Online criminelen worden steeds slimmer. Uit onderzoek van de UT Twente blijkt dat 1 op de zes Nederlanders wel eens slachtoffer is geweest van online fraude. Het totale schadebedrag wordt geschat op 2,75 miljard euro per jaar. CEO-fraude, datingfraude en crypto- en investeringsfraude zijn succesvolle tactieken waarbij de schade vaak hoog is.
Fraude is zo oud als de mensheid. Digitalisering heeft het werkterrein van criminelen verder vergroot. Het biedt voor oplichters veel mogelijkheden om z’n palet aan trucs in te zetten. ‘Door de digitalisering kun je je makkelijker voordoen als iemand anders,’ vertelt veiligheidsadviseur Marco Doeland van de Nederlandse Vereniging van Banken. ‘Als je op straat wordt aangesproken door een vreemde, die zegt dat hij je kind is, in de problemen zit en snel 100 euro nodig heeft, is de kans heel klein dat je je portemonnee trekt. Doet een fraudeur dat via een appje, waarbij hij een foto van je dochter of zoon van het internet heeft gehaald, dan is de kans al een stuk groter dat je geld geeft.’
Uit de brand helpen
In de coronaperiode heeft social engineering, het misbruiken van menselijke eigenschappen zoals nieuwsgierigheid, vertrouwen, hebzucht, angst en onwetendheid, een hoge vlucht genomen. ‘In de fraudecijfers zien we de doorontwikkeling van social engineering,’ vertelt Doeland . Een van de oorzaken is dat het persoonlijke contact in de coronatijd veelal is vervangen door digitale communicatievormen. Hierdoor zagen de gezamenlijke banken de schade als gevolg van phishing en bankhelpdeskfraude sterk groeien, tot 61 miljoen euro in 2022.
De beveiliging van het betalingsverkeer is dermate goed, dat de het voor criminelen steeds lastiger is geworden om via phishing toegang te krijgen tot iemands betaalomgeving. De schade van deze fraudevorm daalt dan ook al jaren. Maar de schade van fraude waarbij het slachtoffer wordt verleid om zelf geld over te maken, zoals bij babbeltrucs en hulpvraagoplichting, neemt juist toe. Doeland legt uit: ‘Je doet het zelf; en als je zelf geld overboekt is het voor de bank lastig te herkennen dat het om fraude gaat.’
Fraudeurs zijn volleerde psychologen.
‘Ze maken gebruik van de zwaktes die je als mens hebt, zoals nieuwsgierigheid en vooral dat je mensen goed wilt helpen. Criminelen spelen geraffineerd in op de emotie,’ aldus Doeland. Bijvoorbeeld door een financiële noodsituatie te creëren, waarbij je wordt gevraagd een bekende uit de brand te helpen. Het is niet de enige achilleshiel waar criminelen op inspelen. Fraudeurs weten behoorlijk goed hoe de mens in elkaar zit en hoe het brein functioneert. Doeland legt het uit aan de hand van een voorbeeld: ‘Bij autorijden doe je als ervaren rijder heel veel dingen op de automatische piloot, waarbij je niet bewust keuzes maakt in wat je wel en niet doet.’ Datzelfde geldt voor de smartphone: ‘Je maakt net zo gemakkelijk geld over als je een appje verstuurt. Dat gebruiksgemak willen we ook met z’n allen, denk aan het versturen van een betaalverzoek naar vrienden. Maar het risico is ook dat je snel iets doet wat je beter niet had kunnen doen.’ Betalen moet altijd een bewuste keuze zijn en doe je niet op de automatische piloot. Check of de ontvanger echt is wie dit zegt dat die die is want met name het ontbreken van goede klantidentificatie op social media en handelsplatformen leidt tot veel fraude.
Banken hebben allerlei maatregelen om kans op schade te verkleinen, zoals de naam/nummercontrole die een paar jaar terug is ingevoerd. Doeland: ‘Dat helpt om te signaleren of de rekening klopt met de tenaamstelling. Maar het is niet zo dat het de overboeking blokkeert als de tenaamstelling niet overeenkomt. Met name bij factuurfraude zien we dat die waarschuwing goed werkt.’ Voor buitenlandse IBAN’s wordt de controle binnen een aantal jaren verwacht.
CEO-fraude
Niet alleen particulieren, maar ook bedrijven hebben in toenemende mate te maken met fraude, in de vorm van CEO-fraude. Daarbij doet een crimineel alsof hij de CEO is en een medewerker van de financiële afdeling opdracht geeft om een bedrag over te maken. ‘Het kan om hoge bedragen gaan.’ De oplichting wordt goed voorbereid. ‘De crimineel probeert er bijvoorbeeld via LinkedIn achter te komen wie nieuw op de financiële afdeling werkt. De tone-of-voice binnen het bedrijf wordt gekopieerd en de crimineel bootst het e-mail bericht van de echte CEO na. Vaak wordt op een dwingende toon opdracht gegeven dat het geld snel moet worden overgemaakt. De CEO is “niet bereikbaar” en het is niet de bedoeling dat je de opdracht met collega’s overlegt. ‘Als de afstand in de hiërarchie groot is, zal de medewerker zich onder druk gezet om de opdracht uit te voeren, vertelt Doeland. ‘Zeker bij een nieuwe medewerker.’
Om te voorkomen dat je als bedrijf slachtoffer wordt van CEO-fraude, adviseert hij het twee paar ogenprincipe en duidelijke afspraken te hanteren, bijvoorbeeld wie betaalgegevens mag wijzigen. En zorg dat er een cultuur is, waarbij je ongebruikelijke e-mailopdrachten even checkt bij je collega. Als iets direct of snel moet, is dat een duidelijke ‘rode vlag’ en moet jezelf afvragen of het wel klopt.’ Onze eerstvolgende podcast (zie onder), over CEO-Fraude gaat specifiek over dit thema. Je wordt meegenomen hoe het in zijn werk gaat’.
Het komt bovenop al meer bekende bedreigingen, zoals ransomeware, waarbij het systeem wordt gehackt. Alleen met het betalen van losgeld, vaak in bitcoins of andere valuta, krijg het bedrijf weer de beschikking over de data. ‘Back-ups, virusprogramma’s en het bijhouden van softwareupdates verkleinen het risico. Het Digital Trust Center, organisatie van de overheid die ondernemers helpt met veilig digitaal ondernemen, is een goede informatiebron voor het mkb om te checken hoe je veel ellende kunt voorkomen.’
Cryptofraude
Met de campagne “Frauderen. Zo werkt het!” proberen de gezamenlijke banken de alertheid voor fraude te vergroten. ‘We hebben inmiddels twaalf lessen, waarin je leert hoe criminelen bij verschillende fraudevormen te werk gaan, bijvoorbeeld bij crypto- en investeringsfraude.’ Bij investeringsfraude worden slachtoffers getriggerd met de belofte dat je snel geld kunt verdienen, bijvoorbeeld via Instagram of een ander social mediakanaal. Vervolgens ga je naar de website van zo’n fraudeur en maak je een account aan en geld over. ‘Als je geluk hebt, blijft het daarbij en gaat de website uit de lucht en ben je je geld kwijt’, vertelt Doeland. ‘Er zijn ook varianten waarbij een complete nepwebsite wordt gebouwd waarop het lijkt alsof je vermogen hard groeit. Dat overtuigt je weer om nog meer geld te storten. Pas als je je geld of winst wilt opnemen, klapt de boel.’ Hij waarschuwt mensen om vooral voorzichtig te zijn. ‘Ik zie nog te vaak dat het niet goed gaat bij winsten die te mooi zijn om waar te zijn. Bij cryptofraude gaat het bijvoorbeeld om munten die worden gehypet door influencers. ‘Je investeert in de crypto en vervolgens daalt de munt snel in waarde.’
Frauderen. Zo werkt het!
