Het zakenmodel achter de boomende phishingbusiness

De mails vol taalfouten waarin een Afrikaanse prins tien jaar geleden uw hulp vroeg om zijn fortuin veilig te stellen waren eerst nog grappig. Nu lokken bendes jonge criminelen mensen massaal naar nepwebsites en zijn ze er in enkele muisklikken met al uw spaargeld vandoor.

Een aanmaning van de watermaatschappij of de fiscus, een verificatie van de bank, een koerierdienst die een ontbrekend adres vraagt en een sms van Bpost, maar ook tal van mails over corona. Het zijn enkele voorbeelden van vervalste berichten die de ronde doen met een gemeenschappelijk doel: een link naar een vervalste website waarmee criminelen gegevens stelen en zo de controle over de bankrekening overnemen.

12.000
De cijfers over phishing in ons land stijgen fors. In de eerste drie maanden van dit jaar liepen dagelijks 12.000 meldingen van verdachte berichten binnen.

De overheidsdienst Safeonweb krijgt die mails massaal via het meldpunt verdacht@safeonweb.be, zegt woordvoerster Katrien Eggers. In het eerste kwartaal ging het om 1,08 miljoen doorgestuurde mails, of 12.000 per dag. In 2020, het jaar waarin phishing echt explodeerde, waren dat nog 8.800 meldingen per dag. En die meldingen zijn nog maar een fractie van het totale aantal phishingmails.

Achter die lawine aan frauduleuze mails, sms’en en socialemediaberichten zitten bendes die het online misleiden met de dag beter onder de knie lijken te krijgen. Want heel wat landgenoten trappen in de val en raken honderden tot vele tienduizenden euro’s kwijt. De Belgische banken rapporteerden vorig jaar 34 miljoen euro schade van phishing, geld dat niet meer gerecupereerd kon worden.

Phishing is een businessmodel van enkele criminele kmo’s dat door corona de wind in de zeilen kreeg. Mensen gingen noodgedwongen meer online communiceren, shoppen en bankieren. ‘De criminaliteit speelt daarop in. Tegelijk is het door corona en de avondklok moeilijker om in te breken of cocaïne te dealen. Met phishing is zo gemakkelijk veel geld buit te maken dat je als crimineel al stom moet zijn om je nog in te laten met andere zaken waar de pakkans veel groter is’, zegt commissaris Stijn De Ridder van de politiezone Antwerpen. De Antwerpse politie slaagde er ook in coronatijden in enkele grote bendes op te rollen.

Het gaat om organisaties met een handvol tot tientallen mensen die verschillende rollen vervullen. Soms met een top in Nederland en hulp van mensen met IT-kennis om valse websites op te zetten. Al blijkt dat niet zo moeilijk te zijn want op het darkweb zijn kant-en-klaarsoftwarepakketten beschikbaar. In Nederland bestaan grote besloten berichtengroepen waar info tussen honderden mensen wordt uitgewisseld.

Geldezels

De Ridder: ‘De uitvoering gebeurt vooral lokaal door jongeren die snel veel geld willen verdienen en die ook in de drugswereld rondlopen. Types met patsergedrag en luxegoederen.’ Ze sturen massaal berichten rond en monitoren wie op de valse link ingaat. Eenmaal de bende aan het geld kan, wordt het zo snel mogelijk
gestolen door de bankapp te kopiëren of overschrijvingen te doen naar rekeningen van geldezels. De volgende stap is razendsnel geld afhalen of online luxegoederen kopen. Ook allerlei betaalkaarten kunnen worden gebruikt om anoniem aankopen te doen. Daarvoor wordt een netwerk van ophalers ingezet die vaak anoniem blijven.

Om geen sporen na te laten worden geldezels ingezet. Dat zijn mensen die hun bankkaart en pincode uitlenen. Het geld dat via phishing verkregen is, wordt eerst op hun rekening gestort. Zij lopen ook het eerst tegen de lamp.

‘Maar die facilitators vormen slechts de onderste regionen van de organisatie. De anderen zijn veel moeilijker op te sporen omdat veel gebruikgemaakt wordt van identiteitsgegevens van anderen’, zegt De Ridder. Hoe ze dan wel opgespoord worden? ‘Dat ga ik niet zeggen, we gaan ze niet slimmer maken dan ze al zijn’.

Wat ook meehelpt op het terrein is dat meer mensen attenter zijn. Een agent die op een lockdownfeestje iemand aantreft met heel wat bankkaarten op andermans naam. Een winkelbediende die het raar vindt dat een jonge gast opnieuw tien iPhones komt ophalen. Die vormen soms een aanknopingspunt voor een bende waarvan niemand weet hoeveel er precies actief zijn.

©Filip Ysenbaert

Vooraan in de strijd tegen phishing staan de banken met sensibilisering, preventie en het creëren van een veilige omgeving, klinkt het bij de sectorkoepel Febelfin. ‘In België is tweestapsverificatie al meer dan tien jaar vereist’, zegt woordvoerster Isabelle Marchand. Dat betekent dat een wachtwoord niet voldoende is om toegang te krijgen tot een rekening. Er is nog een tijdelijke sms-code, een code van de kaartlezer of bijvoorbeeld een vingerafdruk nodig.

Maar dat leidde onlangs tot de opkomst van kluisrekeningfraude, een zeer cynische truc waarmee phishers zich telefonisch voordoen als een bankmedewerker die waarschuwt voor een acute phishingpoging. Slachtoffers wordt dan aangeraden om geld onmiddellijk over te schrijven naar een externe ‘beveiligde rekening’ of om de extra sms-code door te geven om de ‘diefstal’ te kunnen tegenhouden.  Het resultaat is tweemaal hetzelfde: het geld verlaat de bank en is dan vaak definitief verloren.

Slachtoffers vinden dat de financiële sector meer moet doen. ‘Banken konden vorig jaar 75 procent van de frauduleuze overschrijvingen tegenhouden of recupereren’, zegt Marchand. Maar het is een continu kat-en-muisspel waarbij banken de detectiesystemen aanpassen en fraudeurs onder de radar proberen te blijven. ‘We moeten constant bijsturen onder het motto ‘think like a fraudster’’, zegt een fraudebestrijder bij een Belgische bank die anoniem wel een tip van de sluier wil oplichten.

Risicoscore

‘De fraudetools sporen in de massa transacties afwijkingen op het normale gedrag op. Bij een hoge risicoscore wordt automatische actie ondernomen zoals het blokkeren van bepaalde acties van digitaal bankieren of het vertragen van betalingen zodat ze manueel voort kunnen worden opgevolgd. Soms wordt een extra bevestiging van de klant gevraagd. Bij verdachte overschrijvingen contacteren we soms de andere bank. In België lukt dat prima, maar als buitenlandse betaalspelers betrokken zijn, is snelle communicatie onmogelijk.’

Het is zo gemakkelijk veel geld buit te maken met phishing dat je als crimineel stom moet zijn om je nog in te laten met andere zaken met een grotere pakkans.
Stijn De Ridder
Commissaris politiezone Antwerpen

‘Helaas is fraudedetectie geen exacte wetenschap’, zegt de bankier. En er mogen niet te veel correcte transacties onterecht worden vertraagd. Moeten de banken niet meer drempels inbouwen, zoals een tweede slot op de voordeur inbrekers afschrikt? Extra veiligheidsstappen creëren onvrede bij de gebruikers. ‘Het is een delicaat evenwicht’, zegt Marchand. ‘En extra beveiliging kan omzeild worden als klanten die extra codes doorgeven aan fraudeurs. Alle staat of valt met het doorgeven van de codes.’

De druk op een strengere aanpak van phishing is groot. In de media en bij de ombudsman komen vele verhalen van slachtoffers die hun spaargeld kwijt zijn. De federale regering wil bekijken of de banken hun klanten niet te vaak ‘grove nalatigheid’ aanwrijven als ze het slachtoffer werden. Het beeld dat de banken gedupeerden in de kou laten staan, klopt niet, vindt Marchand. ‘In talrijke gevallen gaat de bank over tot terugbetaling van de klant.’ Dat wordt ook in politiekringen bevestigd, maar cijfers zijn er niet.

Klok rond

De banken trekken almaar meer samen ten strijde tegen de phishingbendes. Die richtten zich vroeger soms een poos op een specifieke bank als daar zwakke plekken werden gevonden. Dat gaat van de mogelijkheid grote bedragen weg te sluizen tot het ontbreken van helpdesks buiten de kantooruren. Klanten van Argenta werden vorig jaar om verschillende redenen vaak bestookt. CEO Marc Lauwers liet bij de recente presentatie van de jaarcijfers verstaan dat Argenta nu ook een team heeft dat dag en nacht klanten te woord kan staan die twijfelen aan transacties of het slachtoffer werden van phishing.

Die bereikbaarheid de klok rond is cruciaal omdat snelle actie de schade soms kan beperken. ‘We bekijken met de sector hoe we daarin meer eenduidigheid kunnen brengen’, zegt Marchand. Minister van Justitie Vincent Van Quickenborne (Open VLD) stelde onlangs op Radio 2 voor de dienst Card Stop uit te breiden. Die zou dan niet alleen kaarten blokkeren, maar tegelijk ook bankapps. Ook van de telecomsector wordt meer samenwerking verwacht nu phishing slachtoffers blijft maken.

Ook grote technologiebedrijven helpen mee in de strijd tegen phishing. ‘In Chrome waarschuwt een ingebouwde bescherming als je gevaarlijke of misleidende inhoud gaat bekijken. En in Gmail wordt 99,9 procent van de bijna 10 miljoen spam- en phisingberichten die wereldwijd per minuut verstuurd worden tegengehouden’, zegt Google-woordvoerder Michiel Sallaets. Het bedrijf maakt onder andere gebruik van input van Safeonweb.

‘Het is een bigdataverhaal’, klinkt het bij Microsoft. ‘De Intelligent Security Graph verzamelt 8.000 miljard signalen per dag en kan dankzij machinelearning en artificiële intelligentie snel verbanden leggen en anticiperen. Al onze beveiligingsproducten praten daarmee’, zegt Nico Sienaert, product manager security bij Microsoft. ‘Om klanten te beschermen gaat Microsoft zelf het darknet op. ‘We kopen databanken met gebruikersgegevens om te kijken of er Outlook-mailadressen in voorkomen zodat we klanten kunnen waarschuwen.’

Microsoft merkt dat bedrijven nu vaak het doelwit zijn van spear fishing, waarbij heel nauwkeurig een specifieke werknemer met een cruciale functie (verantwoordelijke voor de betalingen, boekhouder...) bestudeerd wordt om dan met een grote actie meer succes te hebben. Begin deze maand werd de webwinkel Bol.com zo het slachtoffer van een valse mail van een leverancier en schreef hij 750.000 euro over naar oplichters.

Wie wordt het slachtoffer van phishing?

Phishing, waarbij criminelen mensen bestelen door ze naar valse websites te lokken, neemt exponentieel toe en is lang geen verhaal van opa en oma meer, ook veel jongeren zijn het slachtoffer. ‘Ik zeg zelf ook al lang niet meer dat het mij nooit zal overkomen’, zegt de Antwerpse politiecommissaris Stijn De Ridder, die gespecialiseerd is in phishing.

Wie zijn de hoofdrolspelers?

Bendes van criminelen die voor de uitvoering een beroep doen op jongeren die snel geld willen verdienen. De pakkans is veel kleiner dan bij een overval op een krantenwinkel om de hoek.

Hoe wordt het afgestopt?

‘Graag meer samenwerking met telecombedrijven, het parket, de politie en overheidsinstanties’, klinkt het in de banksector. ‘De enige oplossing is volledig stoppen met paswoorden en sms-codes die ook meer en meer onderschept worden. Biometrie, met vingerafdrukken, gezichtsherkenning en irisscan, is de toekomst’, zegt Nico Sienaert van Microsoft.

Lees verder

Advertentie
Advertentie
Advertentie

Gesponsorde inhoud

Gesponsorde inhoud