Phishers gingen vorig jaar aan de haal met 34 miljoen euro: "Hoe kan je zo stom zijn, dacht ik, en ik trapte er zelf in"

Oplichters hebben vorig jaar 34 miljoen euro gestolen via phishing. Fraudeurs sturen slachtoffers een mail of sms waarin ze zich voordoen als iemand anders, bijvoorbeeld je bank, om zo codes te stelen. Ons reportagemagazine "Pano" kon via onlinechatgroepen honderden gesprekken voeren met phishers en daaruit blijkt dat online oplichting kinderspel is. 

Nog nooit circuleerden er zoveel frauduleuze berichten: van zogezegde postpakketjes die op ons wachten tot valse coronacompensaties. Achter die online berichten zitten netwerken van phishers die zich voordoen als iemand anders om zo onze persoonlijke gegevens te stelen.

BEKIJK - Wat is phishing precies en hoe gaat het in zijn werk? We leggen het je uit in 1 minuut (lees voort onder de video):

Videospeler inladen...

Phishing is een vorm van internetfraude waarbij oplichters hun slachtoffers benaderen via mail, sms, sociale media of telefoon en zich daarbij voordoen als iemand anders: je bank, een technologiebedrijf, een postbedrijf dat zegt dat er een pakje op je wacht, een overheidsdienst met de melding dat je je moet registreren voor een belastingteruggave of een compensatie voor uw water- en energiefactuur.

Het doel is om te hengelen, of te 'phishen', naar gevoelige gegevens, zoals wachtwoorden en persoonlijke codes. Als de phishers die data eenmaal in hun bezit hebben, kunnen ze aan de haal gaan met een hoop geld. 

Dat er zoveel phishingberichten circuleren, is ook te zien in de cijfers van politie en parket. In de eerste helft van vorig jaar stelden de politiediensten 3.438 pv’s rond phishing op. Dat is meer dan vier keer meer dan in diezelfde periode het jaar ervoor. En dat is nog maar het topje van de ijsberg. 

"Want dit zijn de mensen die een klacht indienen, maar er zijn er genoeg die dat niet doen, om allerhande redenen," zegt Catherine Van de Heyning, substituut-procureur des Konings bij het Openbaar Ministerie van Antwerpen. "Als dit zo doorgaat, kunnen we dat in de toekomst op deze manier niet meer verwerken." En dus vragen de diensten meer middelen, meer mensen, meer expertise. 

Bekijk hieronder een fragment uit de Pano-reportage en lees verder onder de video: 

Videospeler inladen...

Uit cijfers van Febelfin, de belangenorganisatie voor de financiële sector, blijkt dat er vorig jaar in totaal voor zo'n 34 miljoen euro gestolen is via phishing, en dat tijdens zo'n 67.000 frauduleuze transacties.  

"U spreekt met Michiel Mertens van Card Stop"

Waar phishers meesterlijk goed in zijn, is het winnen van vertrouwen. Een koppel dat dat aan den lijve ondervond, zijn Tony en Mireille. Zij klikken begin dit jaar een valse link aan in een mail die van hun bank Argenta lijkt te komen. "Maar 's avonds komt mijn dochter thuis en die zegt mij dat dat een valse mail was", vertelt Tony. "Dus ik bel naar Card Stop om mijn bankkaart te laten blokkeren."

Diezelfde avond krijgt Tony telefoon. "Die man aan de lijn stelde zich voor als Michiel Mertens van Card Stop en hij zei mij dat hij verschillende frauduleuze overschrijvingen op mijn rekening zag staan, maar dat hij die meteen zou annuleren." Tony moet zijn kaartlezer erbij nemen om de overschrijvingen zogezegd te blokkeren en geeft zo zijn persoonlijke codes door aan de oplichter. 50.000 euro ziet het koppel zo verdwijnen.

Bekijk hieronder de getuigenis van Tony en Mireille en lees verder onder de video: 

 

Videospeler inladen...

Belangrijkste tips om je niet te laten phishen: 

1. Geef nooit je persoonlijke codes door: je pincodes, noch je responscodes. Geen enkele bankinstelling zal hier ooit om vragen. 

2. Klik nooit op een ontvangen link, maar typ altijd zelf het adres van de gewenste bankwebsite in je browser of gebruik je eigen app voor mobiele banking. 

3. Wees alert als er een hoge vorm van urgentie geldt. Phishers spelen vaak in op het gevoel dat het snel moet gaan. 

4. Bekijk steeds goed de naam van de website die je bezoekt en de domeinnamen van mailadressen (het deel na het apenstaartje @). Let ook op schrijf- en taalfouten.

Het kan ook anders: Peter verliest 6.800 euro via tweedehands.be

Dat phishers hun slachtoffers niet enkel via valse bankmails oplichten, bewijst het geval van Peter: 24, student én gebruiker van de zoekertjessite tweedehands.be. Hij plaatst er voorbije zomer tickets op voor een attractiepark, omdat hij door de coronacrisis niet meer kan gaan. Een zekere Suzie Vaes reageert via een chatbericht dat ze de tickets wil kopen. 

"Suzie Vaes was een heel gewone naam en ze was ook al vier jaar actief op het platform", zegt Peter. "Ze gebruikte typische afkortingen en er zat ook helemaal geen haast achter de aankoop."

Mijn perceptie was ook altijd: hoe kan je nu zo stom zijn om daarvoor te vallen? Als je een beetje verstand hebt van hoe het internet werkt, dan doe je dat toch niet?

Peter, slachtoffer phishing

Als Peter vraagt hoe Suzie wil betalen, zegt ze dat ze zelf al opgelicht is en vraagt ze het mailadres van Peter om een bankverificatie te doen.  Peter gaat daarop in en het is via die mail dat phisher Suzie Vaes een valse link aan Peter bezorgt, waarop hij zijn bankkaartgegevens invult. Daardoor kan de phisher 6.800 euro van Peter stelen. 

Pas de ochtend nadien heeft Peter door wat er gebeurd is. "Op dat moment was ik echt nergens toe in staat. Ik besefte dat ik op één nacht tijd 6.800 euro was verloren, wat overeenkomt met alles wat mijn ouders ooit bij elkaar gespaard hebben om te zorgen dat ik kon studeren of als ik niet ging studeren, een auto te kunnen kopen. En dat was gewoon weg. In één nacht was dat weg."

Bekijk hieronder een fragment uit de getuigenis van Peter en lees verder onder de video: 

Videospeler inladen...

Bij Peter overheerst vooral de schaamte. "Hoe moet ik dit aan anderen vertellen? Mijn perceptie was ook altijd: hoe kan je nu zo stom zijn om daarvoor te vallen? Als je een beetje verstand hebt van hoe het internet werkt, dan doe je dat toch niet? En toch ben ik er zelf in getrapt."

Belangrijkste tips om je niet te laten oplichten op tweedehands.be:

1. Als iets te mooi is om waar te zijn, dan is het ook precies dat. Wees alert en meld verdacht gedrag. 

2. Verlaat nooit het platform om via een ander kanaal de communicatie voort te zetten of een betaling af te ronden. 

Hoe gaan phishers te werk?

Pano is het voorbije jaar zelf in de wereld van online oplichting gedoken. We voeren honderden gesprekken met phishers die elkaar vinden in afgesloten chatgroepen op onder andere de berichtenapp Telegram. 

Al snel valt ons op hoe makkelijk en snel je iemand kan phishen. Het is bijna letterlijk kinderspel. Dat komt omdat phishers werken met zeer gebruiksvriendelijke panelen. Die panelen kan je het best vergelijken met een soort online softwareprogramma, waarmee de phishers geloofwaardige phishingsites en -mails kunnen maken.

Met die programma's kunnen phishers duizenden mensen tegelijkertijd mailen. Die lijsten met namen, mailadressen en soms ook kredietkaartgegevens circuleren op online marktplaatsen en in gesloten chatgroepen. En de kans dat jouw adres daartussen zit, is bijzonder groot. Oplichters hacken websites waarop we ons aanmelden en komen zo aan onze data. Zo circuleren er lijsten van 10.000 mailadressen voor amper 100 euro.

Bekijk het verslag uit "Het Journaal" hier en lees voort onder de video:

Videospeler inladen...

Er circuleren lijsten met daarop onze namen, mailadressen en soms ook kredietkaartgegevens. Voor amper 100 euro kan je een lijst kopen van 10.000 mailadressen

Maar die softwareprogramma's ontwikkelen de phishers niet zelf.  Zij kopen de panelen - tegen zeer goedkope prijzen - aan op online marktplaatsen of downloaden het zelfs gratis van het internet. Binnen hackerscollectieven zijn het vaak IT-experten die bovenaan de piramide staanOnderaan staan de money mules of geldezels. Op hun rekeningen komt het geld van de slachtoffers terecht dat de phishers stelen.

Een afleidingsmanoeuvre voor justitie, want zo blijven niet enkel de kopmannen vaak buiten beeld bij de speurders, maar zijn ook de phishers amper te traceren.  

Krijg ik mijn geld terug?

Voor slachtoffers blijft intussen de belangrijkste vraag: krijgen we ons geld terug? Snelheid is daarbij cruciaal. Want wie het geld bij de bank nog kan laten blokkeren voor het definitief verdwijnt, die krijgt het bedrag terug op zijn rekening. "Je moet niet kijken naar de bank vanwaar het geld vertrekt, want dan ben je te laat. Eenmaal dat daar de opdracht is gegeven, is dat vertrokken", benadrukt Van de Heyning. "Je moet het geld laten blokkeren bij de bank waar het geld aankomt." 

Maar wat als je te laat bent en het geld al verdwenen is? In die gevallen vragen veel slachtoffers een schadevergoeding van hun bank. De discussie die dan vaak gevoerd wordt, is er een rond grove nalatigheid. Zijn klanten té onvoorzichtig geweest toen de phishers hen om de tuin hebben geleid en hoeft de bank hen dus niet terug te betalen?

"Men gaat kijken naar welke fraudetechniek gehanteerd is en of er voldoende voorzichtigheid aan de dag gelegd is door de klant. Op basis daarvan oordelen de banken of je als klant aansprakelijk kan worden gesteld of niet", zegt Isabelle Marchand van Febelfin. Maar juist over die aansprakelijkheid bestaan talloze discussies ... 

Herbekijk hier de volledige reportage van "Pano":

Videospeler inladen...

Meest gelezen