Opinie

Bonken en swipen – de bankapp is allang niet meer veilig

De Rechtsstaat

Over een week weet ik hoe de rechtbank denkt over het duo M. en O., die voor ‘phishing’ werden berecht. Het op slinkse wijze toegang krijgen tot bankrekeningen via internet en die dan leegplukken. Ik zat vorige week in de rechtbank Noord-Holland bij een zaak die voor de rechter al routine is. Online fraude stijgt zo hard dat het de jarenlange trend van dalende criminaliteit heeft gekeerd. Vorig jaar rapporteerde de politie een stijging van 65.800 naar 85.540 aangiften, ofwel een plus van 30 procent. Toenmalig politiechef Akerboom spotte in het AD dat verdachten die nog gewoon inbreken ‘sukkels’ zijn. „Onlinefraude zoals op Marktplaats is veel makkelijker en de pakkans kleiner”.

Dat sentiment was ook in de rechtbank voelbaar. Phishing is het nieuwe autoruitje tikken. Weinigen doen maar aangifte. In deze zaak telde de recherche in een weekje telefoon tappen 119 pogingen, waarvan niemand de politie belde. De officier legde in z’n requisitoir uit dat de recherche met phishing „aan de grenzen komt van wat ze kan”. Het digitaal verwerken van de excelsheets van de gedupeerde banken voor de justitiële automatisering lukt meestal niet – om van het rechercheren van het weggesluisde geld naar bitcoin-rekeningen of buitenlandse bankapps maar te zwijgen. Volgens de Vereniging van Banken was in 2019 de schade bijna 8 miljoen, een verdubbeling ten opzichte van 2018.

Dat het duo M. en O. werd gepakt kwam vooral omdat de smartphone die ze gebruikten voluit ‘iPhonevanO.’ heette. En het IP-adres z’n thuisadres was. Het zijn niet de slimsten die de rechter ziet. M. had foto’s van bankpasjes van handlangers, die het geld hielpen witwassen. Beiden waren lid van een appgroep die ScamScam heette, waarin het nogal eens over phishing ging. Ze bedreven hun fraude vanaf een hotelkamer. Daar had de beheerder al vastgesteld dat er ‘gephished’ werd. Maar de juiste kamer was nog niet gevonden, tot de recherche zich meldde, op verzoek van ING.

Tegen het tweetal eiste de officier 24 en 21 maanden, met de coronacrisis als strafverzwarende omstandigheid. De mannen maakten potentiële slachtoffers wijs dat corona het nodig maakte hun passen of codes in te leveren. De Vereniging van Banken kent gevallen waarin ‘antibacteriële’ bankpassen worden beloofd, als de klant z’n pas maar meegeeft aan de koerier. O. had zo’n koerierspak in de kast hangen.

Iedere crisis produceert z’n eigen type criminaliteit – na de kredietcrisis van 2008 vielen er beleggingsfraudeurs en piramidespellen uit de kast. Zoiets zal ook post-lockdown gebeuren, vermoed ik. Ik reken op coronasteunfraude. Maar ook veel phishing, tikkie- of betaalverzoekfraude, nu zoveel burgers gedwongen digitaal zijn gaan consumeren. En het schijnt doodeenvoudig te zijn. De officier beschreef phishing als een bouwpakket dat via het platform Telegram makkelijk is te vinden. Inclusief software, instructies en handleidingen. Niks geen ‘darkweb’ of moeilijk vindbare Tor-netwerken. Een kind kan de was doen, mits voorzien van laptop, telefoon en een netwerk van katvangers en ‘pinners’ om het geld af te voeren. Handlangers zijn via Telegram te rekruteren. Dat Russische netwerk is in hoog tempo het platform voor criminele handel geworden, waar echt álles te bestellen is.

Vorig jaar verscheen een boeiend ‘netnografisch’ onderzoek over de ‘f-gamers’ op Telegram die ‘mapsen, swipen en bonken’. Straatjargon voor phishing, wat meteen duidelijk maakt dat dit dalend cultuurgoed is. De ‘game’ is fraude, mapsen is spammen, swipen is goederen online bestellen. En ‘bonken’ staat voor ‘geld gooien op een pas’. Waarna het veilig afgevoerd moet worden via ‘nippers’ – ofwel pinners, die ‘jobs’ krijgen van de bonkers. Onderzoeker Nahom Monshouwer keek vier maanden rond in vijf phishing-groepen op Telegram met zo’n zesduizend leden, soms per gemeente georganiseerd. Telegram, uw lokale digitale onderwereld annex marktplaats. In criminologentaal een ‘offender convergence setting’. Wat meteen de vraag oproept of er ook over wordt gedacht zo’n supermarkt voor gratis inbreekwerktuigen te sluiten? In de Tweede Kamer vind ik alleen een wetsontwerp dat de straf op phishing verhoogt van maximaal twee naar drie jaar, uitvloeisel van een Europese richtlijn. Maar ik houd de vinger aan de pols.

Folkert Jensma is juridisch commentator. Twitter: @folkertjensma