U wilt iets verkopen via Marktplaats en een geïnteresseerde koper vraagt of u eerst via een betaalverzoek één cent kunt overmaken, zogenaamd om uw betrouwbaarheid als verkoper te controleren. Wees voorzichtig: dit ‘onschuldige’ verzoek kan u zomaar duizenden euro’s kosten.
Geld overmaken naar anderen is door populaire apps als Tikkie een fluitje van een cent geworden. Helaas hebben ook internetoplichters de voordelen van deze nieuwe betaalmogelijkheden ontdekt.
Vals betaalverzoek
Op verkoopsites als Marktplaats doen oplichters zich voor als potentiële kopers die geïnteresseerd zijn in uw product. Voordat ze u willen betalen, hebben ze echter nog wel een verzoek. Of u misschien eerst één cent kunt overmaken om te controleren of u wel te vertrouwen bent: ‘Er lopen immers zoveel fraudeurs rond op het internet’. Bij het klikken op de link, wordt u naar een valse website geleid die lijkt op die van uw bank. Zodra u daar uw gegevens invult, kunnen de oplichters met gemak bij uw rekening.
Variant van phishing
Fraude via betaalverzoeken is een nieuwe variant van phishing. Bij phishing worden persoonlijke gegevens ontfutseld met behulp van valse websites. Dit kan via een betaalverzoek, maar ook via SMS, e-mail of WhatsApp. Wat het herkennen van betaalverzoekfraude en andere vormen van phishing zo lastig maakt, is dat de berichten en valse meegestuurde linkjes vaak nauwelijks van echt te onderscheiden zijn. Daarnaast weten oplichters zich vaak geloofwaardig op te stellen als serieuze kopers of betaalinstanties.
Slachtoffer van betaalverzoekfraude
Zo werd in maart 2018 een vrouw het slachtoffer van betaalverzoekfraude via Marktplaats. Na het plaatsen van een armband op deze site, komt ze al snel in aanraking met een geïnteresseerde koopster. Ook deze zogenaamde koopster vraagt om één cent over te maken. Pas nadat de bank belt dat er ruim 1000 euro van haar rekening is afgeschreven, begrijpt ze dat ze slachtoffer is geworden van internetoplichting.
Geld overmaken? Niet doen!
Onthoud goed: u hoeft zich als verkoper nooit te bewijzen, ook niet door slechts één cent over te maken. Fleur van Eck van de Fraudehelpdesk vertelde in één van onze uitzendingen: “Met een volledig onbekende partij zakendoen die u vraagt om één cent over te maken, dan moet je meteen al denken: hoezo? En zeker als er een link wordt gestuurd, of het nou via de app is of de mail, dat maakt niet uit. Geen zaken mee doen.”
Met een volledig onbekende partij zakendoen die u vraagt om één cent over te maken, dan moet je meteen al denken: hoezo?
Fleur van Eck, Fraudehelpdesk
Wees alert: herken fraude
Voorkomen is beter dan genezen. Slachtofferhulp Nederland deelt een aantal andere tips om betaalverzoekfraude te herkennen. Het enige officiele webadres van Tikkie is tikkie.me. Zo is het verstandig om altijd het webadres van de betaallink te controleren wanneer u een betaalverzoek ontvangt. Daarnaast heeft de politie een handige zoekmachine om te controleren of er (negatieve) meldingen zijn gedaan over een bepaalde (ver)koper.
Niet uw schuld, wel uw probleem
Slachtofferhulp Nederland lanceerde eerder een campagne over internetoplichting. Want naast financiële schade, kan er ook stress ontstaan. Slachtofferhulp Nederland helpt onder andere bij het krijgen van een schadevergoeding.
Waarschuwing: actuele vormen van fraude via SMS en apps
Phishing is niet hetzelfde als hacking. Het is een vorm van internetfraude waarbij criminelen door middel van trucs en creatieve methodes – zoals telefoontjes, namaak e-mails en andere vormen van social engineering – proberen om je verleiden tot het prijsgeven van informatie of het uitvoeren van financiële transacties.
We denken bij phishing vooral aan verdachte e-mails, maar ook via sociale media en berichten op je smartphone is deze vorm van oplichting veelvoorkomend. In die laatste categorie zijn er de afgelopen maanden in Nederland diverse nieuwe tactieken opgedoken, waarbij consumenten via onder andere SMS, WhatsApp en de zogeheten Tikkie-truc zijn gedupeerd. We nemen er een aantal met je door.
Tikkie-truc
Zes mannen zijn aangehouden op verdenking van oplichting door middel van het versturen van nep-Tikkies. Dat heeft Politie Noord-Nederland vandaag laten weten. Ze zouden in totaal bijna 100.000 euro buitgemaakt hebben door namaakberichten van de populaire betaalapp in te zetten, waarbij in totaal 375 mensen zijn opgelicht.
Bij de Tikkie-truc worden verkopers op Marktplaats benaderd door criminelen die zich als koper voordoen. Bij een van de varianten stuurde de oplichter(s) de nietsvermoedende verkoper een linkje dat lijkt op het adres van betaalapp Tikkie. Bij de echte app is de URL Tikkie.me en niet Eventikke.nl/tikkie.me zoals in een voorbeeld van de Fraudehelpdesk (inmiddels offline). Gedupeerden werd vervolgens gevraagd om via de app een bedrag van 1 cent over te maken, waarbij de gebruikte link naar een nepsite leidde waarmee de oplichter toegang kon krijgen tot het rekeningnummer van het slachtoffer.
De belangrijkste tip is daarom: kijk altijd goed naar de link, want deze truc staat of valt bij het goed opletten op de URL. De politie vult aan: “Klik nooit op een link die je via WhatsApp, mail of sms krijgt van iemand die je niet kent! Dat is het belangrijkste advies dat we kunnen geven in deze fraudezaak.”
Bij ING zijn in de eerste helft van 2019 ruim duizend klanten op een vergelijkbare wijze gedupeerd geraakt. Bij hen was via ‘Mijn ING’ illegaal toegang verkregen tot hun bankrekeningen. Klanten hadden zonder dat ze dat door hadden via een nagemaakte Tikkie-omgeving toegang gegeven tot hun eigen bankrekening. Door preventief handelen wist de bank bij een groot aantal klanten schade te voorkomen door transacties bij deze klanten te pauzeren. ING wist hiermee ruim 300.000 euro aan schade te voorkomen. Bij 375 klanten slaagden de illegale transacties dus wel. De bank heeft aangifte gedaan van deze frauduleuze transacties.
Het gevaar van het exacte voorbeeld hierboven lijkt met de recente aanhouding geweken, maar er duiken ongetwijfeld vergelijkbare varianten op de komende tijd.
Nep-SMS vanuit banken
Oplichting via SMS’jes vanuit vertrouwde financiële instellingen en dienstverleners zoals je bank of verzekeraar blijven ook populair. Aan de enorme hoeveelheid valse berichtjes die bij de Fraudehelpdesk gemeld worden is ook deze week weer een nieuwe toegevoegd, zogenaamd afkomstig van een bekende bank.
In het bericht staat dat er een overschrijving van 354 euro geaccepteerd zou zijn. Om de overboeking te annuleren, dien je via een meegestuurde link in te loggen. De link leid je naar een neb-website die sterk lijkt op het domein van de bank, maar als je hier inlogt en de code intoetst om een betaling tegen te houden, belandt de informatie bij de oplichters die vervolgens in kunnen loggen op de echte website en zo geld weg kunnen sluizen.
Een tweede variant die veel opduikt, is een SMS’je dat vanuit ING verzonden lijkt te zijn en bericht over een update van de app. Berichtjes van de bank zelf komen echter van afzender ‘ING’ en bevatten nooit een link. Deze variant is afkomstig van variërende 06-nummers en luidt: “Beste ING klant, download nu de nieuwe ING app met vernieuwde certificaten en maak de blits. Log in op Mijn ING en volg deze stappen [linkje weggelaten].” De hier bewust weggelaten link voert naar een onbetrouwbare website. ING is op de hoogte van deze vorm van oplichting.
Nep-SMS’jes van CJIB over openstaande vordering
Tot slot kreeg de Fraudehelpdesk deze week veel reacties op pogingen van SMS-fraude vanuit het Centraal Justitieel Incasso Bureau (CJIB). Er zou volgens deze berichtjes sprake zijn van een openstaande vordering. Met de opmerking “betaal vandaag via iDeal” proberen de oplichters een bedrag van 332,84 euro te incasseren.
De Fraudehelpdesk laat weten dat het echte CJIB mensen nooit per SMS over openstaande boetes benadert. Dat geldt ook voor andere vormen van digitale communicatie. CJIB: “Maakt u zich geen zorgen. Dit is altijd een bericht van oplichters. Het CJIB mailt, sms-t of WhatsAppt u nooit over een boete, aanmaning of betalingsachterstand.”
Lees ook:
Fraude via Tikkie steeds populairder onder criminelen: dit kun je er zelf tegen doen
Criminelen maken steeds vaker gebruik van terugbetaal-app Tikkie om slachtoffers geld afhandig te maken. Hoe werkt deze vorm van beroving en hoe gaan de criminelen te werk? Uit de laatste cijfers van bedenker ABN Amro blijkt dat ruim twee miljoen Nederlanders betalen via Tikkie. De app is daarmee een interessant doelwit geworden voor internetcriminelen die een neppe versie van de app inzetten om hun slachtoffers te beduvelen. Lees ook: Diverse betalingsapps gebruikt voor fraude De berovingen vinden vooral plaats via handelswebsite Marktplaats. Een crimineel doet zich voor als een geïnteresseerde koper en vraagt de verkoper om zijn bankgegevens, zodat het verschuldigde bedrag kan worden overgemaakt. Vervolgens stelt de crimineel zich kwetsbaar op en vraagt hij of de verkoper 1 eurocent naar hem zou kunnen overmaken, zodat hij zeker weet dat de betaling voor zijn aankoop bij de juiste persoon terechtkomt.
Neppe betaallink
Stemt de verkoper hiermee in, dan ontvangt hij een WhatsApp-bericht met een betaallink. De betaallink is nep en leidt naar een nagemaakte Tikkie-omgeving, waar het slachtoffer zijn bankrekening en pincode opgeeft. Vanaf dat moment heeft de crimineel alle benodigde gegevens om de rekening van de verkoper leeg te trekken.
Tips:
- Let erop dat ‘tikkie.me’ in het linkadres staat. Criminelen gebruiken namelijk nep-adressen, zoals tlkkie.nl (met een L in plaats van een i)
- Al klinkt het betrouwbaar, maak nooit zomaar 1 cent over naar iemand die je niet kent
- Check of er een ‘slotje’ wordt getoond in de adresbalk. Dit geeft aan of de site een geldig beveiligingscertificaat heeft. Controleer ook of het websiteadres klopt (https://tikkie.me)
- Doe altijd aangifte als je het slachtoffer bent geworden van (internet)oplichting
- Een open deur, maar nooit verkeerd om te benadrukken: geef nooit zomaar je pincode af!
Iemand die op deze manier slachtoffer werd van oplichting is Ed Roovers uit Hoofddorp. Hem werden op deze manier duizenden euro’s afhandig gemaakt. Zijn verhaal, dat eerder te zien was in Hart van Nederland, zie je hierboven.
Privacylek bij Tikkie: IBAN-nummers gebruikers in te zien
De populaire betaal-app Tikkie biedt de mogelijkheid om geld over te boeken naar andere Tikkie-gebruikers op basis van hun 06-nummer. Daardoor was het mogelijk om de IBAN-nummers van vele nietsvermoedende Tikkie-gebruikers te achterhalen, met het gevaar voor identiteitsfraude en phishing.
Dat blijkt uit onderzoek van RTL Nieuws. ABN Amro bevestigt de kwetsbaarheid en heeft de nieuwe functie, Tikkie Pay, tijdelijk offline gehaald. “Bedankt voor de oplettendheid”, aldus de woordvoerder.
IBAN-nummers
Tikkie, dat 4 miljoen gebruikers heeft, toonde met zijn nieuwe functie alle gebruikers uit jouw contactenlijst die hun 06-nummer aan Tikkie hebben gekoppeld. Je kon op een naam drukken, vervolgens een bedrag overmaken en net voor de overboeking de Tikkie annuleren. In de omschrijving van de overboeking zag je dan het IBAN-nummer van de ontvanger, zonder dat diegene daar weet van heeft.
Zo ziet overboeken naar een Tikkie-gebruiker eruit.
© RTL Nieuws
Je rekeningnummer is een uniek nummer dat alleen aan jou gekoppeld is, en het wordt vaak door bedrijven gebruikt om telefonisch je identiteit te controleren. Het is daarom belangrijk om je IBAN-nummer goed te beschermen, stelt Dave Maasland van cybersecuritybedrijf ESET Nederland: “Ik snap de gebruiksvriendelijkheid van deze functie, maar het is een risico om het IBAN-nummer op deze manier op grote schaal vrij te geven.”
Naast het gevaar van identiteitsfraude waarschuwt Maasland ook voor phishing. Doordat een cybercrimineel jouw IBAN-nummer weet, kan diegene jou gerichte en ‘zeer geloofwaardige’ phishingaanvallen sturen. De criminelen sturen dan bijvoorbeeld een e-mail of sms met daarin jouw rekeningnummer en de vraag of je een betaling wilt goedkeuren. De link leidt vervolgens naar een phishingwebsite waarmee criminelen grote geldbedragen van je rekening halen.
ABN Amro
ABN Amro heeft de functie na melding van RTL Nieuws direct offline gehaald en bespreekt momenteel de situatie. Het doel is om Tikkie Pay nog wel te lanceren, maar op een manier dat het niet de privacy van gebruikers in het geding brengt. Het is nog niet bekend wanneer en op welke manier Tikkie Pay terugkomt.
Het lek wordt uit voorzorg gemeld bij de Autoriteit Persoonsgegevens, bevestigt ABN Amro. De situatie is voor hen een ‘serieuze bezorgdheid’. 100.000 mensen hadden volgens de bank toegang tot de functie, en er zou minder dan 1000 keer gebruik van zijn gemaakt.