Hoe geloofwaardige politieberichten kunnen misleiden ?

Er zijn zelfs mails waarin je beticht wordt van een misdrijf, ondertekend door Eric Snoeck, commissaris-generaal van de Federale Politie, Michel Goovaerts, korpschef van de politiezone Brussel HOOFDSTAD Elsene, parketmagistraten … Vele van deze mails zijn echter phishingmails verstuurd door cybercriminelen. 

Als slot van onze #SCAM-campagne gaan we nog eens dieper in op het fenomeen ‘phishing’ met commissaris Christophe Van Bortel en hoofdinspecteur Tijl De Groot. Beide zijn cyberexpert: Christophe Van Bortel bij de Regional Computer Crime Unit (RCCU) van de Federale Gerechtelijke Politie (FGP) Antwerpen, Tijl De Groot bij de Local Computer Crime Unit (LCCU) van de politiezone Brussel HOOFDSTAD Elsene (POLBRU). 

Commissaris Van Bortel werd al meermaals vernoemd in dergelijke mails. “Toen ik voor de eerste keer mijn naam in een mail zag opduiken, was mijn eerste reactie ‘Mijn naam wordt misbruikt, dit is een geval van identiteitsfraude. Ik zou graag een dossier opstarten bij het parket.’ Dat bleek echter niet zo evident. Daarom zocht ik naar een andere manier om dit fenomeen aan te kaarten en besloot me op sensibilisering en preventie te richten”, legt de commissaris uit. “Toevallig contacteerde de redactie van het VRT-Radio 2 programma WinWin me. Ze vroegen of het klopte dat namen van echte politieambtenaren misbruikt worden. Voor de tv-versie van het programma waren ze op zoek naar verschillende vormen van oplichting in naam van de politie. Met mij hadden ze meteen iemand binnen de politie om te getuigen over dergelijk misbruik en ik kon tegelijkertijd mijn boodschap brengen. Het was dus letterlijk een win-win voor beide partijen.” 

Ondanks de vele sensibiliserings- en preventie-initiatieven lopen nog heel wat mensen in de val van phishers. “We hebben niet altijd een zicht op het financiële nadeel van phishing”, pikt hoofdinspecteur De Groot in. “Het doel van de criminelen kan heel divers zijn. Willen ze enkel persoonlijke gegevens buitmaken of zijn ze toch voornamelijk uit op geld en komt er een vraag om te betalen? Mensen melden ons regelmatig dat ze een e-mail hebben ontvangen die afkomstig lijkt te zijn van Catherine De Bolle, Eric Snoeck of onze korpschef. Gelukkig contacteren ze ons meestal vóór ze in de val trappen. Dan is het eenvoudig, dan hoeven we enkel een proces-verbaal op te maken.” 

“Ik heb wel al meegemaakt dat iemand een groot bedrag kwijt was aan phishing”, reageert Christophe. “De dochter van een slachtoffer contacteerde mij dat haar vader een phishingmail ontvangen had. Daarin vroegen de criminelen een bedrag, ergens tussen 7 600 en 8 000 euro, dat hij moest betalen om vervolging te vermijden, een boete dus. Niet veel later nadat hij betaald had, kreeg hij het bericht: het is toch nog niet in orde, nu moet je 16 000 euro betalen om niet gearresteerd te worden. Hij begon nattigheid te voelen en schakelde zijn dochter in. Zo kwamen ze uiteindelijk bij mij terecht.” 

Je vraagt je af hoe de cybercriminelen erin slagen om toch slachtoffers te maken. “Ze sturen honderden mails uit. Die gaan over een misdrijf dat jou ten laste wordt gelegd, meestal zedenfeiten. In de mail stellen ze dat je een bedrag moet betalen om een boete of vervolging bij de rechtbank te vermijden”, gaat de commissaris verder. “Er is ook het verhaal dat jouw computer gehackt is, en als je betaalt, dan geven ze jouw computer terug vrij. Eigenlijk gaat het allemaal om hetzelfde. Ze verkopen je een verhaaltje en hopen dat je erin trapt en betaalt.” 

“Eigenlijk is het voor een cybercrimineel vrij simpel om dergelijke mails te versturen”, vult hoofdinspecteur De Groot zijn federale collega aan. “Er bestaan dergelijke pakketten die relatief spotgoedkoop zijn. Zelfs als er maar een klein percentage van de bestemmelingen reageert en in de val loopt, is hun investering gemakkelijk terugbetaald. Meestal maken ze nog winst ook en het kost hen weinig inspanning.” 

Hoe kan je een phishingmail herkennen? 

“Als ik die uitleg geef, zeg ik altijd: let vooral heel goed op de inhoud van het bericht. Als het koude zweet je uitbreekt, is dit het signaal om even na te denken over wat er in dat bericht staat. Meestal staat er ook dat je heel dringend moet reageren. Je moet jezelf de vragen stellen: Klopt dit? Waar komt die mail vandaan? Op welke manier kan ik dat via officiële instanties nakijken?”, legt Christophe uit. “Er zijn gemakkelijke manieren om de echtheid te checken. Komt het van de politie, bel dan het lokale politiekantoor op en je doet net hetzelfde met jouw bankfiliaal als het zogezegd van de bank komt. Zij kunnen onmiddellijk de informatie bevestigen of ontkennen.” 

“Ook aan het e-mailadres van de afzender kan je zien dat er iets niet klopt”, voegt Tijl toe. “Al is het helaas niet meer evident om onmiddellijk te zien of het e-mailadres al dan niet correct is. De raad die we vroeger gaven kijk goed naar de zichtbare header of het e-mailadres klopt of niet is ondertussen achterhaald. De techniek is zo geavanceerd waardoor het voor de burgers als voor ons steeds moeilijker wordt om de foute e-mailadressen te herkennen. Een slachtoffer had mails ontvangen die van zijn eigen e-mailadres leken te komen. Deze persoon was ervan overtuigd dat de cybercrimineel zijn mailbox gehackt had. Ik zou ook panikeren mocht ik plots een e-mail ontvangen die van mijn eigen e-mailadres lijkt te komen. In werkelijkheid hebben de cybercriminelen geen toegang tot je e-mailaccount. Dat is gewoon een spoof waarbij de fraudeur een vals afzenderadres gebruikt om je te doen geloven dat de e-mail van jouw eigen e-mailadres of een andere betrouwbare bron afkomstig is. Het is vrij gemakkelijk en goedkoop om spoof-profielen aan te maken.” 

TIP: Check het eigenlijke e-mailadres van de afzender door met de muis over de naam te zweven. Dan verschijnt het echte adres. Toch blijft extra waakzaamheid geboden: oplichters slagen er ook in e-mailadressen sterk op echte te laten lijken, soms met minimale verschillen. 

Zo eindigt het officiële mailadres van de politie op @police.belgium.eu, maar we zagen al phishingmails met het domein @poli.ce.belgium.eu binnenkomen. 

Vaak staan er nog linken in het bericht waarop je moet klikken om jouw gegevens te bevestigen. In principe begint een betrouwbaar webadres (URL) met https, een iets minder betrouwbaar met http. Helaas geldt dat niet meer altijd. Toch kan je, als je met de muis over het adres glijdt, zien dat de URL totaal niet verwijst naar de website van de instantie die in het bericht vermeld staat. Eigenlijk is er maar een gouden regel: klik NOOIT op de link in het bericht maar ga rechtstreeks naar de officiële website van de organisatie. 

“Tegenwoordig kan het ook al gevaarlijk zijn om de mail te openen. Vroeger was het advies: het kan geen kwaad om de mail te openen zolang je niet op de link klikt. Nu kan het gebeuren dat een mail geladen is met malware,” waarschuwt Tijl. “Het zou kunnen dat dit in een pdf-bestand, in een bijlage of iets dergelijks steekt. Dan is het aangewezen dat je een goede virusscanner op jouw computer hebt staan. Wees gewoon voorzichtig want ook hier geldt beter voorkomen, dan genezen.” 

Een ander, vrij recent opgedoken, phishingfenomeen is de recoveryfraude. Het komt erop neer dat cybercriminelen die eerder al geld van je hebben buitgemaakt, je opnieuw een phishingmail sturen. Daarin beweren ze dat ze hebben vastgesteld dat je slachtoffer bent geworden van phishing en bieden ze zogezegd hulp aan om je geld te recupereren. In werkelijkheid maken ze je nog meer geld afhandig. 

Wat als ik slachtoffer ben? 

Elke dag zijn er mensen die in de val trappen. Vaak durven die niet naar de Lokale Politie stappen om aangifte te doen want ze schamen zich omdat ze zich hebben laten misleiden. 

“Cybercriminelen maken misbruik van vertrouwen. Wie daarin trapt, is daarom niet dom,” klinkt het in koor. “Zelfs niet naïef. Slachtoffers treft geen blaam. De crimineel is verantwoordelijk.” 

“We vinden het jammer dat mensen geen aangifte durven doen. Daardoor is er een dark number waar we niets over weten. Een tweede reden die we vaak horen: ‘we dienen geen klacht in, want er wordt toch niets mee gedaan, ons geld zien we nooit meer terug’ maar dat klopt niet. Trouwens, de politiek besteedt ook steeds meer aandacht aan deze problematiek. Zo worden banken sinds kort verplicht om de geleden schade terug te betalen”, legt commissaris Van Bortel uit. “Het belang van de aangifte is dat het net dát belangrijke puzzelstukje kan zijn waardoor we een criminele organisatie kunnen oprollen.” 

“Ik snap dat er angst of schaamte is om een politiekantoor binnen te stappen, net omwille van die schrik dat ze raar zouden worden bekeken”, reageert hoofdinspecteur De Groot. “Daarom kunnen burgers altijd aangifte doen via Police on Web. Dat kan een eerste stap zijn. Persoonlijk raad ik dat af. Niet omdat dit fout is, maar die aangiftes worden enkele tijdens de kantooruren behandeld en de info die we krijgen is vaak onvoldoende. Hoe dan ook moet het slachtoffer nog langskomen. In dergelijke situaties is snelheid van kapitaal belang. Hoe sneller we op de hoogte zijn, hoe vlugger we in actie kunnen schieten. Zeker bij gemeenten of steden waar er, zoals in mijn politiezone POLBRU, een LCCU bestaat, zijn er specialisten beschikbaar die het dossier al kunnen opstarten. Onze onthaalmedewerkers weten dat we bestaan. We geven hen ook tips en leggen aan onze politiemedewerkers uit hoe ze onder andere een goede klacht moeten opnemen. De kleinere politiezones waar er geen LCCU is, sturen hun info door naar een RCCU zoals die van Christophe die er dan verder mee aan de slag gaat.” 

“Ik wil er nog aan toevoegen dat je onmiddellijk jouw bank moet verwittigen als je geld zou hebben overgeschreven”, vermeldt Christophe. “De meeste banken hebben een fraudelijn die 24 uur op 24, 7 dagen op 7 werkt. Je vindt een overzicht van de verschillende nummers op de flyer van Febelfin. Zij kunnen al de eerste stappen zetten om de overschrijving tegen te houden of andere banken te verwittigen en het doorsluizen te stoppen. Je hebt dan wat meer ademruimte om een afspraak te maken in het politiekantoor om klacht in te dienen. Sinds maandag 22 juni kan het zelfs nog gemakkelijker en sneller. Het nummer van Card Stop is FraudStop geworden. Je kan jouw bank nu ook via het nummer 078 170 170 bereiken als je denkt slachtoffer te zijn van phishing.”

Zowel Christophe als Tijl zetten heel sterk in op preventie en sensibilisering. “Preventie komt erbij kijken. Je legt het uit aan dat slachtoffer en die zegt dat tegen de tante, die het op haar beurt dan weer in haar buurthuis doorvertelt. We geven ook les aan bejaarden in het kader van seniorflik. Ik geef cybersecurity in bejaardentehuizen sinds vorig jaar. Dat is heel plezant. Er is heel veel interactie”, vertelt Tijl. 

“Ik geef vaak voordrachten in scholen en verenigingen”, vervolgt Christophe. “Ik heb volop meegewerkt aan de #SCAM-campagne en wordt heel vaak gesolliciteerd door de pers om over dit en andere thema’s binnen de cybercriminaliteit te komen spreken.”