Het domste blondje van Nederland

Ze schaamt zich rot. Zo erg, dat ze niet met haar naam in de krant wil. Zelfs de naam van haar bank moet geheim blijven. Een hoogopgeleide vrouw van middelbare leeftijd laat haar bankrekening plunderen en verliest ruim 25.000 euro.

Alle overheidscampagnes en waarschuwingen van de bank ten spijt trapte ze in een phishingtruc. Cybercriminelen hengelden naar haar bankgegevens. En ze hadden beet.

Stom-stom-stom.

Na een e-mail met logo van eigen bank en meerdere telefoontjes onder werktijd werd ze ’s avonds gebeld. Een beleefde dame belde op om een beveiligingsprocedure te testen. Ze liet zich geruststellen omdat degene die belde ‘in het systeem’ zat en rekeningnummers en namen van rekeninghouders wist. Een dag later belde de Echte Bank om te zeggen dat er een verdachte transactie had plaatsgevonden. „Ik wist meteen dat ik erin geluisd was. Ik voelde me het domste blondje van Nederland.”

Er waren twee bedragen van haar rekening gehaald, samen meer dan 25 mille. Dag, spaargeld voor een wereldreis. De bank vergoedt de schade niet; wie via de telefoon inlogcodes weggeeft wordt beschouwd als een klant die de veiligheidsvoorschriften niet naleeft. Eigen schuld, dus.

Vaak wordt gestolen geld weggesluisd via geldezels, mensen die hun bankrekening (onbewust) uitlenen aan criminelen. Deze keer ging het gewiekster.

Precies op het moment dat de vrouw gebeld wordt door de nep-bank, koopt een handlanger van de phishers een horloge van meer dan 5.000 euro via Marktplaats. Zodra de vrouw haar codes prijsgeeft, rekent de handlanger af met een bankoverschrijving die in werkelijkheid van het phishingslachtoffer komt. Hij loopt met het horloge de deur uit.

Dit is Zwendel 2.0; een gecoördineerde actie waarbij de cybercrimineel slachtoffers op twee plaatsen tegelijk maakt. Het phishingslachtoffer wil namelijk via de rechter geld terugvorderen bij de horlogeverkoper. Al handelde die persoon te goeder trouw, er is geld betaald „waarvoor geen goederen geleverd zijn”. Dat zegt haar advocaat. Het is de vraag of de rechter het daar mee eens is.

Een andere Marktplaatsverkoper die voor twintig mille aan sieraden verhandelde, kreeg tijdig argwaan en weigerde de deal. De koper wilde per se zaken doen via dezelfde bank (dan is het geld meteen overgemaakt) en onderhandelde niet over de prijs. Dat is verdacht. De bank kon die overboeking terugschroeven en 20.000 euro staat weer op haar rekening. „Dat voelt bijna als een cadeautje.”

Volgens Betaalvereniging Nederland kun je niet van een verkoper verwachten dat hij de identiteit van de koper controleert. Er is wel een zwarte lijst van verdachte rekeningnummers (MIO-check op mijnpolitie.nl) maar daar vallen de phishingslachtoffers niet onder. Gezond verstand is een goede raadgever: al te mooie Marktplaats-deals moet je wantrouwen.

Kijk ook op veiligbankieren.nl – Geheimen van online zelfverdediging door Dr. Marc (geel trainingsjack, geen familie). Mede dankzij deze campagne daalde de schade door fraude met internetbankieren tot minder dan tien miljoen euro in de eerste helft van 2014. Onwetende gebruikers vormen de grootste risicofactor: een bank belt niet en vraagt zeker niet om inlogcodes.

Banken zijn zelf ook slimmer geworden. Hun software herkent sneller verdachte betalingen – helaas vaak achteraf – en betalingen in en naar het buitenland worden strenger gefilterd. Nog een tip: controleer je overboekingslimiet voor internetbankieren. Die staat bijvoorbeeld bij Rabobank standaard op 50.000 euro. Dat is vragen om problemen. Of om een telefoontje van een medewerkster die even de nieuwe beveiligingsprocedure wil testen.