Spoofing voorkomen? 'Controleren, controleren en nog eens controleren'
Het Cybercrimeteam Midden-Nederland heeft in nauwe samenwerking met de London’s Metropolitan Police Service een onderzoek gedraaid naar de internationale spoofingdienst iSpoof. Met deze dienst voerden criminelen wereldwijd gesprekken om mensen op te lichten door zich voor te doen als bank of overheidsorganisatie. Dit heet helpdeskfraude. Deze maand zijn een beheerder van deze dienst en de eerste gebruikers gearresteerd. Tegelijkertijd is de dienst iSpoof uit de lucht gehaald. Dankzij de uitkomsten van deze internationale samenwerking wordt het criminelen voorlopig moeilijker gemaakt om deze vorm van fraude te kunnen voortzetten en weten zij dat ze in het vizier staan bij internationale opsporingsdiensten.
Hoe herken je het en wat wordt er tegen gedaan?
1. Hoe kan je deze oplichtingspraktijken herkennen?
Online fraude en met name met deze spoofingstechniek is ontzettend lastig te herkennen. Je wordt gebeld met een nummer van je bank en wordt echt een verhaal ingezogen. Het is vaak erg moeilijk te achterhalen is dat er een luchtje aan zit. "Ze noemen je bij je eigen naam en hebben veel informatie verzameld. Dan denk je niet snel dat het foute boel is.
Wat je dan wel kan doen? Het is misschien een open deur, maar wees alert en bewust. Of zoals de Fraudehelpdesk het verwoordt: controleren, controleren en nog eens controleren. Check goed met wie je te maken hebt, lees reviews, zoek nummers op of bel terug en pas als je 100 procent zeker weet dat het klopt overgaan tot actie.
2. Er zijn zoveel vormen van oplichting, worden oplichters creatiever?
Oplichters zoeken telkens naar nieuwe manieren om fraude te plegen. Ook de actualiteit grijpen ze daarbij aan: zo vonden ze manieren om geld te verdienen aan de oorlog in Oekraïne en de coronacrisis, door goedbedoelende donateurs om de tuin te leiden.
Oplichters beschikken steeds vaker over persoonlijke informatie door middel van phishing, datalekken bij bedrijven en het darkweb.
3. Wat wordt er gedaan tegen online fraude?
Vanwege het kat-en-muisspel tussen banken en fraudeurs wordt het wel moeilijker om fraude te plegen. Een bankrekening leegtrekken lukt vaak allang niet meer door iemands creditcardgegevens of wachtwoord afhandig te maken: bij elke grote bank moet je een extra verificatiestap door, om misbruik te voorkomen.
Organisaties als de Fraudehelpdesk en Veiliginternetten.nl starten regelmatig campagnes om mensen bewuster te maken van de gevaren. Ook de Nederlandse Vereniging van Banken (NVB) mengt zich in de strijd om fraude tegen te gaan en startte onlangs de campagne: Frauderen. Zo werkt het!
4. Wat moet je doen als je opgelicht bent?
Als je geld hebt overgemaakt of op een phishing-link hebt geklikt, kan je het beste meteen de bank bellen en aangifte doen. Een transactie terugdraaien is vrijwel onmogelijk, maar door je rekening te blokkeren voorkom je meer schade.
5. Kan je je geld terugkrijgen als je opgelicht bent?
Dat is heel erg afhankelijk van de fraudevorm. Banken vergoeden de schade als het gaat om een soort waarbij je niet zelf het geld hebt overgemaakt.
Doe je dat wel, dan is de kans klein dat je de schade vergoed krijgt. Toch is er nog een mogelijke oplossing. Tegenwoordig is het mogelijk dat je de naam en adresgegevens van zo'n bankrekeningnummer kan opvragen bij de bank. Dan kan je zelf een civiele procedure starten.
De internationale spoofingdienst iSpoof uit de lucht gehaald.
Hoe werkt iSpoof
Met de dienst iSpoof kunnen gebruikers eenvoudig hun eigen telefoonnummers verbergen en zogenaamd bellen namens een ander. In de praktijk wordt deze dienst veel gebruikt door oplichters die slachtoffers bellen en zich daarbij voordoen als bijvoorbeeld een bank of overheidsorganisatie. Slachtoffers worden vervolgens met slinkse praatjes misleid om bank- of privégegevens prijs te geven of geld over te boeken. De financiële schade per slachtoffer kan daarbij enorm oplopen. Sommige slachtoffers hebben hun spaargeld of pensioenpot binnen enkele uren zien verdwijnen. Criminelen zoeken daarbij goed naar de hoogste slagingskans waardoor de werkwijze steeds verandert en per land kan verschillen
Internationale samenwerking
In een lopend onderzoek naar de uitvoerders van bankhelpdeskfraude stuitte het Cybercrimeteam van Midden Nederland op iSpoof en werd ontdekt dat deze op servers in Almere werd gehost. Dit resulteerde in een nieuw onderzoek, volledig gericht op de dienst zelf. Al snel bleek dat een uitbater van deze dienst in Londen woonde en dat de London’s Metropolitan Police Service al een uitvoerig onderzoek op deze persoon was gestart. Een nauwe samenwerking, gericht op het offline halen van de dienst waar veel criminelen dankbaar gebruik van maakten, was vervolgens een feit. Door middel van een tap op de servers in Almere vergaarde de Nederlandse politie inzicht in haar gebruikers en hoe zij te werk gaan. Daaruit werd duidelijk dat gebruikers wereldwijd per maand circa een miljoen gesprekken, of pogingen daartoe, voeren. In Nederland gaat het om vermoedelijk duizenden telefoontjes per maand. De bestrijding van iSpoof moet daarom bijdragen aan het voorkomen van veel slachtoffers.
Arrestaties
De uitbater van iSpoof is op zondag 6 november door de London’s Metropolitan Police Service gearresteerd. Diezelfde week is de dienst iSpoof offline gehaald. De FBI heeft daarbij beslag gelegd op de domeinnaam ispoof.cc. Met behulp van de tap op de servers in Almere wordt ondertussen hard gewerkt om gebruikers van deze dienst uit de anonimiteit te halen. Dit heeft geleid tot de eerste twee aanhoudingen in Nederland. Het gaat om twee mannelijke verdachten uit Almere van 19 en 22 jaar oud. De Nederlandse politie deelt haar informatie over criminele gebruikers met andere landen. totaal zijn er tot nu toe 142 arrestaties verricht en dit aantal loopt loopt naar verwachting de komende tijd nog verder toe.
Bronnen: NOS.nl / Fraudehelpdesk / Politie.nl