Maandag 19/04/2021

ReportageInternetfraude

‘Ik ben zelf IT’er en toch ben ik erin gelopen’: zo bestelen online dieven u zonder dat u het merkt

In enkele muisklikken waren Davy Lambrechts en Kim Vonckx zo’n 10.000 euro lichter. ‘Dat was alles wat op ons spaarboekje stond.’  Beeld Wouter Van Vooren
In enkele muisklikken waren Davy Lambrechts en Kim Vonckx zo’n 10.000 euro lichter. ‘Dat was alles wat op ons spaarboekje stond.’Beeld Wouter Van Vooren

Inbreken is moeilijker als mensen thuis blijven, dus nemen criminelen door corona nog meer hun toevlucht tot phishing. Slachtoffers en experts getuigen over de digitale diefstal.

“Het was echt een vies gevoel. Het voelde eigenlijk net zo alsof er iemand in mijn huis had ingebroken. Ik was niet enkel mijn geld kwijt, maar de fraudeurs hadden ook al mijn bankgegevens gezien.”

Het was een dondermiddag in mei. Lena* (33) lag vermoeid in de zetel, toen ze op haar gsm een sms kreeg die zogezegd van haar bank was. “Beste klant”, begon het sms’je, “er is op (14-05-2020/14:32) ingelogd op uw Argenta-internetbankierenapp vanaf een ongebruikelijke locatie.”

In de sms stond ook dat ze zich zogezegd in een ‘Quarantaine Zone’ bevond door corona. Ze moest niet naar een bankkantoor, maar kon even inloggen via een link. Anders zou haar rekening geblokkeerd worden. Lena logde in op een website die erg goed leek op die van Argenta. Twee keer gaf ze een code in via haar digipass.

De volgende dag ontdekte ze dat ze 2.500 euro had verloren.

Corona

Phishinggevallen nemen in ons land toe, zo leren verscheidene statistieken. Dit jaar ging een kwart van alle dossiers bij de bankenombudsdienst Ombudsfin al over internetfraude, in vergelijking met 18,5 procent vorig jaar.

Wie een phishingmail ontvangt, kan die doorsturen naar een meldpunt van het Centrum voor Cybersecurity. Dit jaar (tot en met november) zijn er al 2.825.592 meldingen binnengekomen. Dat is een toename van meer dan een miljoen in vergelijking met de 1.700.000 meldingen van vorig jaar, al zitten daar ook spam- en valse nieuwsberichten tussen.

Met valse, zogezegd dringende berichten die van de bank lijken te komen, misleiden cybercriminelen hun slachtoffers. Beeld ANP
Met valse, zogezegd dringende berichten die van de bank lijken te komen, misleiden cybercriminelen hun slachtoffers.Beeld ANP

Phishers stellen hun mails of berichten zo op dat ze aansluiten bij een onderwerp uit de actualiteit, valt er te horen bij het Centrum voor Cybersecurity. Toen er de voorbije weken vertragingen opdoken bij de bedeling van postpakketjes, gingen fraudeurs daarop inspelen. En 2020 heeft door de coronacrisis al erg veel inspiratie opgeleverd voor phishingberichten. Mondmaskers, aanbiedingen over vaccins, het Centrum voor Cybersecurity ziet het allemaal voorbijkomen.

De politie ziet al langer een verschuiving naar meer internetmisdaad, maar corona versterkt die nog. “Het is door de lockdown ook moeilijker geworden om nog klassieke inbraken te plegen”, zegt een speurder die gespecialiseerd is in cybercrime, maar liever anoniem blijft. “Mensen zitten nu veel meer thuis en tijdens de eerste lockdown waren er op de weg ook veel meer politiecontroles.”

Daarbij komt nog dat het risico bij phishing vrij klein is, en de buit soms gigantisch. In de media zijn al meerdere getuigenissen verschenen van slachtoffers die telkens duizenden euro’s hebben verloren. Zo vertelde een koppel uit Vlaams-Brabant aan Radio 1 dat ze 43.000 euro zijn kwijtgeraakt: hun eigen spaargeld en dat van de kinderen.

“Bij de zaken die ik behandeld heb, was het hoogste bedrag 372.000 euro”, zegt de speurder. “Ik zou zeggen dat bedragen van zo’n 10.000 euro niet zeldzaam zijn.”

(Geld)ezels

Achter de phishingberichten zit vaak een heel netwerk met bendeleiders en IT-experts. Voor wie handig is met computers is het niet zo moeilijk om phishingsites en -mails te maken. Er zijn programma’s waarmee hackers websites in een wip kunnen kopiëren. De fake websites zien er dan net zo uit als de originele. En lijsten met mailadressen zijn op het dark web te koop.

Als de valstrik werkt en het geld vertrekt vanop de rekening van het slachtoffer, dan gaat het vaak naar de rekening van een money mule, of geldezel. De 2.500 euro van Lena is zo naar een rekening van een man gegaan, die ook klant is bij Argenta.

“Er stond zelfs een mededeling bij de transactie, zodat het leek alsof het om een normale betaling ging”, zegt Lena. “De bank had echter wel door dat het een verdachte transactie was en heeft mij op de hoogte gebracht. Uiteindelijk is het rekeningnummer van de man bevroren, zodat mijn geld erop bleef staan.”

Lena heeft dus geluk gehad, want in veel gevallen reist het geld dan verder.

De taak van de geldezels is om de buit verder te versluizen naar andere leden van het netwerk. Om ervoor te zorgen dat de banken het geld niet meer kunnen volgen, sturen ze het vaak door naar een andere persoon, de casher, die het met zijn kaart gaat afhalen aan de bankautomaat.

Die speelt het op zijn beurt weer door naar de volgende schakel. Maar als de cashers – of de money mules – het geld gaan afhalen, staat hun gezicht mogelijk wel op camerabeelden van de bank. Als ze niet opletten, zijn zij dus het kind van de rekening.

“De bendes ronselen die geldezels via sociale media als Telegram”, zegt de speurder. “Of via advertenties waarin ze hun beloven dat ze veel geld zullen verdienen. Maar in de praktijk worden zij vaak niet betaald. De geldezels weten ook niet wie hen eigenlijk rekruteert. Maar als het gerecht de geldezels kan vatten, krijgen ze zware straffen. Eigenlijk worden zij dus dikwijls ook opgelicht.”

De echte kopmannen van de internetbende blijven heel gemakkelijk buiten beeld. Na veel onderzoek – door telefoonnummers, mails en IP-adressen te verzamelen – lukt het de politie soms toch om bij hen uit te komen. “Als ze foutjes maken in het parcours, kunnen we hen opsporen.”

Maar politieonderzoeken bij phishingdossiers nemen makkelijk een jaar of twee jaar in beslag. Slachtoffers van phishingzaken moeten dus erg veel geduld hebben. Als ze hun geld ooit al terugzien.

10.000 euro

Davy Lambrechts (40) en Kim Vonckx (38) werden anderhalf jaar geleden opgelicht door een criminele bende. Er verdween 9.789 euro van hun rekening. “Dat was alles wat op onze spaarboek stond”, zegt Lambrechts.“Ik ben zelf IT’er en toch ben ik in de val gelopen.”

Bij hen gebeurde het dus nog voor corona, maar ook hier was er een link met de actualiteit. In die periode was de bank Crelan zijn digitale omgeving voor internetbankieren aan het vernieuwen, zegt Lambrechts. Op zijn smartphone ontving hij toen een e-mail van de ‘Crelan Klantenservice’ om een nieuwe digipass aan te vragen. Zijn huidige zou over een dikke week niet meer werken. Hij moest even klikken op een link om zo’n ‘digipass 2.0' te bestellen.

Lambrechts kwam op een site terecht die erg goed leek op die van Crelan en volgde de instructies. Er verscheen een zandlopertje. Daarna een melding. Zijn nieuwe digipass was aangevraagd en zou binnenkort worden verstuurd.

De volgende dag belde een Crelan-kantoor hem op. De man aan de andere kant van de lijn vroeg hem of die transactie van bijna 10.000 euro wel klopte. Het Crelan-hoofdkantoor had er een bezorgde mail over gestuurd.

“‘Meneer, zei ik, gisteren heb ik helemaal niets overgeschreven. Het enige wat ik heb gedaan, is een nieuwe digipass aangevraagd.”

En toen begon het bij Lambrechts te dagen dat hij was opgelicht, waarna hij meteen naar de politie snelde om een pv te laten opmaken.

Ondertussen was zijn geld op een rekening van een vrouw bij het Crelan-kantoor in Ham gekomen. Maar vandaar was het ook al vertrokken. Aan bankautomaten in Nederland werd het vervolgens afgehaald.

Samen met zijn vrouw ging Lambrechts naar het Crelan-kantoor van Kontich om bijstand te vragen. Maar het koppel werd zonder veel informatie wandelen gestuurd. “Het gesprek kwam ongeveer hierop neer”, zegt Lambrechts: “‘Phishing is nu ook niet gisteren uitgevonden. Sorry, we kunnen u niet helpen.’”

Dat de bank hen wel op de hoogte gebracht heeft van de verdachte transactie, maar het geld niet heeft geblokkeerd, kan er bij het echtpaar niet in.

Ze dienden een klacht in, waarop de bank een onderzoek deed. Maar dat leverde niets op. Daarna trokken ze naar Ombudsfin. Die oordeelde na een onderzoek van enkele maanden dat de bank het echtpaar moest vergoeden. Ook Test Aankoop sloot zich bij die conclusie aan. Maar Crelan kwam niet over de brug.

Grove nalatigheid

Waar het juridisch op aankomt in zulke zaken, is de vraag of er bij de klanten sprake was van ‘grove nalatigheid’.

Het schoolvoorbeeld van grove nalatigheid is wanneer iemand zijn pincode op een papiertje schrijft en dat in zijn portemonnee vlak naast zijn bankkaart bewaart. Als een dief hem dan overvalt en met zijn bankkaart de rekening leegplundert, tant pis. Hij moest maar zijn code niet bij zijn bankkaart steken. Een bank moet dan niets terugbetalen.

Maar in rechtszaken over phishing, waarin klanten enerzijds in de val worden gelokt en anderzijds wel hun eigen code vrijgeven, is het soms moeilijk om te bepalen wat ‘grove nalatigheid’ precies betekent.

Magali Feys, techadvocate bij kantoor AContrario: “Als je op zo’n link klikt, kunnen banken dat ook zien als ‘grove nalatigheid’. Het probleem is dat zulke zaken nog weinig bij de rechtbank eindigen. Er is dus weinig rechtspraak om uit te maken wat in zulke gevallen onder ‘grove nalatigheid’ valt.”

Banken schermen er volgens haar mee dat ze nooit zulke links in een sms of een mail zullen sturen. En dat klanten de links en de websites maar goed moeten checken. Wie in de val loopt, is voor de banken dus niet voorzichtig genoeg.

Crelan zegt volgens Ombudsfin ook dat er in het geval van Lambrechts verschillende keren een code is ingevoerd, om in te loggen en om te betalen. Dat was een ‘grove nalatigheid’, aldus de bank.

“Maar ik ben er zeker van dat ik enkel een code heb ingegeven om in te loggen”, zegt Lambrechts. “Anders had ik allicht geweten dat er iets niet pluis was. In de conclusie van Ombudsfin staat ook dat de bank ons geen grove nalatigheid mag verwijten.”

Ombudsfin oordeelde inderdaad dat ‘grove nalatigheid’ hier niet van toepassing is. Lambrechts ging in op een mail, waarvan hij geloofde dat die door de bank werd verstuurd. In de mail stonden geen schrijffouten die kunnen verraden dat het om phishing ging. Ook de website zag er precies uit als die van de bank.

Enkel het mailadres - info@evenementrent.nl - was verdacht. Maar het is niet duidelijk of Lambrechts dat vanop zijn gsm kon zien. Volgens Ombudsfin kon hij dus niet weten dat hij in de val werd gelokt en zou de bank tussen moeten tussenkomen.

Proces

In de praktijk zijn banken volgens de speurder niet zo happig om te betalen. Maar omdat het erg moeilijk is om hun geld van de misdadigers terug te krijgen, vallen slachtoffers vaak tussen wal en schip. “Nochtans kunnen de banken zich hiervoor verzekeren”, zegt Feys. “Mijn advies is om bij hen op de deur te blijven kloppen. En om klacht in te dienen bij Ombudsfin.”

Aangezien dat voor het echtpaar Lambrechts niet heeft geholpen, wil het nu naar de rechtbank stappen. Maar het probleem is volgens hen dat hun rechtsbijstandsverzekering is afgesloten via het bankkantoor. Die verzekering laat hen nu niet toe om tegen de bank te procederen.

Daarom willen ze mensen die hetzelfde hebben meegemaakt oproepen om hen te contacteren, zodat ze kunnen kijken of er een class action mogelijk is. Als enigen de kosten dragen, voor wat naar verwachting een lang proces wordt, zien ze niet zitten.

“De echte misdadigers zijn natuurlijk degenen die het geld hebben gestolen”, zegt Kim Vonckx. “Maar het is niet fijn dat je nu langs alle kanten tegen de muur loopt.”

*Lena is een schuilnaam.

Banken reageren terughoudend

Gevraagd naar een reactie, laat Crelan weten dat het niet op individuele dossiers kan ingaan. Maar als een klant het slachtoffer wordt van phishing, zal de bank hem begeleiden om bijvoorbeeld zijn kaart te blokkeren. Crelan bekijkt ook onmiddellijk of het bepaalde transacties nog kan onderscheppen.

Elk dossier wordt onderzocht. “Als er sprake is van grove nalatigheid door de klant, dan komt Crelan echter niet tussen in eventuele verliezen.”

Ook Argenta laat weten dat de bank niet op individuele dossiers ingaat. Wanneer er een melding over phishing binnenkomt, zal de bank de rekening van de begunstigde blokkeren. Als het mogelijk is om het geld te recupereren, krijgt het slachtoffer het terug. Anders beoordeelt de bank op basis van onder andere het proces-verbaal van de politie of ze een gedupeerde kan vergoeden.

Meer over

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234