Voorkom WhatsApp-oplichting en controleer verdachte links via Appjelinkje: veilig of niet?

Oplichting via WhatsApp is een groot probleem. Veel mensen krijgen ermee te maken en de schadebedragen worden ieder jaar groter. Om consumenten beter te beschermen tegen zaken als WhatsAppfraude, oplichting met valse betaalverzoeken, Tikkiefraude en verwijzingen naar nagemaakte (bank)websites is er de nieuwe dienst Appjelinkje. Je stuurt een verdachte link via WhatsApp naar het nummer van Appjelinkje en binnen enkele seconden krijg je te zien of de link verdacht is. Klinkt goed! Maar is het ook 100% veilig?

Appjelinkje is een initiatief van Checkjelinkje.nl. Dat is een website waarop je kunt controleren of een bepaalde link veilig is. Via de website was het al mogelijk om informatie over potentieel verdachte links te raadplegen, sinds deze week kan dat dus ook via WhatsApp.

Iedereen kan te maken krijgen met WhatsAppfraude, met Marktplaatsoplichters die valse betaalverzoeken of nep-Tikkies versturen, of kan valse sms’jes en mails ontvangen namens verschillende overheidsinstellingen en bedrijven.

Oplichters zijn in alle gevallen uit op jouw geld en verwijzen je naar valse betaallinks of phishingsites in de hoop dat je geld overmaakt of inloggegevens voor internetbankieren afstaat.

Vaak gaat dat via WhatsApp: je krijgt bijvoorbeeld een urgent betaalverzoek van een 'familielid' of een 'bekende', of je moet zogenaamd één cent overmaken om jouw identiteit te verifiëren aan Tikkie of Marktplaats, anders komt er van zaken doen niets terecht.

Voor velen een bekend fenomeen, en om die reden kan het wat extra zekerheid bieden als je vóór het klikken wat informatie over dat soort links kunt opvragen. Wordt een bepaalde website bijvoorbeeld in verband gebracht met phishing? En op welke naam staat het rekeningnummer dat gekoppeld is aan het ontvangen betaalverzoek eigenlijk?

Op dat soort vragen probeert Checkjelinkje – en sinds deze week ook Appjelinkje – antwoord te geven. Maar hoe werkt dat in de praktijk?

Op Checkjelinkje.nl heb je de mogelijkheid om linkjes en betaalverzoeken te controleren op betrouwbaarheid. Dat kan nu dus ook via WhatsApp: je kunt linkjes naar het telefoonnummer 088-7546800 sturen en binnen enkele seconden krijg je – indien bekend – aanvullende informatie over de link retour.

In het geval van linkjes naar verdachte websites krijg je bovendien een waarschuwing als een bepaalde link in verband wordt gebracht met phishing. In deze gevallen krijg je het bericht 'Pas op! De link bevat hoogstwaarschijnlijk phishing. We raden je aan de link niet te bezoeken' retour.

Is een website niet direct verdacht? Dan krijg je deze melding niet te zien, maar stuurt Appjelinkje je door naar een pagina waarop staat waar de link in werkelijkheid waarschijnlijk naar verwijst en dat Google de link veilig acht.

In het geval van betaalverzoeken werkt het net iets anders. Verwijst een link naar een legitiem betaalverzoek, en niet naar een nepsite? Dan krijg je het bericht dat de link inderdaad naar een betaalverzoek verwijst, en krijg je bovendien de naam van de rekeninghouder te zien.

Interessante en nuttige informatie, maar hoe moet je dat interpreteren? En is deze informatie eigenlijk ook per definitie betrouwbaar?

Vooropgesteld: de dienst biedt geen garantie dat links die niet als potentieel verdacht worden bestempeld daarmee ook per definitie veilig zijn. Dat kan ook helemaal niet, want dat zou betekenen dat de database met informatie over verdachte links permanent 100% volledig én up-to-date moet zijn. In werkelijkheid gaat dat echter helemaal niet op die manier.

Valse websites worden eerst gebouwd, dan online gezet en de link ernaar wordt vervolgens verspreid, en meestal is het zo dat dergelijke links pas als verdacht worden gemarkeerd als meerdere gebruikers ze na het bezoeken rapporteren als een gevaarlijke website.

Er zit dus altijd wat tijd tussen het verspreiden van valse websites en het moment waarop deze websites wordt opgemerkt, dus in dat opzicht kun je het beschouwen als een soort kat-en-muisspel. En sommige sites worden heel lang niet gemeld of überhaupt nooit opgemerkt, en staan tot die tijd ten onrechte als 'veilig' bekend, ook al gaat het in werkelijkheid wel degelijk om phishing.

Volledige zekerheid belooft Checkjelinkje dan ook niet, het is eerder een hulpmiddel. Ze stellen zelf 'dat het kan gebeuren dat ze er een keertje naast zitten, waardoor een website ten onrechte toch veilig lijkt'. En dat heeft gevolgen voor de manier waarop je de beschikbaar gestelde informatie moet interpreteren.

Het kan dus een handig hulpmiddel zijn, je moet wél rekening houden met een aantal zaken. We nemen de proef eens op de som en komen al snel tot een aantal bevindingen. 

Het lijkt erop dat Appjelinkje in sommige gevallen wat moeite heeft met zogenaamde url shorteners. Dat zijn hulpmiddelen waarmee je (lange) links naar websites kunt verkorten, zodat je de korte link in berichten kunt verspreiden.

Hoe werkt dat in de praktijk? Stel, de échte link naar een valse website is maakjesaldonaarmeover.nl. Door deze link door een url shortener te halen, zorg je dat je deze website óók kunt benaderen via een link als bit.do/SALDO. Deze ingekorte link gebruiken oplichters vaak om via sms of WhatsApp te verspreiden.

We hebben geprobeerd om bij Appjelinkje informatie op te vragen met de volledige link naar een échte phishingsite en een verkorte url die naar exact dezelfde site verwijst. Waar eerstgenoemde link door Appjelinkje wél als potentieel gevaarlijk wordt bestempeld, krijgen we bij de verkorte variant toch echt een groen duimpje.

Uiteraard hebben we het met verschillende links geprobeerd. In andere gevallen leverden zowel de volledige link als de verkorte link een waarschuwing op, het is meer om te illustreren dat de getoonde informatie niet per definitie 100% waarheidsgetrouw is.

Het is dan ook aan te raden om niet blind op deze informatie te vertrouwen en om in geval van twijfel nooit zomaar ergens informatie in te vullen als iemand jou een link toestuurt, ook al denk je dat de bewuste link 'veilig' is. Er is niet één hulpmiddel dat 100% garantie op het vlak van veiligheid kan bieden.

Een ander potentieel risico schuilt in het controleren van de betaalverzoeken. Appjelinkje controleert slechts of een link naar een betaalverzoek ook een betrouwbaar betaalverzoek is, maar alléén in de zin van 'is dit een legitieme link, en geen phishingsite?'

Is de link legitiem? Dan krijg je ook de naam van de rekeninghouder te zien. Dat is handig in het geval van WhatsAppfraude, want dan zie je snel genoeg dat iemand anders dan jouw familielid of bekende de rekeninghouder is, Appjelinkje controleert echter niet of degene achter dat betaalverzoek ook echt degene is met wie jij denkt te communiceren, dus voor andere vormen van oplichting is dit toch iets om rekening mee te houden.

Zo maken Marktplaatsoplichters bijvoorbeeld vaak gebruik van katvangers of geldezels: mensen – vaak jongeren met een licht verstandelijke beperking of mensen met schulden of verslavingsproblematiek – die tegen betaling of onder dwang hun bankrekening ter beschikking moeten stellen om crimineel verkregen geld mee weg te sluizen.

Oplichters willen liever geen zakendoen onder hun eigen naam, en het is ook wel zo handig als er geen sprake is van herleidbare geldsporen in de vorm van bankoverschriften. Daarom wordt andermans rekening voor dit doeleinde gebruikt: de oplichter blijft op die manier zelf buiten schot, maar degene die de rekening beschikbaar stelt, wordt altijd gepakt.

Als jij een legitiem betaalverzoek checkt met behulp van deze tool, krijg je alleen te zien of het rekeningnummer inderdaad van de persoon is met wie jij zaken denkt te doen. Maar of diegene zich niet als iemand anders voordoet, weet je niet: als de oplichter zich op Marktplaats voordoet als degene wiens rekening wordt misbruikt, schiet je er in feite niets mee op.

Ook al zegt Appjelinkje dat de informatie klopt, de identiteit van een potentiële handelspartner moet je ook op andere manieren weten te bevestigen.

Het is tot slot goed om te benoemen dat initiatiefnemer Checkjelinkje geen overheidsinstantie is. Deze dienst wordt weliswaar aanbevolen door het ministerie van Justitie en Veiligheid, de Consumentenbond en door Veilig Internetten, het is een zelfstandig bedrijf. Mede daarom is het goed om de algemene voorwaarden en de privacyverklaring goed door te lezen, voordat je besluit of je van deze dienst gebruik gaat maken.

Verder geldt zoals altijd dat je met wat gezond verstand een heel eind kunt komen. Je kunt via deze dienst de nodige bruikbare informatie opvragen en daarmee is het een handig hulpmiddel, maar het is niet altijd even slim om blindelings op het oordeel van Checkjelinkje te vertrouwen: van 100% zekerheid is immers geen sprake.