ING-klanten het vaakst slachtoffer van spoofing

Klanten van ING lopen een relatief grote kans om het slachtoffer te worden van spoofing, zo liet het tv-programma Kassa zaterdagavond weten. Daarbij worden ze gebeld door iemand die zegt ING-medewerker te zijn en die waarschuwt dat snel het spaarsaldo naar een ‘veilige’ rekening overgeboekt moet worden.

Het gaat om een bijzonder geavanceerde manier van fraude, zo liet Kassa zien. Klanten van alle banken kunnen erdoor getroffen worden, maar volgens GIBO, een platform voor gedupeerden van ‘spoofing’, is 76 procent klant van ING. 11 procent bankiert bij ABN AMRO en 4 procent bij Rabobank. De ruim 200 gedupeerde ING-klanten verloren gezamenlijk 3,6 miljoen euro, die niet vergoed worden door de bank. De bank vindt namelijk dat klanten er voldoende voor gewaarschuwd zijn dat nooit op SMS- of e-mail-berichten gereageerd moet worden. Zo’n waarschuwing is onder andere te zien tijdens het inloggen op mijn.ing.nl.

Kluisrekening
Hoe gaan de criminelen te werk? Meestal ontvangt de klant een SMS of e-mail met daarin een dringend verzoek om via een meegestuurde link in te loggen op elektronisch bankieren. Dat brengt de klant op een nagemaakte website. Bij onder andere ING is het mogelijk om met alleen een gebruikersnaam en een wachtwoord in te loggen. De klant doet dat op de nepsite, waardoor de criminelen de inloggegevens in handen krijgen. Daarmee kunnen zij inloggen op de echte site van de bank. Vervolgens bellen zij de klant op met de mededeling dat deze via een kwaadaardige SMS is opgelicht en dat criminelen daardoor toegang hebben gekregen tot de bankrekening. Het dringende advies is om al het hele saldo direct over te boeken naar een veilige kluisrekening van de bank. In werkelijkheid is dat een rekening van de criminelen of van iemand die zijn rekening tegen een vergoeding beschikbaar stelt, een zogenoemde geldezel. Met wat psychologische trucjes weten de criminelen de klant over te halen om de overboeking te autoriseren.

Tweetrapsauthenticatie
Volgens twee door Kassa benaderde ethische hackers werkt de truc ook bij banken waar je met tweestapsauthenticatie moet inloggen. Tijdens het inloggen op de nepsite, loggen de criminelen namelijk ook in op de echte site, waardoor de klant op zijn telefoon een verzoek krijgt om het inloggen te authenticeren. Doet die dat, dan zijn de criminelen binnen. Volgens de ethische hackers werkt dit bij ING het makkelijkst. Bij de Rabobank moet bijvoorbeeld een kleurcode worden gescand en dan lukt het alleen als de criminelen die code heel snel naar de nepsite weten te sturen. Toch worden ook klanten van de Rabobank via spoofing opgelicht. Soms gaat dat zo geraffineerd dat er volgens sommigen echte medewerkers van de bank bij betrokken moeten zijn, maar volgens Betaalvereniging Nederland zijn daar tot nu toe geen aanwijzingen voor gevonden. De Rabobank is de enige van de grote drie die de schade vergoedt aan gedupeerde klanten. ING en ABN AMRO doen dat niet, terwijl zij dat volgens een door Kassa benaderde advocaat wel verplicht zijn. Hij erkent dat de banken waarschuwen voor phishing en spoofing, maar niet voor de geavanceerde manier van oplichting die criminelen de laatste tijd hanteren.

De volledige reportage is hier te lezen.

Deel dit artikel via: