierover gaat hoogstwaarschijnlijk dit jaar nog wordt doorgevoerd. Daarvan is in werkelijkheid echter geen sprake: niet alle banken ondersteunen iDIN en nergens wordt gesproken over een verplichting.

De oplichters hopen je verder op een zijspoor te zetten door veiligheidsgaranties te doen: “Ook nog goed om extra te benadrukken: met iDIN doet u geen betalingen. Websites en organisaties hebben geen inzicht in de betaalgegevens bij uw bank.”

Wél krijgen ontvangers de optie om iDIN vast te activeren, en wel via een meegestuurde link. Deze link zal hoogstwaarschijnlijk verwijzen naar een valse website waar je je identiteit kunt ‘bevestigen’ door even in te loggen op internetbankieren. En doe je dat? Dan gaan oplichters vliegensvlug met jouw banksaldo aan de haal. Alle reden dus om deze mail vooral links te laten liggen, mocht je er een ontvangen.

Valse e-mail over eHerkenning: “Vanaf 1 mei inloggen bij de Belastingdienst”

En dan gaat er nóg een valse e-mail rond. Ditmaal gaat het over eHerkenning, en dat is feitelijk een inlogmethode die ondernemers in staat stelt om “eenvoudig en veilig in te loggen bij de Belastingdienst en op Mijn Douane”.

In zekere zin is het net DigiD, zo stelt ook de Belastingdienst: “eHerkenning is vergelijkbaar met DigiD, maar dan voor ondernemingen.”

In deze nepmail wordt echter met geen woord gerept over ‘ondernemers’ of ‘ondernemingen’, waarmee de suggestie wordt gewekt dat iedereen voortaan met eHerkenning moet inloggen bij de Belastingdienst, ook individuele burgers die belastingzaken moeten regelen.

Er wordt gesproken over een ingangsdatum van 1 mei, maar dat lijkt niet op waarheid te berusten: wellicht is 1 mei gekozen omdat je vóór die datum je belastingaangifte moet doen en die specifieke datum bij veel mensen wel een belletje doet rinkelen.

En jawel, ook in deze mail staat een link waar je je vast kunt ‘aanmelden’ voor eHerkenning. Volgens de informatie in deze nepmail gaat het om een pagina van de Belastingdienst, maar ook hier is de insteek vermoedelijk dat je je identiteit even moet verifiëren door wat inloggegevens voor internetbankieren door te sturen. Niet aan te raden als je wenst te voorkomen dat oplichters jouw bankrekening plunderen.

Zie ook: fishing

Bron: Belastingdienst, Fraudehelpdesk, iDIN.nl

MijnOverheid-nepmail met QR-code?

Pas op: dat is oplichting!

Namens MijnOverheid en DigiD zijn er valse e-mails in omloop. Dat is op zich geen nieuwe oplichtingstruc, het eigenaardige aan dit voorbeeld is dat er een QR-code in de mail zit in plaats van een ‘ouderwetse’ link. Oplichters hopen dat je eerder geneigd bent om de QR-code te scannen dan om een link te openen. Toch kun je dat beter laten: als je in deze oplichtingstruc trapt, kun je zo honderden, zo niet duizenden euro’s kwijtraken. Hoe werkt het eigenlijk?

Deze valse mail toont in grote letters ‘MijnOverheid’ als afzender. Verder staat er in de mail dat er een bericht klaarstaat in je Berichtenbox, dit keer van Belastingsamenwerking Gemeenten en Waterschappen. Omdat je mogelijk actie moet ondernemen naar aanleiding van dit bericht, moet je naar MijnOverheid om het bericht te bekijken.

Ook staat in de mail dat de Berichtenbox-app wegens technisch onderhoud niet bereikbaar is. Daarom moet je het dit keer even via je browser doen, en dat kan gelukkig door middel van de ‘handige’ QR-code in de mail.

Wat zit er achter de QR-code?

De meeste mensen zijn inmiddels vaak genoeg gewaarschuwd: klik nooit zomaar op links in mails als je er niet honderd procent zeker van bent dat de mail van een legitieme, betrouwbare afzender is. En dus ook niet als het mails betreft namens officiële instanties, zoals banken, de Belastingdienst of MijnOverheid.

Maar daar hebben de oplichters iets op gevonden. In plaats van een ouderwetse link staat er een QR-code in de mail. In feite is deze QR-code simpelweg een link, maar dan scanbaar. De afzender hoopt alleen dat je door het zien van een QR-code minder snel op je hoede bent, simpelweg omdat het minder vaak voorkomt.

En scannen we deze QR-code? Dan belanden we op een valse website in de huisstijl van DigiD. Op het moment van publicatie is deze valse website overigens nog actief, daarom hebben we de QR-code in het voorbeeld bovenaan dit artikel geblurd. (Delen van) de url zijn in het voorbeeld hieronder wel te lezen, maar de kans dat je via deze route nietsvermoedend op deze nepsite belandt, is zeer gering.

Valse ‘DigiD’-website waar gebruikers hun gegevens af moeten staan

Op deze nepsite moet je je contactgegevens zogenaamd actualiseren. Er wordt onder meer gevraagd naar de volgende informatie:

  • Je voor- en achternaam
  • Je postcode en huisnummer
  • Je mobiele nummer
  • Je privénummer (wat voor velen hun mobiele nummer is, maar goed…)
  • Je vaste telefoonnummer
  • Je geboortedatum
  • Je bankrekeningnummer
  •  

Hoe gaat de oplichtingstruc verder in zijn werk?

Heb je de gegevens ingevuld én verstuurd? Dan wordt het hoog tijd om de bank te bellen en om goed op je hoede te zijn voor telefoontjes van een ‘bankmedewerker’. Wij hebben het formulier ingevuld met wat verzonnen (onzin)gegevens en na het versturen krijgen wij de volgende boodschap op ons scherm:

Uw huidige gegevens worden momenteel bijgewerkt in ons systeem.
Het kan tot wellicht 6 uren duren voordat de ingevoerde wijzigingen worden verwerkt in ons systeem.
Zodra al uw verwerkingen succesvol zijn door gevoerd, ontvangt een bevestiging via de post.
Heeft u uw email adres opgegeven?

Dan ontvangt u de bevestiging in enkele ogenblikken!

Hier zien we een paar eigenaardigheden. Allereerst is het taalgebruik niet zo professioneel, en dat zien we aan zaken zoals de soms wat onlogische zinsbouw, de structuur van de tekst, ontbrekende woorden (‘ontvangt een bevestiging’) en spelfouten (‘door gevoerd’, ‘email adres’).

Ook spreken ze over een e-mailadres, maar het formulier dat we hebben ingevuld, bevat überhaupt geen mogelijkheid om een e-mailadres op te geven. Kortom, signalen op basis waarvan je kunt vermoeden dat het één en ander vermoedelijk niet helemaal zuivere koffie is.

Telefoontje van ‘de bank’

Maar hoe nu verder? De afzender van de valse mail beschikt nu wel over je telefoonnummer(s), en dat houdt in dat je een belletje van een zogenaamde ‘bankmedewerker’ kunt verwachten. Deze bankmedewerker zal vermoedelijk een verhaal afsteken over dat jouw banksaldo groot gevaar loopt en dat hackers bezig zijn met een aanval om zich toegang tot jouw bankrekening te kunnen verschaffen.

Ter bevestiging noemt deze ‘bankmedewerker’ vervolgens informatie zoals jouw telefoonnummergeboortedatum en bankrekeningnummer. Deze informatie klopt, want deze gegevens heb je eerder immers zélf doorgestuurd. Maar juist omdat de informatie klopt, hoopt de oplichter dat jij erop vertrouwt dat je écht met de bank spreekt.

Degene aan de telefoon zal proberen om je ertoe te bewegen je banksaldo ’tijdelijk’ te parkeren op een (overigens niet-bestaande) kluisrekening, die in werkelijkheid van de oplichter of van een geldezel is. Een alternatief is dat de oplichter probeert om je TeamViewer-achtige software te laten installeren op jouw computer: de ‘behulpzame medewerker’ kan zo even meekijken, maar probeert op die manier toegang te krijgen tot jouw computer om geld weg te sluizen.

In beide gevallen is het echter slecht nieuws. Mails van MijnOverheid bevatten nooit links naar websites waar je even in moet loggen, en de bank belt je nooit met de mededeling dat je je geld omwille van de veiligheid op een kluisrekening moet storten: deze zogenaamde ‘kluisrekeningen’ bestaan namelijk niet.

Mailtje gehad? Dan kun je ‘m het beste gewoon verwijderen.