Op 3 december 2021 kreeg ondernemer Robbert Webster een telefoontje van iemand van de bank. Het telefoonnummer klopt, dat was echt van de bank. Toch was hij meteen op zijn hoede. Al die berichten over phishing en bankfraude. Voor het vervalsen van een telefoonnummer draaiden oplichters vast ook hun hand niet om. Daar trapte hij mooi niet in!
‘Bent u meneer Webster?’, klonk het ondertussen met een rustige stem aan de andere kant van de lijn. Ja, dat klopt, antwoordde Webster aarzelend. ‘Er zijn verdachte activiteiten gevonden op uw rekeningnummer’, aldus de bankmedewerkster. Ze somde de cijfers van zijn bankrekening op: ‘Zodat u zeker weet dat wij van uw bank zijn. En mag ik misschien nog uw geboortedatum ter verificatie?’ Nog voordat hij de woorden ‘5 juli’ had uitgesproken, werden zijn woorden aan de andere kant al aangevuld met ‘1980, inderdaad'.
Het had alles weg van een doodnormaal gesprek met zijn bank, alle gegevens keurig op een rijtje, een welbespraakte bankmedewerkster die het beste met hem voor leek te hebben. Maar toen zei de bankmedewerkster iets geks, namelijk dat hij zijn saldo moest overmaken naar een speciale rekening waar criminelen geen toegang tot hebben: een kluisrekening. Ineens weer twijfel, dit kon toch niet waar zijn? Een snelle search op Google leerde Webster dat het rekeningnummer bijna hetzelfde was als van zijn bank. De bankmedewerkster zei bovendien dat hij het zelf moest weten, hij kon zijn geld ook laten staan. ‘Maar als u wilt dat criminelen geen toegang kunnen krijgen tot uw spaargeld, dan raad ik u aan om uw geld per direct over te maken.’ Webster raakte nu toch een beetje in paniek. Zijn vermogen was in gevaar, dat was duidelijk. Hij moest handelen en wel meteen.
De bank vraagt nóóit aan de telefoon of in een tekstbericht om geld over te boeken naar andere rekeningen, ook niet in noodgevallen.
Webster pakte zijn Rabo Scanner erbij en maakte een stel cybercriminelen blij met 40.000 euro. Want nee, het was niet zijn bank die hem belde. Onthouden: de bank vraagt nóóit aan de telefoon of in een tekstbericht om geld over te boeken naar andere rekeningen, ook niet in noodgevallen. De bank stuurt ook geen medewerker thuis langs om je bankpas, inlogapparaat of pincodes op te halen. En je bank vraagt ook niet om toegang tot je computer of smartphone om software of apps op je laptop, tablet of mobieltje te installeren.
Is er echt iets aan de hand, dan kan de bank op afstand al je bankrekeningen, saldo’s, bankpassen en inlogapparaten blokkeren. Daar hoef jij niks voor te doen en geen toestemming voor te geven. Ergo: Webster werd keihard genaaid door een stel oplichters, in de vorm van telefoonspoofing, zoals bankfraude ook wel wordt genoemd.
Je hele banksaldo
We hebben ondertussen allemaal weleens een fraudegevalletje in onze WhatsApp gehad. Je weet wel, zo'n appie van je zogenaamde broer/zoon/vriend die een nieuw mobiel nummer heeft ('Telefoon in het toilet gevallen!' en na een korte conversatie over ditjes en datjes ('Gaat het goed met je, pap?) snel geld van je wil lenen.
Maar computerkrakers bedenken steeds nieuwe manieren om geld van ons af te troggelen. Een goed voorbeeld daarvan is spoofing, de malafide techniek waar Robbert Webster aan ten prooi viel. Vaak zijn bepaalde gegevens van slachtoffers bij spoofing al eerder buitgemaakt bij een datalek. Hier kunnen de oplichters zoveel persoonlijke informatie uit halen dat het appeltje-eitje wordt om als ‘bankmedewerker’ vertrouwen te winnen. Voor de oplichter een goede zaak, want hij wil niet één lullig bedragje, hij is uit op je hele banksaldo.
‘Er is sinds de pandemie een enorme golf aan cybercriminaliteit gaande, wat mede te maken heeft met het vele thuiswerken en vaker online zijn’, zegt Anthony van der Meer, die tijdens zijn bachelor audiovisueel ontwerper aan de Willem de Kooning Academie de minor hacking volgde, waarin hij werd getraind om te denken als een hacker. Hij studeerde af met de docu Find my Phone waarin hij de dief van zijn gestolen telefoon volgde en bracht vorig jaar voor Powned Bait uit, een vierdelige serie waarvoor Van der Meer een netwerk van internationale internetoplichters in de val lokte door hun eigen methodes tegen ze te gebruiken. Wat hem opviel: het romantische beeld van de hacker die in z’n eentje op een zolderkamer te werk gaat, is compleet achterhaald. ‘Er is een hele industrie omheen ontstaan, waarin iedereen zijn eigen expertise heeft’, aldus Van der Meer.
Stel: je bent goed in mensen bellen en manipuleren, dan kan dat een deel van je werk als cybercrimineel zijn. Kun je aan leadlijsten komen, ofwel lijsten met gestolen gegevens, dan draag je daarmee je steentje bij. Of wellicht ben jij een uitstekende ronselaar van mensen die hun rekening ter beschikking willen stellen, zodat de transacties niet herleidbaar zijn. Van der Meer: ‘Het is een complex netwerk met allemaal losse elementen die samenwerken. De contacten worden allemaal gelegd op Telegram, daar zijn heel veel groepen van cybercriminelen. Het is het verzamelpunt waar iedereen samenkomt en aan de slag wordt gezet. Iedereen die iets kan doen, is in principe inzetbaar. Doordat er zoveel verschillende schakels zijn over wie je feitelijk vrij weinig informatie hebt, zijn ze moeilijk te pakken en kunnen ze rustig hun gang gaan.’
Beveilig jezelf beter
Het helpt cybercriminelen bij hun schimmige zaakjes dat Nederlanders zich weinig zorgen maken over hun digitale veiligheid. Uit een onderzoek van beveiligingsplatform SecurityForce blijkt dat vooral ouderen weinig angst hebben voor cybercrime, terwijl zij doorgaans juist de groep zijn die het meeste risico loopt om opgelicht te worden. De verklaring daarvoor is simpel: hoe ouder, hoe meer geld. Daar spelen internetinbrekers handig op in, dus de kans is groot dat je als veertigplusser een keer te maken krijgt met een vorm van cybercriminaliteit. ‘Het kan snel gaan, want als je je telefoon, browser, tablet of computer niet op tijd hebt geüpdatet en op een verkeerd linkje klikt, dan kan je apparaat al worden gehackt’, vertelt techjournalist Daniël Verlaan, auteur van de bestseller Ik weet je wachtwoord en maker van de daarop gebaseerde gelijknamige podcast.
Volgens Verlaan is het verleidelijk om in het geval van een hack te denken: eigen schuld, dikke bult. Maar zo simpel ligt het niet. ‘Het is ontzettend lastig om jezelf te beschermen tegen deze vorm van criminaliteit’, legt hij uit. ‘Je moet er de hele tijd mee bezig zijn en constant je online veiligheid verbeteren. Weer een nieuw wachtwoord instellen dat lang en sterk genoeg is, niet zomaar te raden is en nergens anders wordt gebruikt. Het gemiddelde wachtwoord is in Nederland nog steeds een combinatie van de woonplaats en het geboortejaar, bijvoorbeeld Maastricht1979. Dat is niet veilig, en dan druk ik me nog heel subtiel uit. Vergelijk een slecht wachtwoord maar met enkel glas of een krakkemikkig slot in je voordeur. Je maakt het mensen met slechte bedoelingen daarmee makkelijker, wat niet wil zeggen dat dit ze het recht geeft om bij je in te breken.’
Wil je het moeilijker maken voor criminelen, dan is de oplossing simpel: beveilig jezelf beter, wat begint met kennis vergaren over hoe cybercriminelen te werk gaan. ‘Een van de meest gebruikte manieren om een account te hacken is het kraken van een wachtwoord’, vertelt Verlaan. ‘In de media lees je vaak over datalekken. Je moet je voorstellen dat er niet echt wachtwoorden zijn gelekt die je kunt lezen, maar een soort lange codes. Als een cybercrimineel die codes kraakt, dan heeft hij jouw wachtwoord. Stel dat er data is gelekt bij Bol.com of Zalando en je gebruikt datzelfde wachtwoord ook voor je email of betaaldiensten, dan kan een hacker op die manier heel simpel bij jou binnenkomen. Dat is een veelgebruikte manier van aanvallen die alleen succesvol is omdat wij Nederlanders hetzelfde wachtwoord vaak op verschillende plekken gebruiken.’
De zwakste schakel
Een inmiddels klassieke vorm van cybercriminaliteit is phishing. Het recept is al jaren hetzelfde: je ontvangt een e-mail waarmee je naar een nepwebsite wordt gelokt. Daar worden op slinkse wijze je gegevens of je geld gestolen. Verlaan: ‘Ze sturen je bijvoorbeeld een linkje dat leidt naar een nepwebsite van PayPal of je mailprovider, met de boodschap: ‘Je moet hier inloggen, want je account zit op slot.’ Op het moment dat je dat doet, gaan je inloggegevens meteen naar de cybercrimineel. Je ziet dit de laatste tijd ook veel gebeuren bij mensen die online ergens crypto hebben. Aanvallers sturen een mail met de mededeling dat je je account meteen moet heractiveren, omdat er iets is met je crypto. Daar schrik je je natuurlijk rot van, dus je klikt op het linkje, gaat naar een website, logt in en vervolgens liggen je gegevens automatisch bij de crimineel.’
Maar het kan nog doelgerichter, zo ondervond sportleraar Ronald Vermeulen (36). Hij kreeg vorig jaar midden in een verbouwing van zijn huis een mailtje met een factuur van zijn aannemer. ‘Dat was onverwachts, want we hadden afgesproken dat ik het hele bedrag achteraf zou betalen’, vertelt hij. ‘Maar ik vond het ook wel weer logisch, zo’n aannemer maakt allerlei kosten. Voor de zekerheid heb ik toch even gebeld met het telefoonnummer dat in de mail stond, ook omdat het mailadres anders was dan normaal, maar de dame aan de andere kant van de lijn bezwoer me dat het allemaal in orde was. Ik had het druk met van alles en nog wat, dus ik heb het bedrag van 25.000 euro meteen via het iDEAL-linkje overgemaakt. Eigenlijk was ik het alweer vergeten totdat ik de volgende dag tegen mijn aannemer over de factuur begon en hij van niks bleek te weten.’
Vermeulen was opgelicht – en goed. ‘Als mens zijn we in cybersecurity altijd de zwakste schakel’, aldus Verlaan. ‘We hebben telefoons en computers die superveilig zijn, maar zet er een mens achter en ze zijn niet meer zo veilig. We klikken te makkelijk op linkjes of we openen bestanden die we niet zouden moeten openen en vervolgens worden we gehackt of opgelicht. Heel vaak komt dat omdat we laks zijn, niet goed opletten, haast hebben of een combinatie daarvan. Anders had je waarschijnlijk wel gezien dat de URL van de website uit de mail niet overeenkwam met de echte website van het bedrijf. Als ik een mail krijg met een linkje, dan zoek ik op internet altijd even op wat de website van het bedrijf is. Dan blijkt meestal al snel dat het paypal.com is en niet paypal-betalen.nl. Je kunt phishing altijd herkennen door te vergelijken met de daadwerkelijke website.’
Je kunt phishing altijd herkennen door te vergelijken met de daadwerkelijke website
Minimaliseer je apps
Het installeren van malware op je computer of telefoon is een ander populaire manier om je digitale leven binnen te dringen. ‘Je kunt bijvoorbeeld gehackt worden als jij een betaald spelletje gratis wilt spelen en daarom een illegale app downloadt’, aldus Verlaan. ‘Of je wilt nieuwe stickers hebben voor in je WhatsApp. Die app installeer je en dat blijkt dan een virus te zijn. Dat virus wil rechten verkrijgen op jouw telefoon en jij klikt de hele tijd op ‘ja, ja, ja’, want jij wilt dat spelletje spelen. Vervolgens kan dat virus jouw bankapp hacken, wat hij doet door een soort onzichtbare deken over het scherm te leggen als jij je bankapp opent. Op het moment dat jij een bedrag overschrijft naar iemand, wordt vlak voor het versturen het IBAN-nummer gewijzigd naar het IBAN-nummer van de aanvaller. Dat zie jij niet, dus jij drukt op de knop en dan gebeurt het: tákták.’
Deze vorm van hacken komt volgens Verlaan vooral voor bij Android- apparaten, omdat Android in tegenstelling tot iOS een open platform is. Tip: installeer alleen officiële apps uit de Google Play Store. ‘Kijk bij elke app naar de ratings en pas op dat je niet te veel apps op je telefoon installeert’, adviseert Verlaan. ‘Ik heb niet zo veel met apps, want elke nieuwe app maakt je telefoon kwetsbaarder. Zolang je alleen de broodnodige apps installeert – Gmail, een parkeerapp, een app voor je bank – doe je het hartstikke goed. Maar ga niet dertig gratis spelletjes, twintig wallpapers en veertig ringtone-apps installeren. Wees vooral op je hoede met apps die zeggen dat ze je toestel gaan schoonmaken. Dat zijn vreselijke apps, want ze hebben ontzettend veel toegang nodig tot al je andere apps. Vaak zijn dit soort schoonmaakapps juist de apps waar virussen in zitten.
Maak een wachtzin en gebruik spaties in je wachtwoord, dat wordt vaak vergeten
Maar het allerbelangrijkste is dat je een goed wachtwoord hebt. Liefst zo lang mogelijk, een wachtzin dus eigenlijk: inditartikelhebikveelnuttigetipsgelezen. ‘En gebruik spaties in je wachtwoord, dat wordt vaak vergeten’, zegt Verlaan. Heb je zo’n sterk wachtwoord, dan is het belangrijk dat je ’m niet overal gebruikt. ‘Als je dat te ingewikkeld vindt, dan kun je een passwordmanager instellen die alle wachtwoorden voor jou opslaat. Dat is superhandig en veilig. Zeker als je bij de belangrijkste accounts ook nog tweestapsverificatie aanzet. Dat was in het begin vrij gebruiksonvriendelijk en gedoe, omdat je elke keer als je inlogde een code moest invoeren. Inmiddels werkt het een stuk makkelijker en hoef je alleen maar op ‘oké’ te drukken op een knopje op je telefoon. Ook al hebben hackers je inloggegevens, ze hebben niet zomaar je telefoon. Daarom zeg ik altijd tegen iedereen: tweestapsverificatie. Kleine moeite, groot plezier.’