Fraude

Hoe werkt online oplichting?

We lezen de afgelopen tijd regelmatig over ceo-fraude, WhatsApp-fraude, telefoon-spoofing, phishing mails, en zo nog heel wat voorbeelden. Zeker sinds corona schijnt dat een ding te zijn. Bijvoorbeeld omdat veel meer mensen thuis zijn gaan werken en het fysieke contact wegvalt.

Arnout van Kempen

Er is echter een tweede belangrijke oorzaak voor de toename. Tot voor kort waren phishing mails, uitnodigingen van Nigeriaanse prinsen en telefoontjes van Microsoft eenvoudig als oplichting te herkennen door het beroerde Nederlands. Dat Nederland relatief lang vrij is gebleven van massale online oplichters heeft veel te maken met ons beperkte taalgebied.

Dit leert twee dingen. Ten eerste dat het bij dit soort fraudes hooguit deels om online gaat, om techniek en voor een belangrijk deel om menselijke interactie, om taal. En ten tweede dat wat bij ons net tot wasdom begint te komen, in het Engelse taalgebied al lang veel groter moet zijn.

Afbeelding crimineel op laptopscherm

Natuurlijk is de techniek ook van belang. De generatie die is opgegroeid met internet en werkelijk geen benul heeft van wat zich onder de motorkap afspeelt is kwetsbaar. De generatie die geen gevoel heeft voor ‘computers’ eveneens.

De oplossing wordt vaak gevonden in vuistregels. Helaas zijn die vaak alleen echt begrijpelijk voor de bedenkers van die regels. Neem "wij sturen u nooit e-mails/sms" van een bank, die vervolgens allerlei marketing over je uitstort per e-mail of transacties terugmeldt via sms. Of, een prachtige die ik recent zag bij een online spellen-gigant: "Epic zal nooit om je wachtwoord vragen." Nee, behalve dan iedere keer dat je wilt inloggen.

Ik weet dat sommige mensen een beetje moe van me worden en van mijn gehamer op 'klooien met computers'. Maar wil je veilig zijn voor de technische kanten van oplichting, dan zal je toch serieus wat tijd moeten steken in het spelen met computers. Begrip ontwikkelen, waardoor je snapt dat het e-mailadres dat je ziet, iets anders kan zijn dan het echte adres van de afzender. Idem met telefoonnummers. Spoofing dus. Maar ook begrip ontwikkelen voor de diverse protocollen van internet, zoals http, ccs en VNC. Het helpt echt als je iets begrijpt van wat er zoal mogelijk is buiten de vertrouwde websites, Outlook-mail en Office365 in de cloud.

Menselijke factor

Maar oneindig veel belangrijker dan de techniek is de menselijke factor. Een vergelijking:

Stel je bent Jesse James, in het wilde westen van 1870. Je hebt je oog laten vallen op de lokale bank waar een kist goud in een kluis staat. Wat doe je, als de technische hacker van je tijd? Je schiet wat bewakers dood, plaatst dynamiet bij de kluisdeur, gaat er met het goud vandoor en wordt later opgehangen wegens moord. Het kan, maar het is een forse operatie die veel planning, resources en risico's met zich meebrengt.

'Oneindig veel belangrijker dan de techniek is de menselijke factor.'

Wat nu als je je omschoolt tot José Silva, de psychologische hacker? Je loopt als klant naar binnen. Geen probleem met de bewakers. Bij de balie weet je overtuigend te vertellen dat de kist in de kluis aan jou moet worden meegegeven. De medewerker van de bank helpt je met sjouwen en zet de kist in de kar die je klaar had staan. Je zwaait nog eens vriendelijk naar de bewaker en rijdt de ondergaande zon tegemoet.

Laten we eerlijk zijn, als u het anachronisme en het grapje over de Silva-methode hebt doorstaan, dan is toch glashelder dat de aanpak van Jesse gevaarlijker en lastiger is dan de aanpak van José. Natuurlijk zit er een addertje onder het gras: HOE krijgt die vermaledijde José het voor elkaar?

Welnu, dat leren we in de praktijk. De overbekende drie van dit moment:

  1. De rijke erfgenaam in Nigeria. Hier overtuigt José zijn slachtoffer er van dat hij hulp nodig heeft om een enorme erfenis uit Nigeria naar Europa te krijgen. Die hulp vraagt een kleine investering van het slachtoffer, maar het is zonder risico en de beloning zal enorm zijn. U kunt denken dat niemand daar intrapt, maar met dank aan e-mail kan José vele duizenden tegelijk polsen en als slechts één procent er intrapt is het kassa voor José.
  2. De ceo-fraude. Dit keer doet José zich voor als de ceo van een bedrijf, die vanaf een ver adres ineens veel geld nodig heeft. Voor vakantie, voor een fantastische deal, noem maar op. De boekhouder krijgt opdracht dit geld over te maken, liefst met wat geheimhouding, want belangrijke deal, vertrouwelijk! Welke idioot trapt daar nu in? Nou. Wat José hier doet is niet de massale aanval met lage slagingskans. Dit keer zorgt José voor een zeer grondige voorbereiding. Hij bestudeert via afgetapte mailberichten het gedrag van de echte ceo, van de boekhouder etc. Wellicht neemt hij ook een kijkje in de administratie, de online contractenmap en wat al niet. En met al die informatie speelt hij een erg geloofwaardige ceo, op precies het juiste moment.
  3. De WhatsApp-fraude. Dit speelt in de privé-sfeer. Je krijgt een berichtje van een onbekend nummer, het nummer van José dus, met de mededeling dat het je zoon of dochter is die de eigen telefoon kwijt is. En oh ja, of je even een tikkie wilt betalen, want er moet een huisbaas of zo worden betaald, en wel onmiddellijk. Deze vorm van oplichting komt op dit moment zoveel voor dat de bekendheid te groot wordt. Het vergt van José enige voorbereiding, dus het lijkt er op dat we deze vorm langzaamaan wel gaan zien verminderen.

Een vorm die in Nederland nog niet erg lijkt aangeslagen te zijn is de Microsoft department from Los Angeles calling. Hier is het de bedoeling dat het slachtoffer gelooft dat er iets grondig mis is met de computer en José is de hulp die dat gaat oplossen. Dat kan door niets nuttigs te doen, dat er wel mooi uitziet voor mensen zonder kennis van techniek (zei daar iemand: leer eens klooien met computers?) en daar een pittige factuur voor te sturen. Maar nog beter werkt het door toegang te verkrijgen tot de online bankierenmogelijkheid die de meeste mensen wel hebben tegenwoordig.

Aardig is om hierbij op te merken dat het verhaal rondgaat dat online bankieren veel veiliger is dan het gebruik van een bankier-app op de telefoon. Een erg fijn verhaal voor José, want de werkelijkheid is exact omgekeerd.

Hoe dan ook, deze methode vergt in beide varianten veel telefonisch contact tussen José en zijn slachtoffer. Taal doet José op dit moment de das om. Maar reken er op dat José slim is, anders had hij wel James geheten en was hij met dynamiet in de weer. José leert Nederlands en snel ook.

Bewustwording

Waar staan we tot nu toe? Oplichters en fraudeurs hebben de digitale mogelijkheden ontdekt, dat staat vast. De aanvallen op uw bankrekening of die van uw bedrijf worden veelvuldiger, slimmer en moeilijker te doorzien.

Soms wordt u nog aangevallen door Jesse James. Allerlei deskundigen en bedrijven verkopen u daarom maar wat graag een nog betere kluisdeur, in de vorm van technische hoogstandjes. Zodra uw leverancier begint over hoe makkelijk wachtwoorden te raden zijn, weet u: dit gaat om verdediging tegen Jesse James. Moet gebeuren, maar is echt niet meer de crimineel van niveau.

'Oplichters en fraudeurs hebben de digitale mogelijkheden ontdekt, dat staat vast.'

Waar u echt beducht op moet zijn is José Silva. En niet alleen uzelf, maar uw collega's, uw medewerkers, uw partners. En helaas, de meeste leveranciers bieden u hier niet veel meer dan nog meer anti-Jesse James-techniek en 'bewustwording'.

Ik ben een groot voorstander van bewustwording. Geen enkele grap daarover van mij. Ik heb me zelfs weten te bedwingen de term 'bewustzijnsverruimend' te gebruiken, zo serieus neem ik het.  Maar zoals ik niet geloof dat u echt ooit iets  van computers gaat  begrijpen door congressen te bezoeken of een flitsend seminar, maar alleen door zelf te gaan klooien met computers en te lezen van  de nerds en de liefhebbers, in plaats van de consultants en de salesmensen, zo geloof ik ook niet dat u uw bewustzijn kunt vergroten zonder zelf aan het werk te gaan. Lekker lui naar wat mooie sheets kijken gaat het niet worden in ieder geval. Wat dan wel?

'Lekker lui naar wat mooie sheets kijken gaat het niet worden in ieder geval.'

Jim Browning en Kitboga

Weet u nog wat ik zei over onze taalachterstand? Als u wilt weten wat er aan fraude en oplichting op ons af komt, als u uw bewustzijn wilt vergroten over hoe José werkt en hoe u of uw collega's daar met open ogen in gaan trappen, dan kunt u gebruikmaken van het feit dat de Angelsaksische wereld een paar jaar op ons vooruit loopt. Hoe doet u dat?

  1. Ga naar YouTube.
  2. Zoek op filmpjes van 'Jim Browning' en 'Kitboga'.
  3. Kijk naar de filmpjes van Browning en leer. De man ontrafelt tot in de kleinste details de werkwijze van, in zijn geval, met name oplichters uit India. Wat je uit zijn filmpjes leert is direct te vertalen naar wat in Nederland in opkomst is.
  4. Kijk naar de filmpjes van Kitboga en leer wat minder, maar lach er des te harder om. Deze man is wat minder bezig met het ontrafelen en zichtbaar maken en wat meer met het terugslaan naar oplichters; maar toch valt ook hier veel van te leren.

Het kan zijn dat u na een uurtje of vier verslaafd bent, maar het kan ook dat u in slaap dreigt te vallen. Bedenk dat leren een inspanning vraagt en kijk toch nog even verder. U zult merken dat de concepten die u ziet, de werkwijze van oplichters die u wordt getoond, meer doen voor uw bewustzijn dan welk peperduur congres ook.

Arnout van Kempen di CCO CISA is Senior manager Risk & Compliance bij Baker Tilly. Hij schrijft op persoonlijke titel. Hij is lid van de Commissie Financiële verslaggeving & Accountancy van de AFM en lid van de signaleringsraad van de NBA. Daarnaast is hij diaken van het bisdom 's-Hertogenbosch.

Gerelateerd

reacties

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.