Bron: Brabantsdagblad
SLACHTOFFER CYBERCRIME
Klassieke bankovervallen zijn er niet meer, maar helemaal veilig is het banksaldo niet in de digitale kluis. Bij duizenden Nederlanders werd de bankrekening dit jaar digitaal geplunderd. Oplichters worden steeds geraffineerder en weten precies waar de zwakke plekken zitten bij de bank én bij de klant. ,,Mijn Triodosrekening was binnen een kwartier leeg.’’
Sonja Bartels uit Utrecht (niet haar echte naam) kreeg op 3 april om 07.29 uur een sms’je van het RIVM. Er waren voor mensen in de zorg een ‘beperkt aantal zorgpakketten’ tegen corona te bestellen. Nederland zat in de derde week van de lockdown en er was een tekort aan beschermingsmiddelen zoals mondkapjes. Sonja is hulpverlener. ,,We hadden die week op het werk juist veel discussie wie wel en wie geen beschermingsmiddelen tegen corona nodig had. Het sms’je kwam binnen op haar werktelefoon. Zelf had ze geen beschermingsmiddelen nodig, maar haar schoonzus die in de thuiszorg werkt zou er blij mee zijn.
Later die ochtend klikt ze op de link in de sms en die leidt naar de site van het RIVM. Zo lijkt het tenminste. In werkelijkheid is corona-rivm.com opgetuigd via een webhosting-bedrijf in Kuala Lumpur in Maleisië. De vormgeving is identiek aan die van het RIVM en er zijn ook iDeal-inlogportalen van elf Nederlandse banken nagemaakt op de site van de oplichters. Tientallen mensen krijgen de sms. Sommigen bellen de politie, het echte RIVM waarschuwt later voor de nepsite. Kort na de fraude verdwijnt de site weer.
Foutmelding
,,Ik probeerde op de site te bestellen via iDeal van de Rabobank. Het ging om een klein bedrag, 5 euro ofzo. Ik kreeg een foutmelding. Zal wel een storing bij de Rabo zijn, dacht ik. Ik klikte toen Triodos aan als mijn bank en toen kwam ik in de betaalomgeving van Triodos. Je kon maar één pakket per keer bestellen. Ik deed een aantal pogingen maar het lukte niet. Later op de ochtend probeerde ik het weer, het lukte weer niet.’’
Bij de crimineel achter de frauduleuze site in Maleisië ging het echter fantastisch. De iDealcodes die Sonja genereert met de Identifier – het internetbankierenapparaatje van Triodos – waren genoeg om de Triodosapp met haar gegevens op twee telefoons te activeren, zo blijkt uit data van de bank. Sonja’s betaalrekening én spaarrekening waren om 10.46 uur van hem.
De bank krijgt geen argwaan. Triodos stuurt een mailtje naar Sonja waarin staat dat de app succesvol was geactiveerd. Meteen begint de oplichter met overboeken. Hij sluist eerst 12.800 euro van de spaarrekening naar de betaalrekening. Hij heeft haast want als Sonja de mail ziet loopt hij tegen de lamp. Hij weet wat hij doet, de overschrijvingen blijven onder de 5000 euro (boven dat bedrag zijn er extra veiligheidschecks vanuit de bank) en hij gebruikt meerdere tegenrekeningen.
De oplichter heeft in 20 minuten 13.250 euro weggesluisd naar tegenrekeningen bij ING
Om 10.58 uur krijgt Sonja wéér een mail van Triodos: ‘U heeft zojuist de Triodos Bankieren-app succesvol geactiveerd. Nu kunt u overal gemakkelijk en snel uw saldo bekijken of een overboeking doen. Uniek is dat u ook in de app kunt zien welke projecten en ondernemers door Triodos Bank gefinancierd worden bij u in de buurt. Heeft u de Triodos Bankieren-app niet zelf geactiveerd en vermoedt u misbruik? Blokkeer dan direct de toegang van de app via uw Triodos Internet Bankieren. Neem direct contact op met de mensen van Triodos Bank.’
Alarmbellen
Bij Triodos gaan de alarmbellen niet rinkelen als ‘Sonja’ binnen een kwartier op twee telefoons haar Triodos-app activeert en de crimineel 13.250 euro overboekt. Sonja ziet de e-mails waarin staat dat zij twee apps heeft geactiveerd pas later.
Om 11.06 uur is de oplichter klaar. In drie porties is het geld weggesluisd. Hij laat wat kleingeld op de rekening achter. Sonja is het spaargeld voor de droomreis – ‘ik wilde mijn man verrassen met een reis naar het noorderlicht’- voor haar 10-jarige huwelijk volledig kwijt. De oplichter heeft in 20 minuten 13.250 euro weggesluisd naar tegenrekeningen bij ING. Die zijn luttele minuten later ook weer leeg. Het geld is spoorloos.
’s Middags als Sonja iets anders wil betalen, ziet ze wat er is gebeurd. In paniek belt ze Triodos en ze doet aangifte bij de politie. Triodos onderzoekt de fraude ook. Pas twee maanden later krijgt ze uitsluitsel van de bank: eigen fout, we vergoeden niks. ‘Hoewel we van mening zijn dat u in deze situatie geen verkeerde intentie heeft gehad, heeft u wel met de oplichters meegewerkt door op de link te klikken en daarna uw persoonlijke codes te verstrekken’, mailt de bank. Ze had maar moeten controleren of de site van het RIVM echt was.
Noodkreet
Een schriftelijke noodkreet naar de topman van Triodos levert niets op. ‘Wanneer de app op deze wijze wordt geregistreerd, mag de bank ervan uitgaan dat u zelf de app heeft geregistreerd. Na registratie gelden voor de fraudeur dus dezelfde mogelijkheden en beperkingen als voor iedere andere appgebruiker’, schrijft Triodosdirecteur Matthijs Bierman aan Sonja. Het kán wel veiliger, schrijft hij, maar dat wil Triodos niet. ‘Hoewel extra blokkades en beperkingen het lastiger zouden kunnen maken voor criminelen, wordt daarmee het gebruik van de app ook onpraktisch.’ Sonja heeft zelf een ‘onaanvaardbaar risico’ genomen, stelt Bierman, Triodos treft geen blaam. Het leek de hele tijd gewoon of ik in de iDeal-omgeving zat.
Sonja is woest en snapt niet waarom de truc – het installeren van een tweede app – bij de Rabobank niet lukte en bij Triodos wél. ,,Blijkbaar is de beveiliging bij Rabobank wél op orde. Triodos heeft de mond vol over duurzaamheid en mensen op de eerste plaats, maar het is gewoon een commerciële bank die aan zichzelf denkt als je als klant in de problemen komt. Ik mis de verantwoordelijkheid van Triodos, waarom is er geen signaal gekomen toen in een keer zulke grote bedragen werden afgeschreven? Wij betalen toch voor veilige banksystemen?’’
Grote verschillen
Banken zijn schimmig over de beveiliging; criminelen lezen immers mee. Maar er zijn grote verschillen tussen banken. Een test bij de Rabobank laat een heel andere procedure zien dan bij Triodos. Bij het activeren van een tweede app is de Raboscanner – een veel verfijnder apparaat dan de Identifier van Triodos – nodig en die meldt live in het beeldscherm dat er is begonnen met de activatie van een tweede app en meteen na activatie volgt er een sms waarin staat dat de app is geactiveerd. Triodos doet dat via e-mail, de mails die Sonja te laat zag. ,,Bij Triodos was de crimineel dus bezig met de activatie van mijn app, maar het leek de hele tijd gewoon of ik in de iDeal-omgeving zat.’’
Triodos zegt dat de beveiliging van de installatie van een tweede app veilig genoeg is en wijst alle aansprakelijkheid af. ‘Wij zijn niet van mening dat ons monitoringsysteem (mede)verantwoordelijk is voor het slagen van deze oplichting’, schrijft Triodos aan Sonja.
Dat de waarschuwing dat er een nieuwe app is geactiveerd op een andere telefoon via een e-mail en niet via een directe sms gaat, is ‘een keuze’ meldt de groene bank. Sonja kan naar haar geld fluiten, hoewel ze op papier wel recht heeft op een vergoeding. De regel is dat overboekingen, die niet door de cliënt zelf worden gedaan in beginsel worden vergoed door de bank, tenzij de bank kan aantonen dat het slachtoffer grof nalatig is geweest.
Sonja is geen klant meer bij Triodos.
Banken zeer terughoudend met info over beveiliging
Soms druppelt er informatie naar buiten dat de beveiliging bij banken niet geheel waterdicht is. ING Bank bijvoorbeeld heeft in het voorjaar de activatie van een tweede app via een QR-code gestopt; het systeem was te kraken en ING behandelt de installatie van een tweede app sindsdien alsof het de eerste app betreft. ASN Bank is zelfs bij de aanschaf van een nieuwe telefoon meedogenloos voor de cliënt. De app werkt pas op het nieuwe apparaat als er twee codes los van elkaar via de post worden bezorgd. Niet heel klantvriendelijk, wél veilig.
De Consumentenbond heeft geen zicht op de beveiliging van afzonderlijke banken, zegt Joyce Donat. Waar je geld het veiligst is, weten alleen de banken zelf. ,,Er zou geen verschil moeten zijn tussen de veiligheid van de ene en de andere bank. Banken moeten wel doordrongen zijn van de risico’s van oplichting en daar hun klanten zo goed mogelijk tegen beschermen. En er moet één lijn worden getrokken in het vergoeden van oplichting. Rabo geeft het goede voorbeeld. Vergoeden, tenzij je overduidelijk kan weten dat het niet in de haak is.’’