MijnOverheid-nepmail met QR-code? Pas op: dat is oplichting!

Namens MijnOverheid en DigiD zijn er valse e-mails in omloop. Dat is op zich geen nieuwe oplichtingstruc, het eigenaardige aan dit voorbeeld is dat er een QR-code in de mail zit in plaats van een 'ouderwetse' link. Oplichters hopen dat je eerder geneigd bent om de QR-code te scannen dan om een link te openen. Toch kun je dat beter laten: als je in deze oplichtingstruc trapt, kun je zo honderden, zo niet duizenden euro's kwijtraken. Hoe werkt het eigenlijk?

Deze valse mail toont in grote letters 'MijnOverheid' als afzender. Verder staat er in de mail dat er een bericht klaarstaat in je Berichtenbox, dit keer van Belastingsamenwerking Gemeenten en Waterschappen. Omdat je mogelijk actie moet ondernemen naar aanleiding van dit bericht, moet je naar MijnOverheid om het bericht te bekijken.

Ook staat in de mail dat de Berichtenbox-app wegens technisch onderhoud niet bereikbaar is. Daarom moet je het dit keer even via je browser doen, en dat kan gelukkig door middel van de 'handige' QR-code in de mail.

De meeste mensen zijn inmiddels vaak genoeg gewaarschuwd: klik nooit zomaar op links in mails als je er niet honderd procent zeker van bent dat de mail van een legitieme, betrouwbare afzender is. En dus ook niet als het mails betreft namens officiële instanties, zoals banken, de Belastingdienst of MijnOverheid.

Maar daar hebben de oplichters iets op gevonden. In plaats van een ouderwetse link staat er een QR-code in de mail. In feite is deze QR-code simpelweg een link, maar dan scanbaar. De afzender hoopt alleen dat je door het zien van een QR-code minder snel op je hoede bent, simpelweg omdat het minder vaak voorkomt.

En scannen we deze QR-code? Dan belanden we op een valse website in de huisstijl van DigiD. Op het moment van publicatie is deze valse website overigens nog actief, daarom hebben we de QR-code in het voorbeeld bovenaan dit artikel geblurd. (Delen van) de url zijn in het voorbeeld hieronder wel te lezen, maar de kans dat je via deze route nietsvermoedend op deze nepsite belandt, is zeer gering.

Het artikel gaat verder na onderstaande afbeelding

Op deze nepsite moet je je contactgegevens zogenaamd actualiseren. Er wordt onder meer gevraagd naar de volgende informatie:

• Je voor- en achternaam
• Je postcode en huisnummer
• Je mobiele nummer
• Je privénummer (wat voor velen hun mobiele nummer is, maar goed...)
• Je vaste telefoonnummer
• Je geboortedatum
• Je bankrekeningnummer

Heb je de gegevens ingevuld én verstuurd? Dan wordt het hoog tijd om de bank te bellen en om goed op je hoede te zijn voor telefoontjes van een 'bankmedewerker'. Wij hebben het formulier ingevuld met wat verzonnen (onzin)gegevens en na het versturen krijgen wij de volgende boodschap op ons scherm:

Uw huidige gegevens worden momenteel bijgewerkt in ons systeem.
Het kan tot wellicht 6 uren duren voordat de ingevoerde wijzigingen worden verwerkt in ons systeem.
Zodra al uw verwerkingen succesvol zijn door gevoerd, ontvangt een bevestiging via de post.
Heeft u uw email adres opgegeven? Dan ontvangt u de bevestiging in enkele ogenblikken!

Hier zien we een paar eigenaardigheden. Allereerst is het taalgebruik niet zo professioneel, en dat zien we aan zaken zoals de soms wat onlogische zinsbouw, de structuur van de tekst, ontbrekende woorden ('ontvangt een bevestiging') en spelfouten ('door gevoerd', 'email adres').

Ook spreken ze over een e-mailadres, maar het formulier dat we hebben ingevuld, bevat überhaupt geen mogelijkheid om een e-mailadres op te geven. Kortom, signalen op basis waarvan je kunt vermoeden dat het één en ander vermoedelijk niet helemaal zuivere koffie is.

Maar hoe nu verder? De afzender van de valse mail beschikt nu wel over je telefoonnummer(s), en dat houdt in dat je een belletje van een zogenaamde 'bankmedewerker' kunt verwachten. Deze bankmedewerker zal vermoedelijk een verhaal afsteken over dat jouw banksaldo groot gevaar loopt en dat hackers bezig zijn met een aanval om zich toegang tot jouw bankrekening te kunnen verschaffen.

Ter bevestiging noemt deze 'bankmedewerker' vervolgens informatie zoals jouw telefoonnummer, geboortedatum en bankrekeningnummer. Deze informatie klopt, want deze gegevens heb je eerder immers zélf doorgestuurd. Maar juist omdat de informatie klopt, hoopt de oplichter dat jij erop vertrouwt dat je écht met de bank spreekt.

Degene aan de telefoon zal proberen om je ertoe te bewegen je banksaldo 'tijdelijk' te parkeren op een (overigens niet-bestaande) kluisrekening, die in werkelijkheid van de oplichter of van een geldezel is. Een alternatief is dat de oplichter probeert om je TeamViewer-achtige software te laten installeren op jouw computer: de 'behulpzame medewerker' kan zo even meekijken, maar probeert op die manier toegang te krijgen tot jouw computer om geld weg te sluizen.

In beide gevallen is het echter slecht nieuws. Mails van MijnOverheid bevatten nooit links naar websites waar je even in moet loggen, en de bank belt je nooit met de mededeling dat je je geld omwille van de veiligheid op een kluisrekening moet storten: deze zogenaamde 'kluisrekeningen' bestaan namelijk niet.

Mailtje gehad? Dan kun je 'm het beste gewoon verwijderen.