Foto Loes van der Meer

Een cent overmaken via een betaalverzoek om te laten zien of je rekening aansluit? De kans is groot dat je te maken hebt met criminelen die je een nepsite voorschotelen. Jacqueline Bonnes is officier van justitie in Rotterdam en heeft met succes een groep criminelen opgesloten voor dit soort betaalverzoekfraude. Maar ze waarschuwt ook, want ze is geschrokken van wat ze tegen is gekomen: “Je hebt als crimineel niet eens meer cyberkennis nodig. Deze vorm van fraude tast je vertrouwen in internetbankieren enorm aan!”

Een fietsbel voor €7,50 verkopen via Marktplaats is een slachtoffer van betaalverzoekfraude duur komen te staan. Zonder dat ze het doorhad, bleek de ‘koper’ haar een link naar een nepwebsite gestuurd te hebben. “Die sites lijken echt precies op de website van je bank”, zegt Jacqueline Bonnes. “Weet jij precies welke link de site van de bank heeft? Eindigt het op .nl, .pay of .com, bijvoorbeeld? Waarschijnlijk weet je dat niet precies. Bovendien worden logo’s en plaatjes makkelijk misbruikt. En dus is de kans groot dat je denkt dat je gewoon op de site van je eigen bank bent, omdat het betrouwbaar oogt.”

“Eindigt de weblink van een betaalverzoek op .nl, .pay of .com? Waarschijnlijk heb je geen idee"

Zo ook de verkoopster van de fietsbel. Ze typt haar bankgegevens en voert ook de bijbehorende TAN-code in op een, naar later blijkt, nepsite. Op die manier heeft ze zojuist, uiteraard onbedoeld, de criminelen achter de website alle essentiële informatie gegeven om wel op de échte rekening van het slachtoffer in te loggen. En dan gaat het razendsnel.

(De tekst loopt door onder de video)

In een mum van tijd zorgen de criminelen ervoor dat ze de gegevens van de rekening van het slachtoffer koppelen aan hun telefoon en verhogen ze het limiet voor mobiel bankieren. Ze kopen er direct allerlei dure spullen mee in de winkel en betalen via het mobiel bankieren. Dat kan in deze zaak zelfs tot het limiet van maar liefst €2500,-. Door die spullen op een later moment weer te retourneren, krijgen de criminelen dat geld cash terug. Alles gaat zo snel, dat er zowel voor het slachtoffer als de bank bijna geen tijd is om te signaleren wat er aan de hand is voordat het te laat is. De schade is groot als de fraude opgemerkt wordt. Toch kunnen de criminelen tegen de lamp lopen, zoals in Rotterdam gebeurt.

Alles gaat zo snel dat er bijna geen tijd is om te signaleren wat er speelt

Daar ziet een oplettende beveiliger iemand wel heel vaak dure spullen retourneren. Hij betrapt de man op heterdaad en de politie start een onderzoek. Hieruit wordt steeds duidelijker dat het niet om een enkele dader gaat, maar dat er een groep criminelen aan het werk is. “Het werd duidelijk dat ze met meerdere mensen tegelijk moesten handelen. Iemand heeft contact met de slachtoffers, een tweede persoon haalt de codes van het slachtoffer binnen en logt op de rekening in en er is dus ook iemand die met de telefoon razendsnel kan betalen in een winkel”, legt Bonnes uit. Wat haar zorgen baart is het feit dat deze criminelen nauwelijks cyberkennis hoeven hebben: “Ze maken gebruik van ‘cybercrime as a service’; ze hoeven zelf geen programma te maken, want dat kopen ze gewoon via het Dark Web.”

Cybercrime as a service

Steeds meer programma’s om digitale fraude te plegen, worden te koop aangeboden op het darkweb. Je koopt dan het programma, dat je als cybercrimineel daarna inzet om te frauderen. Een zorgelijke ontwikkeling, vindt officier van justitie Bonnes: “Het is een kwestie van het programma kopen en deze betalen met bitcoins. En meestal zijn de programma’s na een paar uur of een paar dagen onbruikbaar geworden. De ontwikkelaar van zo’n oplichtingswebsite, die er dus precies uitziet als de website van je eigen bank, wil natuurlijk ook blijven verdienen aan zijn product.” Oplichten via een nepwebsite wordt in de ICT ook wel spoofen genoemd.

Ondermijnend

De verdachten die in beeld komen zijn jonge mannen met een dure leefstijl, maar ook vaak al met een strafblad. Ze rijden in dure auto’s, drinken champagne op feestjes en feesten op zonnige vakantiebestemmingen. “Terug in Nederland was hun geld blijkbaar op. Toen zijn ze overgestapt op deze manier van frauderen.” Het is een zorg van Bonnes dat deze manier van fraude zo moeilijk te herkennen is voor de slachtoffers: “Het is echt ondermijnend. De sites zijn zo goed nagebouwd dat je echt niet doorhebt dat het nep is. Het tast het vertrouwen in het online betalingsverkeer aan als je slachtoffer hiervan bent. En dat terwijl we steeds meer geldzaken juist online doen. Ondertussen is het voor criminelen een snelle manier om geld te verdienen en daar gaat een heel verkeerd signaal vanuit.”

Jacqueline Bonnes
Jacqueline Bonnes, officier van justitie

“Ik vind het zelfs echt ondermijnend voor de solidariteit van ons land”, stelt de officier van justitie. Grote woorden, dat beseft ze zich goed, maar ze vindt toch dat ze het kan zeggen. “Als het zo makkelijk wordt voor criminelen om geld te verdienen, in dit geval met een online beroving, dan gaan we kapot. Er worden steeds meer mensen slachtoffer van betaalverzoekfraude en de schades nemen ook toe. We moeten daar als opsporingsinstanties echt tegen optreden. Want als wij dat niet doen, waarom zou een bank dan wel zijn best gaan doen om dit soort mensen op te sporen? Er gaat ook een signaal uit vanuit onze opsporing en vervolging.”

Feiten en cijfers

Om een duidelijker beeld te krijgen hoe groot het probleem met betaalverzoekfraude is, heeft de analyse-afdeling van de politie-eenheid Limburg feiten en cijfers verzameld voor heel Nederland. Deze cijfers gaan over de periode 20 juni tot 20 augustus 2019:

  • De totale schade bedraagt €634.519,24, het aantal aangiften
  • De gemiddelde schade per zaak is €909,- (dit bedrag is gecorrigeerd op een aantal uitschieters)
  • De gemiddelde leeftijd van het slachtoffer is 41 jaar
  • 58% van de slachtoffers is vrouw, 41% man.
  • In 56% van de gevallen wordt door een onbekende gevraagd om één cent over te maken. Ook populair zijn de verzoeken om 5 cent, 10 cent of om de verzendkosten te betalen.

Nauwelijks jurisprudentie

Dat alles bij elkaar is dan ook de reden dat Bonnes gevangenisstraffen eist tot vijftien maanden: “We laten hiermee zien dat we hier bovenop zitten.”  Er is geen specifieke wetgeving voor deze nieuwe manier van cybercrime. Daarom vindt Bonnes het belangrijk dat er snel jurisprudentie hierover komt: “Omdat iedereen verschillende taken heeft, zijn er veel verschillende delicten. Computervredebreuk, diefstal, werken als een criminele bende, medeplegen. Maar welk delict kies je om alle daders te straffen, terwijl bewijzen vaak lastig is? Want wie zat er achter de computer? Dit soort vraagstukken, dat is iets waar we als Openbaar Ministerie jurisprudentie in willen.” De veroordeling door de rechtbank in  Rotterdam helpt daar ook bij. De daders in dit verhaal zijn onder meer veroordeeld voor hun deelname aan een criminele organisatie.

"Banken zijn niet verplicht om slachtoffers te compenseren"

Gedoe

Voor slachtoffers van betaalverzoekfraude betekent het naast de diefstal van hun geld vooral veel gedoe, weet Bonnes. Hun vertrouwen is weg en als ze pech hebben hun geld ook. Een bank is namelijk niet verplicht om de schade te compenseren. Overigens gebeurde dat in het geval van de fietsbel wel. Voor een bank is het vertrouwen in online bankieren namelijk ook erg belangrijk. Maar, benadrukt Bonnes nogmaals: “Ze zijn dat als bank niet verplicht.”

De tekst loopt door onder het voorbeeld

Nepsms ING
Via een SMS als deze proberen criminelen je te verleiden om op de link te klikken en je naar hun nepsite te lokken. Hier is sprake van 'spoofing': De frauders gebruiken de naam van de bank als afzender, waardoor het betrouwbaar overkomt.
Nepsite
Zo'n nepsite van de oplichters ziet er dan zo uit. Ze misbruiken het logo en de huisstijl van de bank en proberen je te verleiden om in te loggen. Let op de link; in dit plaatje is deze dus niet van de bank.

Waar moet je op letten?

Hoe kan je ervoor zorgen dat de kans om slachtoffer te worden zo klein mogelijk is?

  • Ga niet in op een verzoek van een onbekende om één cent over te maken. Niet via Marktplaats, maar ook niet via een link die je op Whatsapp krijgt. Niet doen!
  • Toon niet openlijk je telefoonnummer op sites als Marktplaats en communiceer niet via whatsapp. Werk uitsluitend via de berichtenservice van Marktplaats.
  • Als je als verkoper toch per se 1 cent wil overmaken naar een potentiële klant, doe dat dan uitsluitend via je eigen mobiel bankieren app. Klik daarom niet op ontvangen linkjes.
  • Maak gebruik van tweestapsverificatie voor het inloggen op Marktplaats. Zo maak je het hacken van accounts moeilijker. Oplichters gebruiken bij voorkeur gehackte, betrouwbaar ogende accounts.
  • Slachtoffer geworden van betaalverzoekfraude? Doe altijd aangifte! Voor extra informatie over wat te doen als je slachtoffer wordt van fraude kan je ook kijken op fraudehelpdesk.nl.