'De bibliotheek voor de bestrijding van digitale criminaliteit'

Home » Cybercrime » Phishing, nepshop en fraude meldingen week 41-2021

Phishing, nepshop en fraude meldingen week 41-2021

Pasopl!chting Phishing #CCINL

Het melden van 'digitale oplichting' pogingen is belangrijk, door het melden kunnen we andere potentiële slachtoffers behoeden voor het te laat is. Heb je een phishing mail, smishing bericht of werd je gebeld en vertrouw je het niet? Laat het ons, of onze collega's van Opgelicht?!, Radar, Kassa, of Fraudehelpdesk dan weten, want Samen bestrijden we cybercrime / digitale fraude. Ben je slachtoffer geworden van oplichting doe dan 'altijd' aangifte bij de politie.


Weekoverzicht


Oplichtingstruc namens Zalando: betalingsherinnering in valse e-mail is een poging tot phishing

Wij werden gewezen op een wat ons betreft zeer ongebruikelijke oplichtingstruc. In deze poging tot oplichting krijg je uit naam van het – overigens écht bestaande – 'Centraal Invorderings Bureau' een betalingsherinnering in de mail met betrekking tot een onbetaalde factuur van Zalando. Zowel Zalando als het CIB hebben hier echter niets mee te maken. Wat is er dan wel aan de hand? Het lijkt in de mail te gaan om een kopie van een authentieke mail van het Centraal Invorderings Bureau. De mail is behoorlijk gedetailleerd: er wordt een factuurnummer genoemd, evenals een dossiernummer en details omtrent de factuur- en vervaldatum. De onderwerpregel van de mail luidt als volgt: 'Aanmaning dossier 90979659 inzake Zalando Payments' Ook bevat de mail talloze verwijzingen naar de échte website van het CIB en is ook het genoemde rekeningnummer NL84 RABO 0144 6600 75 echt van het CIB: nóg een reden om aan te nemen dat het hier gaat om een kopie van een authentieke mail waarop door de oplichters simpelweg enkele details zijn gewijzigd. Wat daarentegen weer niet goed is gedaan, is de hoofdsom. Je zou € 13,96 moeten betalen, maar er wordt daarnaast ook gesproken over aanvullende rente- en incassokosten. Deze kosten zijn echter weer niet opgenomen in het totaalbedrag. En ook het mailadres van de afzender – no-reply@account.ziggo.nl ­– zou genoeg reden moeten zijn om eens extra kritisch naar deze mail te kijken. Hieronder een voorbeeld van de mail. De integrale tekst volgt aan het einde van dit artikel.

De groene button met de tekst 'Betaal direct met iDEAL' en de blauwe button met de tekst 'Dossier bekijken' verwijzen naar de link tinee.link/WAVr0. Dat is een zogenaamde url shortener die bezoekers vervolgens doorverwijst naar het échte domein. Dat is in dit geval mijnoverlleid-portaal.nl/pay/616436f1ee9f1 Deze domeinnaam is op 11 oktober 2021 online gezet en de administratieve contactpersoon is claudiacantone71@gmail.com. Wat er vervolgens zoal gebeurt, weten we in dit geval niet zeker. Deze domeinnaam was namelijk al offline gehaald toen wij deze valse mail doorgestuurd kregen, dus onze gebruikelijke routine wat betreft het zelf controleren wat er precies gaande is om dat te kunnen demonstreren aan de hand van screenshots, behoort in dit geval niet tot de mogelijkheden. Wel kunnen we op basis van ervaringen uit het verleden een betrouwbare inschatting geven. Vermoedelijk verschijnt hier een variant op het welbekende paneeltje dat door oplichters in talloze phishingvarianten is misbruikt. Je ziet wat details omtrent het totaalbedrag, je dossiernummer en het factuurnummer, je selecteert jouw bank om deze factuur te voldoen, en daarna gaat het mis: jouw saldo wordt razendsnel weggesluisd omdat je hiermee inloggegevens voor internetbankieren doorgeeft aan oplichters.

Dit is de volledige, integrale tekst uit deze valse mail:


Nieuwe oplichtingstruc: phishingmails namens parkeer-app 'Parkmobile' over betalingsachterstanden

Oplichters sturen zeer overtuigende phishingmails uit naam van de populaire parkeer-app Parkmobile, die door miljoenen mensen wordt gebruikt. Onder het mom van een betalingsachterstand lokken ze je naar een goed nagemaakte nepsite. Opvallend is dat deze oplichtingstruc gericht is op zowel Nederlandse als Belgische klanten: de oplichters hebben inlogomgevingen van maar liefst negentien (!) banken nagemaakt. Sinds een week of anderhalf duiken ze her en der op: valse e-mails namens de populaire parkeer-app Parkmobile. Ze gaan rond in verschillende varianten, en voor ons was het eigenlijk even wachten tot we er eentje troffen met daarin een nog werkende link, zodat we zelf eens kunnen kijken hoe de spreekwoordelijke vork in de steel zit. Deze week was het dan zover, en eerlijk is eerlijk, het één en ander zit behoorlijk overtuigend in elkaar. Tel daarbij op dat Parkmobile enkele miljoenen gebruikers heeft, en de potentiële schade is al snel behoorlijk omvangrijk. Wat staat er in de valse mail namens 'Parkmobile'? We pakken even het voorbeeld van de mail die wij vanochtend troffen. Daarin staat de volgende tekst:

De link in de mail verwijst naar een ellenlange domeinnaam, namelijk Parkmobile.sbs/T-M/Epms/personalpages/payments/ideal/outstanding.php en dan nog een flinke extensie die we maar even achterwege laten. Essentieel is hier het domein zélf, namelijk Parkmobile.sbs. Dat is dus niet hetzelfde als Parkmobile.nl, al is het eenvoudig om dit verschil over het hoofd te zien. De domeinnaam eindigend op .sbs bestaat slechts twee dagen, en alle informatie over de eigenaar van dit domein is vakkundig verborgen. Dan weten wij eigenlijk al genoeg: hier zijn oplichters aan het werk. Op de valse website wordt het bedrag van € 18,54 nog maar eens bevestigd, al werkt de button om de pdf te downloaden voor de rest niet: het zal ongetwijfeld zijn gekopieerd van een échte Parkmobile-factuur, al rekenen de oplichters er misschien niet op dat je deze nog even probeert te downloaden. Wat wél werkt, is de betaalknop. Klik je deze aan, dan moet je in het volgende scherm je e-mailadres of je mobiele nummer doorgeven, zogenaamd ter verificatie. Je kunt hier echter alles invullen wat je wilt, ook de vervolgstappen kun je daarna doorlopen.

Doorlopen we de stappen op de valse website? Dan gebeurt er iets uitzonderlijks: we zien in dit geval namelijk dat de oplichtingstruc niet alleen op Nederlandse, maar ook op Belgische consumenten is gericht. Er verschijnt een module op je scherm waarin je de keuze krijgt tussen iDEAL en Bancontact (wat de Belgische tegenhanger is van iDEAL). De oplichters hebben vervolgens inlogomgevingen van elf Nederlandse banken en acht Belgische banken nagemaakt. Het gaat om de volgende banken: Nederlandse banken waarvan inlogomgevingen voor internetbankieren zijn nagemaakt, ABN AMRO, ING, Rabobank, ASN Bank, Knab, MoneYou, Regiobank, Revolut, SNS Bank, Triodos Bank, Van Lanschot Bankiers. Belgische banken waarvan inlogomgevingen voor internetbankieren zijn nagemaakt, Argenta, AXA Bank, Belfius, Beo Bank, BNP Paribas Fortis, Fintro, ING BE, KBC. Hieronder weer wat screenshots van de vervalste betalingsmodule:

Log je toch in? Dan laat het vervolg zich eenvoudig raden: in werkelijkheid sta je de inloggegevens voor internetbankieren af aan oplichters, en die zullen proberen om je bank- en spaarsaldo in een handomdraai weg te sluizen naar tussenrekeningen van katvangers. Het zal je ongetwijfeld dus een veelvoud kosten van de € 18,54 waar in het mailtje over gesproken wordt. Reden genoeg om extra op je hoede te zijn als je mails uit naam van Parkmobile krijgt die betrekking hebben op betalingsachterstanden en/of openstaande facturen.


"De echte eigenaar van het gebelde 06 nummer heeft hier niets mee te maken"

Cybercriminelen proberen nietsvermoedende slachtoffers op te lichten met een nieuwe vorm van fraude. Ze gebruiken een Nederlands mobiel nummer en doen zich voor als een medewerker van een bedrijf of instantie. Vervolgens proberen ze persoonlijke gegevens zoals een burgerservicenummer te achterhalen, of geld te stelen door te zeggen dat er nog een schuld openstaat. Daarvoor waarschuwt Yoanne Spoormans, cybercrimedeskundige bij de politie. Lees verder


Phishingmails Banken


Phishingmails Overheidsinstanties


Phishingmails Verzekeraars


Phishing en Smishing berichten die regelmatig in nieuwe campagnes van cybercriminelen terug komen


    Politie


    17 jarige phisher aangehouden die woningzoekende in de val lokte

    Op 12 oktober 2021 heeft de politie een 17-jarige jongen uit Amsterdam aangehouden op verdenking van phishing. De verdachte deed zich onder andere voor als WoningNet en heeft zo in de afgelopen maanden vermoedelijk tientallen slachtoffers in heel Nederland opgelicht voor tot dusver bekend minimaal 20.000 euro. De aanhouding kwam mede door een nauwe samenwerking met verschillende banken tot stand. Lees verder


    Den Haag - Bankhelpdesk fraude

    In december 2020 wordt een bejaarde mevrouw van een woning aan de Melis Stokelaan gebeld een zogenaamde medewerker van een bank. Lees verder


    Bron: diverse en anonieme tips

    Meer weekoverzichten


    «   »