Sinds een aantal weken wordt een toename waargenomen van WhatsApp-fraude, ook bij overheidsorganisaties. Het overnemen van WhatsApp-accounts kan gevolgen hebben voor informatiebeveiliging, zo waarschuwt het Nationaal Cyber Security Centrum.

Sinds april van dit jaar is het mogelijk om digitaal aangifte te doen bij de politie en kwamen tot augustus circa 700 aangiftes per week binnen. Daarvoor waren het er circa 120 tot 150 per week. De politie wijdt de toename deels aan het feit dat het makkelijker is om melding te doen, maar ook aan de feitelijke toename van deze vorm van fraude. De feitelijke toename kan volgens de politie mogelijk verklaard worden doordat mensen tijdens de coronacrisis meer online zijn gegaan om contact te hebben met hun familie en bekenden. Sinds augustus is het aantal aangiftes iets afgenomen.

Bekende
Oplichting via WhatsApp is een van de meeste toenemende vormen van online criminaliteit. Criminelen doen zich voor als een bekende en proberen het slachtoffer met een smoes geld afhandig te maken. Bekend is de strategie waarbij een slachtoffer wordt benaderd als een bekende met een ‘nieuw telefoonnummer’. De laatste tijd worden steeds vaker WhatsApp-accounts overgenomen voor het plegen van fraude. Hierdoor hebben slachtoffers minder snel argwaan.

Thuiswerken
De intentie van de overnames lijkt gericht op financieel gewin. Er zijn geen aanwijzingen dat de criminelen het bewust hebben gemunt op medewerkers van specifieke (overheids)organisaties. De toename van aangiftes uit deze hoek kan het gevolg zijn van het massaal thuiswerken. Berichtenapps worden veelal gebruikt vanwege de laagdrempeligheid en het gebruikersgemak.
Wanneer een WhatsApp-account wordt overgenomen dat zakelijk is gebruikt kan dat betekenen dat (zeer) vertrouwelijke informatie in verkeerde handen terecht komt. Daarnaast kunnen contactgegevens van (belangrijke) contacten prijs worden gegeven. De Algemene Rekenkamer waarschuwde op 2 november voor de risico’s van het gebruik van berichtenapp’s en privé e-mail voor het versturen van vertrouwelijke informatie.

Handelingsperspectief
Het NCSC raadt aan om een risico-afweging te maken voor het gebruik van berichtenapps voor zakelijke dienstverlening. Het is rijksbreed beleid om vertrouwelijke, gerubriceerde of privacygevoelige informatie nooit in openbare online diensten te delen of op te slaan. Het advies aan ambtenaren is om gebruik te maken van de door de werkgever daarvoor aangewezen kanalen om vertrouwelijke informatie te delen en onderscheid te maken in communicatie op zakelijke en privéapparatuur of -omgeving. Zakelijke contactgegevens dienen niet op een privételefoon opgeslagen te worden en accounts dienen beschermd te worden met tweefactorauthenticatie.
Voor spam- en phishing-berichten geldt altijd: stuur geen bericht terug en klik niet op links of documenten. ‘Als u het niet vertrouwt, doe dan niets! Of bel de afzender als het een bekende is.’ Gevraagd wordt ook om alle contacten te waarschuwen bij een gehackt account en aangifte te doen bij de politie.