NieuwsPhishingsroof

Man raakt 1 miljoen euro kwijt in grootste phishingroof ooit in Nederland

Een man is slachtoffer geworden van de grootste phishingfraude in Nederland tot nu toe: oplichters stalen een miljoen euro. Het Openbaar Ministerie heeft de geldezels, de tussenpersonen, in het vizier. Mensen lijden aan ‘truth bias’, zegt hoogleraar cyber security Marianne Junger.

Beeld Getty Images

Het webadres rabo-aanvraag.nl leidt naar een rood scherm met een waarschuwing: ‘Misleidende site gedetecteerd.’ Browser Chrome geeft de geschrokken bezoeker een uitweg via een knop met ‘Terug naar veilige website’. Inmiddels staat de site bekend als valstrik, maar mogelijk bezocht een slachtoffer drie maanden geleden deze site, kreeg geen waarschuwing, vulde zijn gegevens in en was de volgende ochtend bijna een miljoen euro armer.

Het parket Noord-Nederland van het Openbaar Ministerie onthulde de phishingzaak woensdag bij RTV-Noord. Een man uit het noorden van het land kreeg een sms waarin zijn bank aankondigde dat zijn pinpas kwam te vervallen. Die informatie klopte, daarom klikte hij op de link in het bericht en stond zijn gegevens af. ‘Hij was in de veronderstelling dat het allemaal goed zou komen’, zei persofficier Gerben Wilbrink tegen de lokale zender. De man staat nu te boek als slachtoffer van de grootste phishingroof ooit in Nederland gedetecteerd.

Geldezels

Het OM wist te achterhalen dat het geld opgeknipt in kleinere delen terechtkwam bij 136 zogenoemde geldezels, tussenpersonen die tegen betaling hun rekening beschikbaar stellen en hun bankpas afgeven bij criminelen. Vaak zijn dit jongeren die via sociale media worden verleid om snel veel geld te verdienen, stelt de politie. Tijdens een gecoördineerde Europese opsporingsactie zijn de afgelopen drie maanden bijna vierduizend ‘money mules’ geïdentificeerd, waaronder 301 in Nederland. De verdachte transacties op de rekeningen van de tussenpersonen vallen op, terwijl de echte fraudeurs vaak de dans ontspringen.

Via de geldezels probeert het OM de daders achter de roof te achterhalen, stelde persofficier Wilbrink. De tussenpersonen kunnen een gevangenisstraf krijgen van vier tot zes jaar voor witwassen. ‘Ze denken snel geld te kunnen verdienen, maar riskeren grote consequenties.’ Het OM deelt geen informatie over de identiteit van het slachtoffer of de bank waar hij klant is.

De Rabobank, die vaak als afzender wordt opgevoerd in phishing-sms’jes, gaat evenmin in op de vraag of de getroffen man klant was. ‘De boodschap die wij heel duidelijk uitdragen is dat Rabobank nooit haar klanten vraagt om codes achter te laten op een website’, reageert een woordvoerder. Het is nog onduidelijk of de man zijn geld terugkrijgt. ‘De bank probeert het geld terug te halen’, stelt het OM. De Rabobank reageert: ‘We beoordelen iedere casus afzonderlijk met veel zorgvuldigheid.’

Beeld Thinkstock

Goed van vertrouwen

Ondanks de vele waarschuwingen van overheid, politie en banken is het niet verwonderlijk dat mensen in phishingpogingen blijven trappen, zegt Marianne Junger, hoogleraar cyber security aan de Universiteit Twente. De meeste mensen zijn nu eenmaal goed van vertrouwen. ‘De wetenschappelijk term is truth bias, de neiging ervan uit te gaan dat dingen kloppen. Dat is heel handig in het dagelijks verkeer, zonder een beetje vertrouwen red je het niet, maar het maakt mensen ook kwetsbaar.’

Consumenten laten veelvuldig hun gegevens achter op internet, waardoor ze gemakkelijk te benaderen zijn door criminelen, legt ze uit. Ook academici die met mobiel nummer op de website van hun universiteit staan, zijn ‘vaak de klos’. Mensen zijn goed van vertrouwen en gevoelig voor verleidelijke aanbiedingen, blijkt uit onderzoek. ‘Heel veel mensen klikken op een bericht met ‘Gratis iPad, klik hier’.’ Oplichters kunnen via internet eenvoudig grote groepen bereiken, slechts een klein percentage hoeft te happen.

De voorlichting schiet nog tekort, vindt Junger. Haar universiteit ontwikkelde een anti-phishingtraining voor basisscholen waar kinderen enthousiast op reageerden. De training had ook resultaat: achteraf konden kinderen 14 procent beter phishingmails van echte mails onderscheiden. Toch lukte het nog niet de les bij veel scholen op het curriculum te krijgen, zegt de hoogleraar.

Hoe schade door phishing in een jaar tijd verviervoudigde – en hoe u het nog herkent

Terwijl schade door bankpasfraude het afgelopen jaar met 33 procent is gedaald, is schade door phishing ondanks een grootschalige anti-phishingcampagne verviervoudigd. Volgens Betaalvereniging Nederland, de branchevereniging voor het betalingsverkeer, maakten criminelen vorig jaar bijna 4 miljoen euro buit door phishingfraude bij internetbankieren. In 2017 was dat nog iets meer dan een miljoen. Vanwaar de explosieve toename?

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden