Nog nooit vielen zoveel mensen te prooi aan phishing: ‘Dertig jaar lang was ik klant bij mijn bank, maar bij de eerste tegenslag lieten ze mij vallen’

2021 was het jaar van phishing: nooit eerder werden zoveel mensen het slachtoffer van onlinediefstallen, en nooit eerder werden ze op zo’n gesofisticeerde manier in de luren gelegd. Ontelbare slachtoffers wier bankrekening werd geplunderd, blijven achteraf in de kou staan. Banken sturen hen wandelen en het gerecht heeft simpelweg te weinig middelen om alles te onderzoeken. ‘Het is zó makkelijk geworden: snel even 100.000 euro verdienen, denken jongeren.’

Op zondag 3 januari 2021 gaat Adrienne G. (55) naar de supermarkt in Schilde om haar eerste boodschappen van het jaar te doen. Aan de kassa merkt ze dat haar bankkaart niet werkt.

Adrienne G.: “Ik dacht dat ik misschien over mijn limiet zat, omdat ik tijdens de lockdown wat vaker maaltijden had laten bezorgen. Thuis probeerde ik mijn rekening te controleren met de kaartlezer, maar dat lukte niet.”

’s Anderendaags belt mevrouw G. naar haar filiaal van KBC Bank & Verzekering.

Adrienne G.: “Het werd een ontzettend lang telefoongesprek, waarbij ik telkens werd doorgeschakeld. Uiteindelijk werd me verteld dat ze mijn privérekening hadden geblokkeerd, omdat er verdachte transacties waren gespot.”

Mevrouw G. beheert samen met haar zus ook vier immobiliënvennootschappen met een rekening bij hetzelfde bankkantoor. Of ze die ook geblokkeerd hebben, wil ze weten. De bank zegt van niet: dat kunnen ze voor zakelijke rekeningen niet zomaar doen.

Adrienne G.: “Toen belde mijn zus, helemaal ontdaan. Ze had net onze vennootschapsrekeningen gecontroleerd: die bleken alle vier leeggehaald. Minuut na minuut, dag en nacht waren er kleine en grote bedragen overgeschreven naar onbekenden, één keer zelfs met de mededeling ‘Happy new year mevrouwtje G.’. Die dieven lachten me gewoon uit in mijn gezicht.”

Mevrouw G. laat al haar bankkaarten blokkeren, maar het kwaad is geschied. Tussen 2 en 4 januari is er een totaalbedrag van 115.016,81 euro van haar rekeningen gestolen.

Steeds slimmer

De corona-epidemie schudde niet alleen onze maatschappij door elkaar, maar ook de misdaad. Dievenbendes verplaatsten hun activiteiten van de straat naar het internet: daar viel sowieso meer te graaien, omdat de bevolking massaal online begon te shoppen. In 2020, het eerste covidjaar, kreeg de politie voor het eerst meer aangiftes van onlinediefstallen dan van woninginbraken. Het aantal phishinggevallen schoot de hoogte in: in 2020 werden 67.000 frauduleuze transacties uitgevoerd, voor een totaalbedrag van 34 miljoen euro. ‘Die cijfers tonen maar het topje van de ijsberg’, zegt Miguel De Bruycker, directeur van het Centrum voor Cybersecurity België (CCB).

Miguel De Bruycker: “We stellen vast dat het probleem in 2021 alleen maar groter is geworden. Niet alleen neemt het aantal slachtoffers toe, de phishers worden ook steeds slimmer: de programma’s waarmee ze je om de tuin leiden, worden steeds gesofisticeerder. Het is nog wachten op de precieze cijfers, maar het aantal meldingen van verdachte links op ons mailadres verdacht@safeonweb.be blijft stijgen. In 2020 kregen we per dag al 12.000 meldingen binnen, intussen zitten we al aan een gemiddelde van 13.000 – goed voor 4,5 miljoen meldingen per jaar. De berichten en websites waarmee men je bankgegevens probeert te ontfutselen zijn perfect nagemaakt en steeds moeilijker te herkennen als frauduleus. De tijd dat je een e-mail vol schrijffouten ontving, is al lang voorbij.”

Het volstaat dus niet meer om ‘gewoon goed uit te kijken’?

De Bruycker: “Iedereen kan slachtoffer worden, zelfs al let je goed op. We hebben mails van berichten van My eBox (dat toegang geeft tot overheidsdocumenten, red.) waar nauwelijks onderscheid is tussen de echte en de valse berichten. Alleen de aanspreektitel verschilt: bij de echte is dat ‘Beste mijnheer X of mevrouw Y’, bij de valse is dat ‘Beste’. Als je zo’n bericht voor het eerst ontvangt, kun dat je niet weten.

“Je krijgt altijd de raad om de url in de link goed te controleren, maar ook dat is niet meer zo eenvoudig. De criminelen gebruiken bestaande domeinnamen, maar dan met een klein verschil. Neem nu Telenet: de echte domeinnaam is ‘telenet.be’. Maar wat als je een mail krijgt van ‘telenetonline.be’? Is die dan vals? Of ‘telenetinfo.be’? De website waarop je terechtkomt, blijkt dan een exacte kopie van de echte. Het is makkelijk om achteraf te zeggen: u had moeten weten dat het ‘telenet.be’ was. Moeten mensen dan van elke firma weten wat de domeinnaam is?

“Net daarom hebben we nu samen met de bankenkoepel Febelfin de gratis app Safeonweb gelanceerd, die de gebruikers waarschuwt voor phishingberichten en verdachte links die de ronde doen. Zeker met de feestdagen in het vooruitzicht is het een goed idee om die app te installeren, want phishers slaan op zulke dagen massaal toe.”

Wat me verraste, is dat soms heel grote bedragen worden gephisht, zoals de 115.000 euro van mevrouw G.

De Bruycker: “Soms verliezen slachtoffers álles. Schrijnende gevallen zijn dat. Ik heb oudere mensen aan de lijn gehad die al hun spaarcenten kwijt waren. Die zaten diep in de put. Phishers kunnen levens verwoesten.”

Paniekaanval

Ook voor mevrouw G. kon de diefstal op geen slechter moment komen.

Adrienne G.: “2020 was een zwaar jaar voor mij geweest. Ik verloor mijn beide ouders in schrijnende omstandigheden, volledig onverwacht. Toen ik er die zomer met mijn man een weekendje op uit trok voor mijn verjaardag, brak ik mijn pols. Al die dingen kruipen in je kleren. Dus op oudejaarsavond vorig jaar ging ik vroeg naar bed. ‘Sorry, ik heb niks te vieren’, zei ik tegen mijn man. ‘Maar ik beloof je: morgen op 1 januari sta ik op, geef ik het een plaats, en we beginnen opnieuw. ’s Anderendaags ben ik vroeg uit de veren, ga met de honden wandelen, haal wat hapjes om met de familie te vieren… En dan begint de ellende opnieuw.

“Die bankfraude was er te veel aan, ik ben er helemaal onderdoor gegaan. De impact was enorm, omdat het zo ongrijpbaar is: je bent bedrogen, je weet niet door wie en op welke manier. Ik had al eens een inbraak meegemaakt – shit happens. Maar bij een inbraak weet je achteraf dat de dieven vertrokken zijn. Nu had ik het gevoel dat ze nog voortdurend over mijn schouder mee zaten te loeren. De criminelen waren erin geslaagd om mijn adresgegevens in het datasysteem van de bank te veranderen en lieten nieuwe bankkaarten naar een vals adres opsturen. Ze hadden ook een ander telefoonnummer opgegeven, zodat de bank me niet meer kon bereiken. Wat wisten ze nog allemaal van mij? Hadden ze het adres van mijn kinderen, die een volmacht op de rekeningen hadden? Ik werd paranoïde. Maandenlang heb ik last gehad van blackouts en paniekaanvallen als ik ergens mijn bankkaart moest gebruiken.

“Bovendien was het snel duidelijk dat de bank me in de steek liet. Dertig jaar lang was ik klant bij hen, maar bij de eerste tegenslag sturen ze me wandelen. Waarom zou je je geld dan nog bij hen plaatsen, als ze het niet behoorlijk kunnen beschermen?”

Samen met haar advocaat Christophe Dillen duikt mevrouw G. in de geschiedenis van de bankrekeningen, om uit te pluizen wat er precies is misgelopen. Wat ze aantreffen is verbijsterend. Tussen 2 januari 2021 omstreeks zes uur ’s ochtends en de namiddag van 4 januari zijn er op de vijf rekeningen maar liefst 159 frauduleuze transacties verricht. Minuut na minuut volgen ze het spoor van de dieven.

Die geven een eerste teken van leven in een Esso-tankstation in Antwerpen. Op 2 januari om 6.31 uur, op een moment dat mevrouw G. nog in bed ligt, wordt daar vanaf haar persoonlijke zichtrekening een betaling van 502 euro gedaan. Wat er precies aangekocht wordt, is niet duidelijk, maar een minuut later betalen de dieven in hetzelfde tankstation nog eens 500 euro, en om 6.37 u volgt een betaling van 501,80 euro. Op 14 minuten tijd gebeuren zo zeven betalingen van telkens om en bij de 500 euro aan dezelfde kassa. Het is 6.45 u, en mevrouw G. is al slapend 3.503,80 euro armer geworden.

Adrienne G.: “Toch vreemd dat je zomaar zeven keer na elkaar 500 euro kunt afhalen aan de kassa van een tankstation, niet? Ofwel zit daar iemand die zich daar geen donder van aantrekt, ofwel kan die persoon zelf op een procentje rekenen.”

De rooftocht gaat naar een nabijgelegen Q8-tankstation, waar nog eens vier betalingen volgen van in totaal 1.100 euro. Dan stappen de dieven binnen bij een dagbladhandelaar in Zwijndrecht, waar ze opnieuw 500 euro afhalen met de persoonlijke kaart van mevrouw G.. Ze halen een tweede kaart boven, van één van haar vennootschappen, en halen ook daarmee 500 euro af. Net voor acht uur ’s morgens stoppen ze vervolgens bij een bankautomaat in Berchem, waar ze met beide bankkaarten 600 euro pinnen. Daarna gaan ze boodschappen doen in de supermarkt: een winkelkarretje van 233 euro.

Zodra de winkels openen, gaan de dieven shoppen in het centrum van Antwerpen. Eerst wat elektronicaspullen bij Coolblue: om 09.56 u betalen ze 837 euro aan de kassa. Wat volgt is een race langs luxekledingzaken in hartje Antwerpen. Om 10.38 u stappen ze bij kledingzaak Moncler buiten met voor 1.060 euro gevulde tassen. Dertien minuten later gaat er 2.780 euro van de rekening bij Louis Vuitton, en acht minuten later gooien ze er nog een handtasje van 650 euro bovenop. Van bij Louis Vuitton is het 200 meter stappen naar de luxekledingzaak Verso, waar de dieven voor 2.540 euro aankopen. Tijdens een blitzbezoek bij Renaissance spenderen ze nog eens 590 euro. Dan wandelen ze naar de parkeergarage Arenberg, waar hun auto staat en waar ze om 11.32 u naar buiten rijden.

Die namiddag wordt de bankrekening van mevrouw G. nog twee keer aangesproken: één keer voor een pakje sigaretten in een dagbladwinkel en voor een taxirit, om 15.12 u. Wanneer de bank van mevrouw G. kort daarop haar persoonlijke rekening blokkeert, is er al 9.932,80 euro weggesluisd. Op de rekeningen van haar vennootschappen – die de bank níét blokkeert – blijft het geld intussen wegvloeien.

Starterspakket

‘Het liefste wat die dieven doen, is eerst wat gaan shoppen’, zegt onderzoeksrechter Philippe Van Linthout, al jaren gespecialiseerd in cybercriminaliteit. Hij heeft het profiel van online criminelen de afgelopen jaren zien veranderen.

Philippe Van Linthout: “Mijn eerste dossiers gingen over grote criminele netwerken die vanuit Nigeria werden aangestuurd. Die wisten behoorlijk wat van informatica af en deden alles zelf, van a tot z. Vandaag zijn het vaak kereltjes van 17, 18 jaar die het doen vanuit hun slaapkamer. Ze hoeven de programma’s om mensen te beroven niet eens zelf te schrijven, die kopen ze gewoon op het internet.

Met die software kunnen ze 1.000 sms’en of mails tegelijkertijd uitsturen.

Van Linthout: “Daar begint het inderdaad allemaal mee. Maar dan heb je nog een lijst met telefoonnummers of mailadressen nodig van potentiële slachtoffers. Ook die zijn gewoon online te koop. Je hebt lijsten met willekeurige telefoonnummers die niet zo duur zijn, maar er zijn ook lijsten waarmee je gericht kunt werken: klanten van een bepaalde bank, bijvoorbeeld, of werknemers van een bepaald bedrijf. ‘Spearphishing’ noemt men dat: heel gericht met een speer gaan vissen.

“Tegenwoordig krijgt iedereen weleens een phishingbericht waarvan je zegt: ‘Komaan mannen, denken jullie dat ik debiel ben?’ Dan hebben ze je nummer wellicht uit zo’n ‘gewone’ lijst geplukt. Daarnaast zijn er berichten waar je toch eens moet bij nadenken, omdat je wel degelijk een rekening hebt bij die bank, of die dag net een pakje verwacht. Dan hebben ze je nummer wellicht van zo’n gerichte lijst, die duurder is. Ze worden op fora aangeboden door mensen die zich specialiseren in het hacken van ledenbestanden of het inbreken bij bedrijven.

“En dan laten die phishers een aangekocht programma op hun potentiële slachtoffers los.”

Hoe doen ze dat?

Van Linthout: “Ik geef een voorbeeld dat ik zelf heb meegemaakt: ik kreeg een mail van de FOD Financiën, waarin stond dat ik recht had op een teruggave. Dat vond ik raar, en ik ging kijken: die overheidswebsite was een exacte kopie van de echte. Dezelfde opbouw en kleuren, hetzelfde taalgebruik en lettertype. Een geoefend oog kon het wel aan de url zien: de FOD Financiën gaat nooit als e-mailadres www.ikamaka/minfin.com gebruiken. Maar als mensen dat niet opmerken en verder klikken, gaat er bij de daders een lampje branden. Zij hebben een programma openstaan waarop ze een signaal krijgen als iemand ‘bijt’– daarom wordt het ook ‘vissen’ genoemd.

“De daders zien bij welke bank je zit, downloaden eerst de bankapp op hun eigen telefoon en vragen dan aan de nietsvermoedende klant om zich te identificeren. Terwijl je denkt dat je met het ministerie van Financiën aan het communiceren bent, krijgt de dader de gegevens van je bankkaart toegespeeld. Vervolgens word je even on hold gezet, en volgt de tweede stap: ondertekenen. Je vult de codes in, en zo krijgt de crimineel via jouw bankapp toegang tot je rekening.”

Je hoeft dus geen computergenie te zijn om te phishen.

Van Linthout: “Helemaal niet. Wij krijgen verdachten voor ons die je bij wijze van spreken 5 cent zou geven. Maar ze zijn wel in staat om je bankrekening te plunderen en mensen heel veel miserie te bezorgen. Een aanzienlijk deel is van Afrikaanse origine.”

Dat phising boomt, heeft dus niet enkel met de coronapandemie te maken?

Van Linthout: “Nee, het komt ook omdat het steeds makkelijker wordt. We zien jongeren die nog nooit een strafbaar feit hebben gepleegd, en die plots met een paar 100.000 euro weg zijn. Zoals adolescenten vroeger samenkwamen om een pornoboekje te kopen, gaan ze nu chillen in een Airbnb en gooien ze hun vislijntjes uit. ‘Snel even 100.000 euro verdienen’, denken ze. En soms lukt het nog ook.

“En dan gaan ze shoppen. Ze vinden niet eens dat ze verkeerd bezig zijn, want ze hebben die meneer van Louis Vuitton geen wapen tegen het hoofd gehouden. Er is geen geweld gebruikt. Soms rijden ze van de ene geldautomaat naar de andere om geld uit de muur te halen. Maar dan zorgen ze altijd dat ze een hoody of een scooterhelm dragen, zodat ze nergens herkenbaar op de camerabeelden staan.”

Selfies en hartjes

Na het shoppen beginnen de dieven geld van mevrouw G.’s rekeningen over te schrijven naar zogenaamde money mules, of geldezels: mensen die hun bankrekening of pincode tegen een kleine vergoeding uitlenen aan criminelen om het frauduleuze geld door te sluizen. Eén van de gelukkigen is Ophelie C., die een dikke 5.000 euro ontvangt, verspreid over tien betalingen. Haar profiel op Facebook toont een jonge Brusselse schone met lange laknagels, die werkt bij Gucci. Enkele duizenden euro’s vertrekken naar de rekeningen van Wesley W., salesmanager bij een bekende meubelzaak, William P., manager bij een wapenproducent, Celle D., een chauffeur die voor Nutella rijdt en Marijke R., influencer en poetsvrouw uit het Meetjesland. Ook veel Afrikanen en een enkele Indiër zitten bij de gegadigden. Minuut na minuut worden bedragen van om en bij de 600 euro overgeschreven, af en toe onderbroken door een plaspauze.

Adrienne G.: “Het frustrerende is dat je al die mensen gewoon op de sociale media terugvindt. Het zijn mensen die tiktokfilmpjes plaatsen, selfies en hartjes posten op Facebook of zich belangrijk maken op LinkedIn.”

Van Linthout: “Die geldezels zijn vaak onnozelaars, kleine garnalen die niet altijd beseffen dat ze meedraaien in een crimineel systeem. Jonge kerels die hun bankkaart uitlenen aan een maat zoals ze dat ook met hun fiets zouden doen. Ze worden met advertenties gerekruteerd op het internet: ‘Wenst u een centje extra te verdienen, klik dan hier.’ Dan worden ze benaderd door een zogenaamde liefdadigheidsorganisatie met een emotioneel verhaal, die tussenpersonen nodig heeft om geld over te maken voor goede doelen in Syrië of Irak. Ze doen zelfs een sollicitatiegesprek met de kandidaten, en stellen een proefperiode in: ‘We laten je tien transacties doen om te kijken of je betrouwbaar bent.’ Er zijn altijd mensen die daarin tuinen, en blij zijn met de 50 euro extra die ze daarmee verdienen. Nu, soms weten ze wel degelijk dat er een reukje aan zit.

“De geldezels zijn natuurlijk de eersten bij wie de politie gaat aankloppen, maar dan is het geld allang doorgesluisd en ontraceerbaar. Wat moet je doen met die mensen? Je kunt ze moeilijk tussen de grote criminelen opsluiten. Maar het is wel dankzij hen dat oplichters mensen ongestraft kunnen beroven.”

Zijn de banken voldoende beveiligd tegen het oprukkende phishingleger?

Van Linthout: “Banken zullen altijd beweren van wel, maar ik stel vast dat het bij sommige banken een stuk beter kan. Je zit natuurlijk met een paradox: enerzijds willen klanten dat het snel vooruitgaat, en dat ze op niet te veel knopjes moeten drukken. Anderzijds willen ze waarborgen voor hun veiligheid.

“Er zijn algoritmes die verdachte transacties opsporen: als je een klant bent die wekelijks gemiddeld 150 euro uitgeeft aan boodschappen, maar plots drie keer 20.000 euro van je spaarrekening haalt, dan zou er bij de bank een alarm moeten afgaan. Zo kan men veel tegenhouden. Er zijn banken waar dat lukt, maar andere banken doen zulke controles blijkbaar niet.

“Sommige banken maken ook reclame voor instant-overschrijvingen. Klanten vinden dat makkelijk: je bent vergeten om zoon- of dochterlief zakgeld mee te geven op kot, maar geen nood: met enkele drukjes op de knop staat het geld meteen op de rekening van de ontvanger. Handig voor de klant, maar phishers weten heel goed bij welke banken instant-overschrijvingen beschikbaar zijn. Daar gaan ze het eerst op af. Eigenlijk is er een eenvoudige oplossing: een tweestapsverificatie inbouwen, met een extra controle via een code die per sms naar je telefoon wordt gestuurd. Je moet weten: die phishers hebben wel toegang tot je bankapp, maar niet tot je telefoon. Als je zo’n controle toevoegt, maak je het phishers een pak moeilijker. Maar ja, dat vinden mensen te veel gedoe, en dus bieden banken zo’n service niet aan.”

Eigen schuld

Ondernemer Stijn Gansemans (52) uit Oud-Heverlee raakte in conflict met zijn bank KBC nadat hij 25.000 euro was verloren aan online oplichters. Op 20 januari 2020 kreeg hij, zogezegd van de FOD Financiën, een aanmaning tot betaling van 89 euro via sms, waarlangs hij op de perfect nagemaakte overheidswebsite terechtkwam en de betaling argeloos uitvoerde. Die nacht verdween er bijna 25.000 euro – via instant-overschrijvingen – van zijn rekening naar twee buitenlandse banken.

Stijn Gansemans: “Ik bleef er eerst kalm bij, want ik vertrouwde erop dat de bank het zou oplossen. Maar toen ik belde, voelde ik meteen nattigheid. ‘U hebt die overschrijvingen zelf uitgevoerd, meneer, want ze zijn vannacht van uw rekening gegaan.’ Ik antwoordde dat ik het niet zelf was geweest, en vroeg om de bankdirecteur te spreken, maar dat werd geweigerd. De bank zei dat ze een onderzoek zou openen, en toen hoorde ik een hele tijd niets meer. Ze hopen natuurlijk dat je het opgeeft. Mijn mails en telefoons werden niet meer beantwoord. Op een dag kreeg ik hun conclusies in de bus. Helaas, dat ik bestolen werd, was mijn eigen schuld, en dus konden ze me niet compenseren.”

Gansemans stapte samen met zijn advocaat Tom De Smet naar de rechtbank.

Tom De Smet: “Sinds 2018 is er een duidelijke wetgeving die de aansprakelijkheid voor de gevolgen van internetfraude bij de bank legt. Als klanten het slachtoffer worden van fraude of phishing, moet de bank dat onmiddellijk compenseren. Er zijn wel een aantal uitzonderingen, als blijkt dat het slachtoffer zelf deelnam aan de fraude, of als er van zijn kant sprake is van een ‘grove nalatigheid’. Maar als het gaat om fraude die niet op voorhand door de klant kon worden opgemerkt, moet de bank betalen, punt.

“De banken zelf zwijgen natuurlijk over die wet en sturen hun klanten wandelen. ‘Wij willen je wel helpen, maar om het geld terug te krijgen moet u een klacht indienen en het geld via het gerecht bij de daders recupereren.’ Maar iedereen weet dat die daders moeilijk te vinden zijn en dat het gerecht bovendien niet de middelen heeft om alles te onderzoeken. De meeste slachtoffers leggen zich neer bij die uitleg en laten het daarbij. Om een rechtszaak te beginnen, heb je middelen nodig, en vaak is het ook een uitputtingsslag. Sommige banken treffen een regeling vooraleer het tot een rechtszaak komt, maar dat is de minderheid. Meestal proberen ze in de rechtszaal te winnen door het slachtoffer van grove nalatigheid te beschuldigen. Schrijnend vind ik dat: banken stimuleren de mensen om alles digitaal te doen, maar zodra het fout loopt, schuiven ze de schuld af op de klant.”

In maart 2021 kreeg Stijn Gansemans gelijk van de rechter op basis van de nieuwe wet uit 2018. Maar KBC ging in beroep.

Gansemans: “Ze zijn natuurlijk als de dood dat deze wet algemeen bekend wordt en door meer phishingslachtoffers wordt ingeroepen. Dat beroep dient in mijn ogen alleen om tijd te winnen, want mijn zaak bij het hof van beroep komt ten vroegste voor in 2027. Zo lang is het vonnis niet definitief en blijft deze zaak dus muurvast zitten. Intussen kan ik naar mijn geld fluiten.”

KBC verloor nog een tweede zaak tegen phishingslachtoffers, maar ging ook daar in beroep. Onlangs groepeerden zich ook dertig klanten van Argenta om hun bank collectief te dagvaarden. Ze vinden dat Argenta steken liet vallen en dat de bank hen niet op tijd verwittigde over nieuwe fraudetechnieken.

De bankenkoepel Febelfin zegt dat banken elk geval van phishing individueel bekijken en altijd de feitelijke omstandigheden van de fraude onderzoeken.

Isabelle Marchand (woordvoerster Febelfin): “Als er geen sprake is van grove nalatigheid, zal de bank de klant terugbetalen.

“We kunnen inderdaad moeilijk verhinderen dat iemand een website nabootst, maar de beveiliging ligt toch grotendeels in handen van de klant zelf. Het is een beetje zoals je aan een inbreker de codes van het alarm van je huis zou meegeven. Dan helpt het niet dat je alarmsysteem uitstekend werkt, want hij raakt toch binnen.”

Onderzoeksrechter Philippe Van Linthout zegt dat de beveiliging van sommige banksystemen voor verbetering vatbaar is.

Marchand: “Banken passen hun beveiligingssystemen continu aan om ze veiliger te maken. Ze sporen ook transacties met een hoog frauderisico op, en als er een vermoeden van fraude is, wordt de betaling even on hold gezet en wordt er contact opgenomen met de klant. Wel verschillen de criteria van fraudedetectie van bank tot bank. Maar er is geregeld onderling overleg over nieuwe fraudetechnieken, en hoe ze op te sporen. Zo worden ontzettend veel pogingen tot phishing vermeden. In 2020 slaagden de banken erin om 75 procent van alle frauduleuze overschrijvingen te detecteren, tegen te houden of te recupereren.”

Hoeveel phishingslachtoffers werden vorig jaar door hun bank gecompenseerd?

Marchand: “Daar hebben we geen cijfers over.”

Apenland

En de daders? Die blijven vaak onvindbaar. Niet alleen omdat de onderzoeken naar cybercriminaliteit vaak complex zijn, maar ook omdat politie en gerecht simpelweg niet genoeg middelen hebben om alles te onderzoeken.

Federaal procureur Van Leeuw zei onlangs nog dat de grote drugsonderzoeken rond het Sky ECC-netwerk zoveel capaciteit bij de federale politie vragen dat dat ten koste gaat van andere fenomenen, zoals cybercriminaliteit. Merkt u dat, meneer van Linthout?

Van Linthout: “Absoluut. Je kunt wel opdrachten geven, maar speurders moeten tijd hebben om ze uit te voeren. Als de federale politie zegt: ‘We kunnen er niks meer bijnemen, omdat we al met Sky bezig zijn’, dan val je terug op de lokale politie. Die zijn minder gespecialiseerd en hebben daarnaast ook nog eens financiële dossiers, inbraken, slagen en verwondingen, zedenzaken, intrafamiliaal geweld, enzovoort. Dan is het niet raar dat zij zeggen: ‘We hebben er niet het personeel voor.’”

Wel cynisch als je ziet dat phishing zo’n hoge vlucht neemt.

Van Linthout: “Inderdaad, maar dat zijn beleidskeuzes. Van elk dossier wordt in de media gezegd dat het heel belangrijk is, zeker als het gerecht er niets mee doet. ‘In wat voor apenland leven wij?’ is dan het commentaar. Maar ofwel krijgen we daar personeel en middelen voor, ofwel moet men aanvaarden dat we niet alles kunnen doen.”

Een phishingslachtoffer dat pakweg 2.000 euro verliest, moet dus niet hopen dat zijn dossier wordt onderzocht?

Van Linthout: “We zullen altijd ons uiterste best doen, maar als je 2.000 euro kwijtspeelt, is de kans dat we de daders en het geld vinden klein. We wachten dan tot we meerdere aangiftes hebben die naar dezelfde daders wijzen. Als blijkt dat er een organisatie achter zit, gaan we dat onderzoeken. Of we de zaak kunnen oplossen, is iets anders.

“Men maakt het ons met de nieuwe wetgevingen wel erg moeilijk om achter de daders aan te gaan. Uit bezorgdheid voor de privacy is bijvoorbeeld de wet vernietigd die telecombedrijven verplicht gegevens van hun klanten preventief bij te houden. Voor ons is dat een ramp, want die informatie bleek vaak cruciaal. Dat is niet alleen frustrerend voor de slachtoffers, maar ook voor ons.”

Mevrouw G. kreeg maanden na de phishing bericht van het gerecht dat haar bankkaarten bij een huiszoeking in Brussel waren gevonden bij een dievenbende.

Adrienne G.: “Dat onderzoek loopt nog, en er zijn ook arrestaties verricht. Het zijn twee jongens, van 19 en 17, maar ze laten het achterste van hun tong niet zien. Ze beweren dat ze zelf maar voor een klein bedrag meegewerkt hebben en dat ze elkaar nog nooit gezien hebben. Via een bemiddelaar heb ik een uitnodiging gekregen om één van hen te ontmoeten: hij wilde sorry zeggen en me eventueel vergoeden, maar hij had geen geld. Ik heb de boot afgehouden. Ik had geen zin om tegenover iemand te gaan zitten die me bestolen heeft en nadien nog zit te liegen in mijn gezicht. Ik maak me weinig illusies dat ik mijn geld ooit zal terugzien. De hele zaak blijft voor mij verschrikkelijk pijnlijk.”

© Humo