image

Slachtoffers WhatsApp-fraude vorig jaar voor 1 miljoen opgelicht

dinsdag 14 januari 2020, 09:56 door Redactie, 13 reacties

Slachtoffers van WhatsApp-fraude zijn vorig jaar voor meer dan 1 miljoen euro opgelicht. Bijna een verviervoudiging ten opzichte van 2018, toen het nog om 262.000 euro ging. Dat laat de Fraudehelpdesk vandaag tegenover Nu.nl weten. De werkelijke schade ligt waarschijnlijk veel hoger, aangezien het hier alleen om slachtoffers gaat die melding bij de Fraudehelpdesk maakten.

Bij WhatsApp-fraude doen oplichters zich voor als een bekende van het slachtoffer, bijvoorbeeld een zoon of dochter, en stellen dat ze een nieuw telefoonnummer hebben om te Whatsappen. Vervolgens wordt er gevraagd om bijvoorbeeld een rekening te betalen. De organisatie ontving vorig jaar 2663 meldingen van pogingen tot WhatsApp-fraude en 353 mensen werden ook daadwerkelijk opgelicht. In 2018 ging het nog om 655 meldingen en 124 slachtoffers.

In de eerste weken van dit jaar ontving de Fraudehelpdesk al 112 meldingen van pogingen tot WhatsApp-fraude en maakten negen personen geld over naar de oplichters. In totaal ging het om een bedrag van meer dan 38.000 euro. Het gemiddelde schadebedrag per slachtoffer is ook toegenomen. In 2018 ging het nog om zo'n 2100 euro. Vorig jaar was dat al gestegen naar 3000 euro en voor dit jaar gaat het zelfs om 4200 euro.

Niet alleen doen de oplichters zich voor als een bekende van het slachtoffer, ze proberen ook het WhatsApp-account van deze persoon over te nemen. Hiervoor hebben ze toegang nodig tot de voicemail van het doelwit. Dit kan als mensen een eenvoudig te raden pincode hebben gekozen. Vervolgens vragen de oplichters in naam van de betreffende WhatsApp-gebruiker bij WhatsApp een verificatiecode aan.

Om een account te bevestigen verstuurt WhatsApp via sms een zescijferige verificatiecode. Wanneer de code niet meteen wordt gebruikt kan er ook worden gekozen om de code telefonisch door te laten geven. Als het doelwit niet opneemt kan de code in de voicemail terechtkomen, waar de oplichter via de eenvoudig te raden pincode toegang toe heeft.

Reacties (13)
14-01-2020, 10:03 door Anoniem
Veel mensen doen helemaal niks met hun voicemail of stellen die nooit in.

Het gaat wel ver dat je voor het beveiligen van whatsapp, je er nu ook aan moet denken om je voicemail te beveiligen.
14-01-2020, 10:54 door Erik van Straten
Door Anoniem: Veel mensen doen helemaal niks met hun voicemail of stellen die nooit in.
Klopt, ik vermoed omdat mensen niet zich niet realiseren dat een derde, gebruikmakend van een ander telefoonnummer (waar ook ter wereld), die voicemailbox kan uithoren, en zich ook niet beseffen dat iemand daar gegevens in kan vinden om jouw identiteit te stelen.

Daar komt bij dat je je kunt afvragen of een andere dan de standaard ingestelde vier-cijferige pincode voldoende sterk is voor het voorkomen van identiteitsfraude.

Ten slotte vermoed ik dat een deel van de gebruikers nooit voicemails afluistert (bel nog maar een keer als het belangrijk is).

Ik vind het zeer onverantwoord als telecomproviders een voicemailbox met een standaard pincode openzetten voor derden, en begrijp niet dat dit nog wordt toegestaan in een tijd waarin we eisen (of zouden moeten eisen) dat software en IoT devices niet online kunnen met een standaard wachtwoord.

Daar komt bij dat het vervalsen van (bellende) telefoonnummers gewoon mogelijk blijkt (en zo mogelijkerwijs voicemails kunnen worden beluisterd zonder een pincode in te hoeven voeren). Telecom providers zouden voicemail dus pas aan moeten zetten als de eigenaar er op z'n minst een voldoende lange pincode op gezet heeft, en de mogelijkheid moeten bieden om hier een sterk wachtwoord of passphrase voor in te stellen.

Eerlijkheidshalve weet ik niet of de "bel voicemail" functie op moderne smartphones een "device specific secret" meestuurt en telefoonnummer-spoofing daardoor niet zomaar werkt.

Door Anoniem: Het gaat wel ver dat je voor het beveiligen van whatsapp, je er nu ook aan moet denken om je voicemail te beveiligen.
WhatsApp, en de vele andere bedrijven die op dit soort "authenticatie" vertrouwen, zouden de betrouwbaarheid ervan kunnen verhogen door mijn voorstel te implementeren (https://www.security.nl/posting/638976/Secure+SMS+2FA+Proposal).

Nb. hoewel een dief van jouw smartphone mogelijk jouw voicemails kan afluisteren en SMS-berichten lezen, moet hij daarvoor (bij de beter beveiligde smartphones) het scherrm kunnen unlocken. Wat bij mijn weten nooit hoeft, is het scherm unlocken om een telefoongesprek aan te nemen. Een dief van jouw smartphone, die het scherm niet kan unlocken, kan zo wel jouw WhatsApp account kapen, maar ook andere diensten die "bellen ter authenticatie" ondersteunen (mijn voorstel beschermt ook in dit geval).
14-01-2020, 11:05 door karma4
Door Erik van Straten: ...
Eerlijkheidshalve weet ik niet of de "bel voicemail" functie op moderne smartphones een "device specific secret" meestuurt en telefoonnummer-spoofing daardoor niet zomaar werkt.
...
Lang geleden kon het bij mij vanaf een ander toestel uitluisteren alleen ingesteld worden met de menu's op de eigen smartphone. Het verkorte nummer werkte toen nog niet in het buitenland. zo te zien is dat nog steeds zo.
Het lijkt me nog steeds open te staan. … Nul berichten bij mij.
14-01-2020, 11:14 door Anoniem
Door Anoniem: Veel mensen doen helemaal niks met hun voicemail of stellen die nooit in.

Zelf zet ik mijn voicemail altijd UIT. Dan heb ik meer tijd om op te nemen en als ik er niet ben dan heb ik altijd nog de
melding dat er iemand gebeld heeft en die kan ik dan eventueel terugbellen. Daar heb ik geen "bel me even terug"
opname voor nodig laat staan een hakkelend ingesproken verhaal wat ik helemaal moet aanhoren en dan toch nog
niet veel mee kan.

Maar we herrinneren ons nog wel de situatie met de 2e kamerleden die nadat men was overgestapt op Vodafone
allemaal een voicemail hadden met allemaal dezelfde pincode... tot Vodafone op het idee kwam dat het toch niet zo
slim was om nieuwe klanten allemaal dezelfde pincode te geven.
14-01-2020, 11:30 door Anoniem
voicemail uitgezet,. nooit gebruikt. en wil het ook niet gebruiken.
Als het belangrijk is bel je maar terug,. of stuur ff een whatsapje dat ik je moet bellen ofzo.
14-01-2020, 11:46 door Anoniem
Sorry hoor maar het word overal 10x gezegd en gemeld. Als je er dan nog in trapt / geen controle doet of het de persoon echt is. Ben je gewoon een pannenkoek
14-01-2020, 12:33 door Anoniem
Door Erik van Straten:
Nb. hoewel een dief van jouw smartphone mogelijk jouw voicemails kan afluisteren en SMS-berichten lezen, moet hij daarvoor (bij de beter beveiligde smartphones) het scherrm kunnen unlocken. Wat bij mijn weten nooit hoeft, is het scherm unlocken om een telefoongesprek aan te nemen. Een dief van jouw smartphone, die het scherm niet kan unlocken, kan zo wel jouw WhatsApp account kapen, maar ook andere diensten die "bellen ter authenticatie" ondersteunen (mijn voorstel beschermt ook in dit geval).

Default staat het tonen van diverse meldingen op het lockscherm gewoon aan, dus ze hoeven je scherm helemaal niet te unlocken. Het kan dus al misbruikt worden als je even naar de toilet loopt en je telefoon op tafel laat liggen

Ook hier moet je zelf dus weer preventieve acties nemen om jezelf een beetje te beveiligen .. de lijst wordt onderhand wel lekker lang zo
14-01-2020, 12:39 door Anoniem
Door Anoniem: Sorry hoor maar het word overal 10x gezegd en gemeld. Als je er dan nog in trapt / geen controle doet of het de persoon echt is. Ben je gewoon een pannenkoek

Niet helemaal mee eens. Er worden steeds nieuwe manieren geintroduceerd om je geld kwijt te raken zonder ook over veiligheid te hebben nagedacht.

2 dingen waar ik me recent over geirriteerd heb.
Waarom kan je wanneer je een Ideal of een Tikkie betaalverzoek krijgt niet zien naar welk rekeningnummer het geld overgemaakt gaat worden? Op die manier kan ik dus niet controleren of de afzender klopt en ga ik dus nooit overboeken.

Om terug te komen op jouw opmerking .. dat ideal betaalverzoek kwam van mijn zorgverzekeraar die .. vanwege privacy .. niet ook meteen een gespecificeerde rekening mag meesturen ..

Zucht
14-01-2020, 14:22 door Anoniem
" De werkelijke schade ligt waarschijnlijk veel hoger, aangezien het hier alleen om slachtoffers gaat die melding bij de Fraudehelpdesk maakten."

Waarom zou ik mijn schade melden bij de Fraudehelpdesk? Ze doen er vervolgens niets mee. Ik meld mijn schades liever bij de politie, die gaan tenminste achter de boeven aan. Dus dit soort getallen zeggen echt he-le-maal niets.
14-01-2020, 14:53 door Anoniem
Mijn moeder is laatst bijna opgelicht via Whatsapp (vanuit Marktplaats). Via de phishing link heb ik kunnen achterhalen waar de site gehost wordt, en daarmee kan ik met 99% zekerheid zeggen dat dit ook de oplichter is. Kan ik hier iets mee?
14-01-2020, 17:00 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Nb. hoewel een dief van jouw smartphone mogelijk jouw voicemails kan afluisteren en SMS-berichten lezen, moet hij daarvoor (bij de beter beveiligde smartphones) het scherrm kunnen unlocken. Wat bij mijn weten nooit hoeft, is het scherm unlocken om een telefoongesprek aan te nemen. Een dief van jouw smartphone, die het scherm niet kan unlocken, kan zo wel jouw WhatsApp account kapen, maar ook andere diensten die "bellen ter authenticatie" ondersteunen (mijn voorstel beschermt ook in dit geval).
Default staat het tonen van diverse meldingen op het lockscherm gewoon aan, dus ze hoeven je scherm helemaal niet te unlocken.
Het klopt dat dit standaard aan staat, maar iedereen de security een beetje serieus neemt (mogelijk ook terroristen met iPhones) zetten dit uit.

Maar het nut daarvan is, helaas, inderdaad beperkt of zelfs nul als een dief of vinder van een smartphone (of de FBI, douane, ...), die dat toestel niet kan ontgrendelen, accounts kan overzetten naar een andere smartphone uitsluitend door het aannemen van een inkomend telefoongesprek (1 factor dus, en nu dus something you had).

Met mijn voorstel geïmplementeerd is dat niet meer zo eenvoudig (niet alleen is het kapen van accounts dan een stuk lastiger voor dieven en vinders, maar -als "bijwerking"- ook voor o.a. de FBI).

Uiteindelijk heb ik toch liever authenticatie via "iets dat ik weet". Dat, toegegeven, uit me geslagen kan worden, maar daarbij is de pakkans waarschijnlijk (in elk geval hopelijk) een stuk groter. En hoewel de FBI een dode vinger op een vingerafdrukscanner kan leggen (mits ze daar niet te lang mee wachten en niet de pech hebben dat het wachtwoordinvoermoment op dat moment is aangebroken, is mij nog geen methode bekend om het geheugen van een overledene uit te lezen.
14-01-2020, 21:54 door Briolet
Door Anoniem: Mijn moeder is laatst bijna opgelicht via Whatsapp (vanuit Marktplaats). Via de phishing link heb ik kunnen achterhalen waar de site gehost wordt, en daarmee kan ik met 99% zekerheid zeggen dat dit ook de oplichter is. Kan ik hier iets mee?

Maak daar maar 0,01% zekerheid van. De andere 99,99% van de gevallen weet de hoster niet wat die website doet en heeft ook niet de identiteit van de huurder gecontroleerd.

Je kunt de hoster benaderen. Kans is groot dat ze actie ondernemen omdat zij ook niet aan phishing gelinkt willen worden.
22-01-2020, 10:07 door Anoniem
Door Anoniem: Mijn moeder is laatst bijna opgelicht via Whatsapp (vanuit Marktplaats). Via de phishing link heb ik kunnen achterhalen waar de site gehost wordt, en daarmee kan ik met 99% zekerheid zeggen dat dit ook de oplichter is. Kan ik hier iets mee?

Aangifte bij politie met al de\ie gegevens en het vermoeden. Ze zullen we niets gaan doen. Maar een makkelijke zaak komst makkelijker van de plank dan een moeilijke, dus proberen waard.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.