Het consumentenplatform van BNNVARA. Kassa is er weer op zaterdag 4 januari met de Belbusspecial!
Vooral ING-klanten slachtoffer spoofing fraude
10-10-2020
•
leestijd 6 minuten
•
8309 keer bekeken
•
Een maand geleden besteedden we in Kassa aandacht aan spoofing. De afgelopen maanden konden criminelen met gebruik van ‘spoofing’ miljoenen euro’s buitmaken door klanten van verschillende banken ervan te overtuigen dat zij met een medewerker van de bank spraken en hen te overtuigen van de noodzaak om hun geld tijdelijk naar een ‘veilige’ rekening over te maken. Nu blijkt, uit cijfers van GIBO, platform voor spoofing gedupeerden, dat voornamelijk klanten van ING het slachtoffer zijn van spoofing. Zo is 76% van de aangemelde slachtoffers klant bij ING.
ING valt op
Bij het gedupeerden platform kwamen de afgelopen tijd 314 meldingen binnen. Het totaalaantal meldingen van klanten van de drie grote banken ABN Amro, Rabobank en ING staat momenteel op 273. Nu blijkt dat 76% van die slachtoffers klant is van ING. Dat is twee keer meer dan je op basis van het aandeel particuliere klanten zou verwachten. Als je het aandeel particuliere klanten van de drie banken vergelijkt, hebben namelijk zowel de Rabobank als de ING 38% van de markt en ABN 24%. Maar het aantal gemelde slachtoffers dat klant is bij Rabobank is maar 4%. Het percentage ABN-klanten is 11%. Volgens ING geven de cijfers geen totaalbeeld en kunnen er volgens de bank geen conclusies aan worden verbonden. De bank komt echter niet naar voren met andere cijfers.
Schade blijft oplopen
De totale schade voor ING-klanten bij het gedupeerden platform bedraagt inmiddels ruim 3,6 miljoen euro. ING weigert tot op heden om klanten in die schade tegemoet te komen of te vergoeden. Ook zegt ING dat in circa 40% van de gevallen phishing (per SMS of email) aan het gespoofde telefoongesprek voorafgaat, waarbij de crimineel met inlog gegevens die het slachtoffer doorgeeft op een nep-bank site kan inloggen op de echte site van de bank om in de rekening van het slachtoffer te kijken. Zo kan de crimineel goed geïnformeerd gaan bellen. Een woordvoerder van ING laat weten: “Vervolgens neemt de fraudeur contact op met de klant, doet zich voor als bankmedewerker, verifieert de gegeven informatie en komt daarmee zo geloofwaardig over dat de klant uit eigen beweging geld overmaakt en daarmee een transactie autoriseert. De fraudeur, die ook is ingelogd, kan de transactie wel zien, maar heeft niet de middelen om zelf de transactie goed te keuren”.
Phishing vóór spoofing
In de reportage van Kassa zien we Ilse, die begin september ook slachtoffer werd van spoofing oplichting in combinatie met phishing. Ze ontving een smsje uit naam van ING met het bericht dat haar bankrekening geblokkeerd zou worden, ze moest via een link inloggen bij de bank. Dit bleek achteraf een phishing site te zijn, een namaak pagina van de banksite. Niet veel later werd Ilse gebeld met spoofing, door iemand die zich voordeed als een medewerker van de ING en haar vroeg of ze wellicht op een smsje geklikt had. De beller gaf aan dat er hierdoor een aanval op haar rekening plaatsvond, en ze haar spaargeld van totaal 16.000 euro naar een tijdelijke veilige rekening moest overmaken. Omdat de beller zoveel van Ilse wist en met het telefoonnummer van de bank belde, ging Ilse er van uit dat ze echt met iemand van de ING sprak.
Makkelijker voor de boef?
Wesley Neelen en Rik van Duijn zijn ethisch hackers, we gingen bij ze langs op zolder om te zien hoe phishing via sms, zoals dat bij Ilse gebeurde, precies in zijn werk gaat. De crimineel kan met de inlog gegevens van het slachtoffer tegelijkertijd op de echte banksite inloggen. Vervolgens moet het slachtoffer altijd een tweede authenticatie doen om echt in zijn rekening te komen, bijvoorbeeld mobiel bevestigen. De crimineel kan het slachtoffer dan ter plekke op de namaaksite de opdracht geven om mobiel te bevestigen. Het slachtoffer doet dit, en tegelijkertijd zit de crimineel dan op de echte banksite in de rekening van het slachtoffer… We vergeleken de stappen die criminelen met phishing moeten doorlopen om tot rekening-inzage van hun slachtoffer te komen (en het slachtoffer vervolgens goed geïnformeerd te kunnen bellen met spoofing). De stappen die de crimineel moet doorlopen om via Internetbankieren op de rekening van het slachtoffer te kunnen kijken verschillen per bank. Bij de standaard inlogmethode van Mijn ING hoeft de crimineel het minst te doen. Je zou kunnen zeggen dat het dus voor de crimineel eenvoudiger is om kostbare rekeninginformatie te verkrijgen om te kunnen misbruiken in het telefoongesprek met een slachtoffer.
In andere gevallen moet ook een kleurcode of een QR-code gescand worden, wat het voor de crimineel lastiger maakt. Deze code zou hij dan van de echte site ‘live’ moeten kopieren naar de nepsite, waar het slachtoffer (die denkt bezig te zijn met inloggen in zijn of haar eigen bankrekening) de code moet scannen. Het kan een van de redenen zijn waarom van het aantal bij ons bekende slachtoffers van spoofing, het grootste deel klant is van ING. Ook zijn er gedupeerden die voor zover zij weten niet op een phishing link hebben geklikt, maar waarbij de oplichter tijdens het spoofing gesprek wel allerlei rekening informatie van de klant wist te noemen om het vertrouwen te winnen. Dit roept de vraag op of misschien (ex)medewerkers bij de banken informatie van klanten misbruiken of doorspelen aan criminelen. Betaalvereniging Nederland zegt hierover: “Geen enkele organisatie kan dat uitsluiten, ook een bank niet. Het wordt door de Nederlandse banken wel grondig en zorgvuldig onderzocht, bij alle vormen van fraude waar banken een rol bij kunnen spelen. Er zijn tot nu toe echter geen aanwijzingen gevonden dat spoofing met hulp ven (ex-)medewerkers van de betrokken banken heeft plaatsgevonden.” De volledige reactie van de Betaalvereniging lees je hier.
Ook lieten Wesley en Rik zien wat wellicht de volgende vorm van fraude gaat worden; Spoofing sms. Een crimineel kan met spoofing techniek ook sms’en uit naam van een bestaande instantie, en het slachtoffer via zo’n bericht naar een phishing banksite leiden. Ze laten in de video zien hoe dat gaat:
tekst loopt door onder video
Schade vaak enorm
De schade bij spoofing is vaak enorm omdat slachtoffers in veel gevallen in een keer al het geld dat zij op de (spaar)rekening hebben staan overmaken, naar (wat later blijkt) de rekening van een crimineel of geldezel. De totale schade van de gemelde ABN-slachtoffers staat op 897.000 euro, gedupeerde klanten van Rabobank zijn goed voor 272.000 euro schade. Van de drie grootbanken heeft alleen Rabobank tot nu toe de schade van gedupeerde klanten vergoed, maar de bank zegt elk schadeverzoek opnieuw te bekijken.
Advocaat: gedupeerde niet vooraf gewaarschuwd
In de studio reageert advocaat Marius Hupkes, die in de rechtbank vaak partijen bijstaat in zaken tegenover de bank. Omdat ING en ABN tot nu toe schade van klanten niet vergoeden kan het zijn dat gedupeerden naar de rechter gaan stappen. Hupkes zegt hierover: “Als ik gedupeerde was dan zou ik wel naar de rechter gaan en aanvoeren dat voor dit type fraude niet vooraf is gewaarschuwd. Dan moet je goed uitleggen waarom dit type fraude anders is. Als je kijkt naar oudere uitspraken van rechters dan moet dat kans maken, omdat deze fraude echt anders in elkaar zit.”
Reacties op bevindingen Kassa
Omdat het grote percentage ING-slachtoffers opvalt hebben we de bank uitgenodigd om in de studio of op camera te reageren. De ING blijft er echter bij dat het een sector breed probleem betreft en verwijst naar de Betaalvereniging Nederland. De antwoorden van ING op onze vragen lees je hier.
Ook hebben we ABN Amro en de Rabobank vragen gesteld, de reactie van Rabobank lees je hier en van ABN hier. NLdigital, de branchevereniging van telecombedrijven, laat weten bezig te zijn met een pilot om het spoofen van (bepaalde) telefoonnummers tegen te kunnen gaan in de toekomst. Hun reactie lees je hier.