Vriend-in-nood-fraude. Deze mooie term voor iets heel lelijks (meestal
noemen we het WhatsApp-fraude) pikte ik laatst ergens op. Dit fenomeen komt
veelvuldig voor en er wordt de laatste tijd ook steeds vaker voor gewaarschuwd,
onder andere door de Fraudehelpdesk.
Die term zou je eigenlijk zo moeten schrijven:
“vriend”-“in-nood”-fraude. Er is namelijk niemand in nood en al helemaal geen
vriend. Toch vraagt iemand jou onder dit voorwendsel om hulp in de vorm van
geld. Er zijn vele varianten van deze vorm van fraude, maar in de basis werken
ze allemaal hetzelfde. Een “familielid” of “vriend” zoekt contact met je via
bijvoorbeeld WhatsApp, sms of e-mail. In dat bericht staat een geloofwaardig
verhaal over bijvoorbeeld een rekening die met spoed moet worden betaald, een
kapotte wasmachine die moet worden vervangen of zonder geld in het buitenland
zitten (die laatste zul je momenteel niet tegenkomen – iemand, die in
corona-tijd claimt in het buitenland te zitten, is meteen al af) . Bovendien
weet die persoon plausibel te maken dat hij een ander nummer of e-mailadres
gebruikt (eigen toestel kapot, nieuw abonnement, andere provider).
Zoals bij veel vormen van digitale fraude wordt het toekomstige slachtoffer
ook hierbij vaak onder druk gezet: er komt een deurwaarder als die rekening
niet vandaag nog wordt betaald, zoonlief komt in het weekend thuis met een
grote tas vuile was die zondagavond schoon mee moet, ik word het hotel uit
gezet als ik nu niet betaal maar mijn betaalpas is stuk. De crimineel wil je
geen tijd gunnen om over zijn verzoek na te denken, want je zou eens tot de
conclusie kunnen komen dat er iets niet in de haak is. Hij heeft – anders dan
bij phishing het geval is – in jou persoonlijk geïnvesteerd, hem is dus alles
eraan gelegen om dit tot een goed einde te brengen.
Die investering in jou zit ‘m in de voorbereiding. Het bericht moet de
juiste toon treffen: “Hé pa, kun je deze rekening voorschieten?” is een slechte
binnenkomer bij een kinderloze dame. Maar als je het te algemeen houdt (“Hoi,
kun je me helpen met wat geld?”), dan is de slagingskans erg klein. De
crimineel moet dus aannemelijk maken dat hij een sociale relatie met het
slachtoffer heeft en dat vergt onderzoek. Maar gelukkig voor de boef staat ons
hele leven op sociale media, dus hij hoeft er de deur niet voor uit. Overigens
proberen ze het tegenwoordig ook wel zonder voorbereiding, zoals uit het eerste
artikel uit de grote boze buitenwereld blijkt.
Er wordt dus misbruik gemaakt van vriendschappen en familiebanden, en
dat is waarom ik het verschijnsel iet lelijks noemde. Natuurlijk wil je een
naaste helpen als die echt in nood is, maar het is wel zaak om na te gaan of
die noodkreet echt van een bekende afkomstig is. Hoe? Dat is vrij eenvoudig:
bel hem of haar op en vraag hoe het zit. Gebruik daarvoor het telefoonnummer
dat je al eerder kende, niet het nummer waarvan de hulpvraag afkomstig is. Als
je op die manier geen contact kunt leggen en ook op het ‘nieuwe’ nummer niet
wordt opgenomen (met als smoes “niet te geloven, maar mijn nieuwe simkaart is
kapot” of zo), dan kun je altijd nog proberen via WhatsApp te bellen, of desnoods
vragen om een gesproken bericht via diezelfde app. Maar eigenlijk zijn alle
contactpogingen naar ‘nieuwe’ nummers en adressen bijna altijd tegen beter
weten in en hooguit bedoeld om er zeker van te zijn dat je niet toch iemand in
de steek laat.
Vorige maand hebben meer dan duizend mensen bij de Fraudehelpdesk gemeld
dat ze zo’n hulpvraag hebben ontvangen en dat heeft ze meer dan een kwart
miljoen euro gekost. Dat is met gemiddeld zo’n € 250 per persoon misschien niet
heel schokkend, maar het kan toch een flinke bres in iemands budget slaan – wat
eerst een lening onder vrienden leek, is nu een ‘gift’ aan een vreemde. Tel
daar gerust nog de emotionele schade bij op.
De zakelijke variant van vriend-in-nood-fraude heet CEO-fraude of BEC:
de CEO is de baas (Chief Executive Officer) en BEC staat voor Business E-mail
Compromise – compromittering van of inbreuk maken op zakelijke e-mail. Het
stramien is eigenlijk hetzelfde als bij WhatsApp-fraude, alleen is de
zogenaamde afzender nu een hooggeplaatste functionaris in jouw organisatie en
gaat het doorgaans om veel grotere bedragen. En waar de privé-variant meestal
via WhatsApp gaat, is bij BEC e-mail het gebruikelijke vehikel. Als de
criminelen hun werk goed doen, dan komen dergelijke mailtjes alleen terecht bij
medewerkers die bij het geld kunnen. Net als bij WhatsApp-fraude zit ook bij
BEC een urgentie-element, aangevuld met autoriteit (de baas mailt me!),
geheimzinnigheid (niemand mag dit weten!) en in vertrouwen nemen (ik vertrouw
jou, daarom vraag ik dit aan jou).
Vooral in formele organisaties, waar de afstand tussen werkvloer en
leiding groot is, is de kans van slagen groot. In minder formele organisaties
pak je gemakkelijker de telefoon om even te checken of het wel klopt. Het zou
echter in iedere organisatie normaal moeten zijn dat een medewerker, die een
verzoek ontvangt om een geheimzinnige financiële transactie te regelen,
ruggespraak houdt. Als het écht een verzoek van de CEO was, dan hoort die je
een schouderklopje te geven voor je alertheid. En als het een poging tot fraude
was, dan heb je natuurlijk óók een schouderklopje – en misschien wel meer – verdiend.
En in de grote boze buitenwereld …
... konden Twitteraars live meekijken met een poging tot
WhatsApp-fraude, en zelfs het verloop ervan bepalen.
... leverde dit recente geval van BEC een flinke bom duiten op.
... is een Groninger opgepakt in een grote phishing-zaak.
... moeten overheden goed nadenken over de inrichting van hun
corona-app. Dit is een voorbeeld van hoe het ernstig fout kan gaan.
... is het gebruiken van open source software juridisch gezien oké.
... is er een gevaarlijke nieuwe kwetsbaarheid in Android ontdekt (met
logo!).
... kun je niet zomaar verplicht worden om tijdens werkoverleg-via-video
je camera aan te zetten.
... blikt dit artikel uitvoerig terug op twee jaar AVG.
... moet je even wat tijd vrijmaken om een password manager te gaan
gebruiken.
... hielpen Nederlandse spionnen de Britten tijdens de Falkland-oorlog
bij het ontcijferen van Argentijnse communicatie.
... speuren buitenlandse spionnen naar kwetsbare VPN’s in het
Nederlandse MKB.
... zijn supercomputers ook handig voor cryptomining.
... is de mail-app van Apple weer veilig te gebruiken zodra je versie
13.5 van iOS of iPadOS hebt geïnstalleerd.
https://www.security.nl/posting/658730/Duitse+overheid+geeft+gebruik+van+Apple+Mail+weer+groen+licht
... maakt een ander beveiligingslek in iOS het mogelijk om het toestel
te jailbreaken, maar door de bug
kunnen ook buitenstaanders de controle over het apparaat verkrijgen.
... heeft het UWV te kampen met een groot aantal datalekken. Veel
meldingen hebben betrekking op verkeerd bezorgde, maar wel geopende post.
... springen nieuwe banken slordig om met de privacy van hun klanten.