Vierentachtig is hij, en hij had al vaak iets verkocht via Marktplaats. Deze keer had hij een boek te koop. Vier biedingen waren er al gedaan, toen ene Mitchel via WhatsApp vroeg of het boek nog beschikbaar was. Hij bood vijf euro meer dan het hoogste bod en mocht het boek hebben. En dat is jammer, want Mitchel is een crimineel.
Nou kun je geen grote slag slaan met boek dat voor dertig euro van
eigenaar zou wisselen. Nee, Mitchel had iets anders in petto. De verkoper vroeg
om vooruitbetaling, maar Mitchel toonde zich ietwat achterdochtig en appte
(letterlijke tekst, inclusief taalfouten): Nog
even een vraagje?! Zou je alvast een post NL label willen aanmaken zodat ik
zekerweet dat je het verstuurd. Na ontvangen van het label betaal ik je het
volledige bedrag! Je hoeft niks van te voren op te sturen! Je ontvangt dan ook
de barcode via de mail die je laat scannen bij post nl! Heb al mijn gegevens al
ingevuld! Gevolgd door een link naar
pakketjes-verzenden.com/track-and-trace/3S…
Dat vond onze bejaarde verkoper te ingewikkeld. Hij wilde het boek ook
wel zonder betaling vooraf opsturen. Een kwestie van vertrouwen, zo schreef
hij. Dat vertrouwen was opgebouwd door de vele transacties die hij al had
gedaan. Mitchel vond dat lief, maar hield toch de poot stijf – hij wilde met alle
plezier uitleggen hoe het werkte. En toen klikte ons slachtoffer toch maar op
de link.
Ik kijk nu naar het proces-verbaal waarin de politie dit allemaal heeft
vastgelegd. Want twee dagen nadat de bovenstaande conversatie had
plaatsgevonden, belde de bank. Er waren verdachte transacties gesignaleerd:
twee overschrijvingen van vijfhonderd euro en nog eens twee overschrijvingen
van negenhonderd euro. Bovendien was er nog een bestelling van tweehonderd euro
gedaan bij Albert Heijn, vermoedelijk voor cadeaubonnen.
Dit is een klassiek voorbeeld van phishing, met duizenden euro’s schade
tot gevolg. Waar ging het mis? Tja, die link in het appje hè.
“Pakketjes-verzenden.com”, gevolgd door zo’n bekende 3S-code in de link, ziet
er best betrouwbaar uit. Maar het was allemaal fake. Het domein
pakketjes-verzenden.com bestaat niet eens meer. Op die site moest het
slachtoffer zijn verzendlabel betalen via iDeal. Het verhaal vertelt niet hoe dat
precies in z’n werk ging, maar ik denk ongeveer als volgt (als iemand het beter
weet, dan hoor ik dat graag!).
Het slachtoffer zag een nagemaakt iDeal-scherm, terwijl Mitchel klaar
zat bij het echte loginscherm van de bank. De een moest zijn gebruikersnaam en
wachtwoord invullen, de ander kon dat meelezen en invullen op de echte site.
Met alleen een gebruikersnaam en wachtwoord kun je tegenwoordig niet meer
inloggen bij een bank, want die werken met tweefactorauthenticatie: je moet
bijvoorbeeld in de app van de bank bevestigen dat je wilt inloggen. In het
geval van de Rabobank, waar we het hier over hebben, kan ook de Rabo Scanner
worden gebruikt. Daarmee moet je een soort QR-code scannen, die uit kleurige
stippen bestaat. Op het display van het kastje verschijnt dan een code die je
op de computer invult. Als Mitchel erin is geslaagd om de kleurcode, die hij
gepresenteerd kreeg, door te sturen naar het slachtoffer, dan kon hij
vervolgens ook de inlogcode in ontvangst nemen. Ik vermoed dat de kleurcodes
een bepaalde geldigheidsduur hebben, het is dus zaak dat de crimineel en zijn
slachtoffer haast maken. In het WhatsApp-gesprek zie je dan ook dat Mitchel al
binnen een minuut vraagt of het is gelukt.
Hoe bescherm je jezelf tegen dergelijke
praktijken? Marktplaats dringt er al jaren op aan om alle communicatie over
advertenties via hun site te laten lopen. Op hun site staat letterlijk: “Mensen
met slechte bedoelingen willen zo min mogelijk sporen achterlaten en proberen
onderling contact buiten Marktplaats te houden, bijvoorbeeld via WhatsApp”.
Maar de belangrijkste regel is toch nog steeds: klik niet op linkjes die je op
een dergelijke wijze worden aangeboden, al klinkt het verhaal nog zo plausibel
en lijkt de persoon aan de andere kant nog zo aardig.
Nog even over dat proces-verbaal. Hoe verder ik daarin vorderde, hoe groter mijn verbijstering werd. Als nog eens iemand roept dat er meer blauw op straat moet, dan stel ik voor om PV’s te vereenvoudigen. Lees maar even mee (ik heb de naam van de bankmedewerker gewijzigd): Ik hoorde de medewerker Dirk Loof van de RABO Bank zeggen dat er 2 (twee) bedragen van 500 (vijfhonderd) euro waren afgeschreven. Ik hoorde de medewerker Dirk Loof van de RABO Bank zeggen dat er 2 (twee) bedragen van 500 (vijfhonderd) euro waren overgemaakt naar een bankrekeningnummer. Ik hoorde de medewerker Dirk Loof van de RABO Bank zeggen dat de bedragen overgemaakt waren onder omschrijving Mitchel BUNQ Bank. Ik hoorde de medewerker Dirk Loof van de RABO Bank zeggen dat… En zo gáát dat maar door in het PV. Dat moet toch veel korter kunnen!
En in de grote boze buitenwereld …
- mogen (ex)medewerkers van RSA tien jaar na dato gedetailleerd uit de doeken doen hoe de hack op hun bedrijf verliep.
- leidt de snelle route soms naar de afgrond. (Maar op deze laatste dag van de Business Continuity Awareness Week is het dan wel weer prettig om te lezen dat er zoiets bestaat als een Chief Availability Officer.)
- heeft Ierland het moeilijk als privacywaakhond voor grote Amerikaanse techbedrijven.
- hadden ze het in Ierland toch al zo druk.
- kregen de onbekende Ierse hackers een gerechtelijk verbod op het verkopen van de buitgemaakte gegevens. Zouden die criminelen zich daaraan houden…?
- is een online ‘straatverbod’ nog niet zo gemakkelijk.
- heeft het NCSC een nieuwe editie van zijn online magazine gepubliceerd.
- passen ransomware-criminelen tegenwoordig dubbele encryptie toe.
- helpt het installeren van Russisch op je computer (een beetje) tegen ransomware.
- vind je hier een uitgebreid rapport over ransomware anno 2021.
Geen opmerkingen:
Een reactie posten