Fraude op grote schaal: spoofing en identiteitsfraude
Heeft u ooit een telefoontje van ‘de bank’ gehad met de vraag zo snel mogelijk geld over te maken? Een betrouwbare beller, zo lijkt het op het eerste gezicht? U bent niet de enige.“Fraude komt inmiddels op grote schaal voor, in ontelbaar veel vormen. Complete kantoren in Azië zijn ingericht op deze vorm(en) van cybercriminialiteit”, aldus Ruben Gomes Faria, consultant bij International Security Partners.
Fraude plegen is tegenwoordig makkelijker dan ooit. Zo is er onder meer een website waarmee je een ‘nep’ telefoonnummer aan kunt maken om je voor te doen als een persoon of organisatie. En kun je via platformen als Genesis, Marktplaats en Telegram tegen betaling aan persoonsgegevens komen. Om nog maar te zwijgen over het Darkweb. Niet alleen is het steeds makkelijker, ook een stuk geraffineerder. Misschien herinnert u zich nog het incident uit 2018 waarbij honderden mensen de dupe werden van een nagemaakte ING-betaalapp. “Tegenwoordig zijn ook allang niet meer ouderen of mensen met minder digitale affiniteit de klos. Van jong tot oud, iedereen is kwetsbaar.” In deze blog lichten we twee vormen van fraude uit: identiteitsfraude en ‘spoofing’.
Spoofing
We spreken van spoofing als er een trucje wordt gebruikt om een andere identiteit aan te nemen. Sommige soorten spoofing richten zich op individuele gebruikers, andere op hele bedrijfsnetwerken. Bij spoofingaanvallen wordt vaak geprobeerd toegang te krijgen tot persoonlijke gegevens of er wordt een poging gedaan beveiligingsmaatregelen te omzeilen. Er bestaan meerdere varianten van spoofing:
- E-mailspoofing: een mail wordt verstuurd vanuit een e-mailadres dat niet van de afzender is. Als een e-mailadres niet beveiligd is door een Sender Policy Framework, bent u makkelijk slachtoffer. De mail kan vanuit uw eigen mail verstuurd worden, maar ook vanuit die van een bank of provider;
- Websitespoofing: komt vaak voor in combinatie met een valse mail. Wanneer u op een link van de valse mail klikt, komt u terecht op een nepwebsite die precies op de officiële website lijkt. Ook het webadres is anders, door de aanpassing van een paar letters en de landcode die niet op ‘.nl’ eindigt. Over het invullen van gegevens wordt daarom vaak niet twee keer nagedacht;
- Telefoonnummerspoofing: oplichters nemen een ander telefoonnummer aan. Zo bellen ze bijvoorbeeld met een Nederlands nummer, terwijl ze niet in Nederland zijn. Oplichters doen zich bijvoorbeeld voor als een erkend nummer van bijvoorbeeld de bank of overheid;
- IP-adresspoofing: oplichters nemen een IP-adres over. Deze truc is alleen in uitzonderlijke situaties toe te passen en komt weinig voor.
Met spoofing wordt vaak gebruikgemaakt van apps als AnyDesk en Wise. Met die eerste geeft u de besturing van uw telefoon over aan iemand anders. Zo wordt Wise vervolgens geïnstalleerd, waarmee geld internationaal en zonder barrière van banken wordt overgemaakt. “Daarna is het onmogelijk je geld terug te vorderen”, aldus Gomes Faria.
Identiteitsfraude
Identiteitsfraude kan op twee manieren voorkomen. Doordat een oplichter zich voordoet als een ander persoon of als een oplichter zich voordoet als een bedrijf, instelling of organisatie. Gevolgen zijn uitkeringsfraude, oplichting en verduistering. Het lenen, uitlenen of vervalsen van documenten heeft logischerwijs grote gevolgen.
Met identiteitsfraude maakt een oplichter illegaal gebruik van uw persoonsgegevens. Dit kan ook digitaal, bijvoorbeeld door uw pincode of inloggegevens te gebruiken. De fraudeur kan uw persoonsgegevens gebruiken om producten en diensten te krijgen op uw naam en een bankrekening openen of een creditcard aanvragen. U komt er meestal pas achter dat u het slachtoffer bent van identiteitsfraude, als u rekeningen of boetes krijgt waarvan u niets afweet. Gomes Faria: “En dan is het vaak al veel te laat.”
Moeilijk op te lossen
Wanneer u eenmaal slachtoffer bent van spoofing of identiteitsfraude zult u in de meeste gevallen merken dat er vrij weinig voor u gedaan kan worden. Oplichters gaan zo geraffineerd te werk, dat het vaak onmogelijk is te achterhalen wie of wat u te pakken heeft gehad. Om de misdaad nog complexer te maken, wordt gebruikgemaakt van ‘geldezels’. Gomes Faria: “Dit zijn vaak jongeren of zwervers die een deel van de buit op hun rekening toelaten in ruil voor een percentage als beloning.” Niet alleen de complexiteit van fraude maakt het de politie lastig, ook de frequentie. Elk jaar worden er vele miljoenen euro’s buitgemaakt, en nooit meer teruggevonden.
Hoe u fraude voorkomt en hoe ISP helpt
Persoonlijk kunt u fraude op verschillende manieren voorkomen. Stel bijvoorbeeld een tweestapsverificatie (2FA) in en deel niet zomaar gevoelige gegevens wanneer u het niet vertrouwt en wanneer u het idee heeft dat er druk wordt uitgeoefend. “Een echte bank geeft je bijvoorbeeld genoeg tijd om iets te overdenken.” Maar het kan ook anders. “Speel een leek. Vraag of ze bepaalde data kunnen bevestigen. Op die manier weet je welke gegevens ‘te koop’ staan. Vervolgens hang je op.” Daarna kunt u in het geval van een bank bellen ter verificatie of gelijk naar de politie stappen om een melding te maken.
Als het om fraude en andere vormen van cybercriminaliteit gaat, valt of staat alles met awareness. Tijdens een cyber awareness training geven we uw werknemers zoveel mogelijk inzicht in de potentiële gevaren van en maatregelen tegen cybercriminaliteit. Daarnaast kunnen we u met een audit informatiebeveiliging helpen gevoelige bedrijfsinformatie in kaart te brengen en maken we een plan voor wanneer het misgaat.