MijnOverheid-oplichtingstruc leidt tot identiteitsfraude of spoofing

Er zijn nepmails namens DigiD en MijnOverheid in omloop. In deze mails wordt gehengeld naar persoonsgegevens zoals je bankrekeningnummer, telefoonnummer en adresgegevens. Mogelijk wordt met deze gegevens identiteitsfraude gepleegd, of is het een opzet voor een telefonische oplichtingstruc.

Het begint dit keer met een mail waarin staat dat je vanwege het coronavirus in aanmerking komt voor circa 300 euro compensatie.

Meestal laat het verdere verloop van deze oplichtingstruc zich eenvoudig voorspellen: in de mail staat een link, en als je deze aanklikt, beland je op een nagemaakte pagina in de DigiD-huisstijl waar je zogenaamd even kunt 'inloggen' via internetbankieren om de aanvraag te bevestigen. Vervolgens trekken oplichters je bankrekening leeg.

Hieronder een voorbeeld van deze valse mail. Het artikel gaat verder na onderstaande afbeelding.

In dit geval is de opzet van de oplichtingstruc anders dan gebruikelijk, en daarom is het de moeite van een losse waarschuwing waard. Dit keer hengelen de oplichters namelijk naar allerlei persoonsgegevens.

De knop in de mail leidt naar de domeinen digid-form-site.xyz en sinds 12 april 2022 ook via digid-form-page.xyz, en dat zijn geen officiële websites van DigiD, MijnOverheid of wat voor overheidsinstantie dan ook. Je belandt op een website met het logo van de Rijksoverheid, het logo van DigiD en de mededeling dat je via het formulier een teruggave van MijnOverheid kunt aanvragen.

Daar moet je alleen even de volgende gegevens voor invullen:

- Je voor- en achternaam
- Je postcode en huisnummer
- Je mobiele telefoonnummer
- Je privé-telefoonnummer
- Het telefoonnummer waar je overdag op te bereiken bent
- Je geboortedatum
- Je bankrekeningnummer
- Je e-mailadres (optioneel)
- Je bedrijfsnaam (optioneel)

Zoals je ziet is het nogal wat. Wij dachten "Laten we het formulier eens invullen met wat verzonnen gegevens om te kijken wat er dan gebeurt". Dat is het volgende:

Het artikel gaat verder na onderstaande afbeelding

De aanvraag is zo te zien succesvol ingediend, en per post of e-mail krijg je daarvan bovendien een bevestiging. Dit gebeurt echter niet, maar jouw persoonsgegevens zijn ondertussen wel in handen van oplichters gekomen. En daardoor loop je risico.

Eén mogelijkheid is dat je kort na het indienen van jouw aanvraag telefonisch wordt benaderd door iemand die zich voordoet als medewerker van de DigiD-helpdesk.

Er volgt in dit scenario een verhaal over het niet kunnen verwerken van jouw aanvraag: bepaalde informatie is onvolledig of onjuist, en daarom krijg jij het verzoek om het één en ander te bevestigen.

Omdat jij in een eerder stadium jouw persoonsgegevens hebt verstrekt, kan de zogenaamde helpdeskmedewerker moeiteloos de juiste informatie oplezen, en de gedachte is dat je daardoor geneigd bent om te denken dat je écht met de klantenservice van DigiD spreekt.

Het ligt voor de hand om te denken dat deze nep-medewerker jou er vervolgens telefonisch toe probeert aan te sporen om TeamViewer-achtige software te installeren. Dat is zogenaamd nodig om je bankrekening te kunnen verifiëren en zo de teruggave te kunnen verwerken.

In werkelijkheid hopen oplichters op deze manier jouw computer over te kunnen nemen tijdens het internetbankieren. Vervolgens sluizen ze grote geldsommen weg nadat jij voor de 'behulpzame' medewerker hebt ingelogd.

Een alternatief scenario is dat jouw gegevens worden misbruikt voor het plegen van identiteitsfraude. Daarmee loop je bijvoorbeeld het risico dat er op jouw naam bestellingen worden gepleegd of abonnementen worden afgesloten.

Dat zou gaan om bestellingen waarvoor het geld pas na levering wordt afgeschreven van jouw bankrekening. En tegen de tijd dat je in de gaten hebt wat er aan de hand is, zijn de oplichters al lang en breed gevlogen. 

In beide gevallen is het overigens speculeren, want honderd procent zeker weten we het niet. Dit zijn echter voor de hand liggende scenario's. Belangrijkste uitgangspunt is dat er geen enkele reden is om oplichters te voorzien van zo'n hoeveelheid gedetailleerde persoonsgegevens, want de kans op misbruik is zeer reëel.