Bellen naar slachtoffers als begin van een cyberaanval, hoe werkt het?

Gepubliceerd op 12 juli 2022 om 15:00

Je telefoon gaat over.. Je werkgever belt en vraagt jou om een groot geldbedrag over te maken. De stem en het nummer lijken te kloppen, maar het verzoek blijft ronduit verdacht. Pas op, want mogelijk heb je te maken met voicefake-vishing.

Voicefake

Voicefakes is de naam die gegeven is aan audio die nep is, maar nauwelijks van echt te onderscheiden is, dankzij een specifieke machine learning techniek. Dit was ooit voorbehouden aan special effect-studios of inlichtingen diensten die propaganda maakten, maar vandaag de dag kan iedereen deepfake-software downloaden en steeds overtuigendere nep video's of nep audio berichten maken in de huiskamer.

Vishing

Vishing is een samentrekking van ‘voice’ en ‘phishing’, een bekende oplichtingsmethode. Phishing kun je vrij letterlijk vertalen naar ‘vissen’, want criminelen vissen naar de persoonlijke informatie van slachtoffers. Denk bijvoorbeeld aan betaalgegevens, of het wachtwoord van je e-mailaccount. Ieder vishing-crimineel gaat op een iets andere manier te werk, maar het einddoel is altijd hetzelfde: geld stelen.

Werkwijzen

Eerst wordt het slachtoffer opgebeld door een figuur met autoriteit. Dat kan bijvoorbeeld een bankmedewerker zijn, of iemand van de politie. Ze gebruiken een bepaalde smoes om jou te laten meewerken aan hun ‘onderzoek’.

De zogenaamde bankmedewerker vertelt bijvoorbeeld dat criminelen hebben geprobeerd jouw rekening te plunderen. De bank was er gelukkig snel bij en heeft jouw rekening uit voorzorg geblokkeerd. Om jou weer toegang te geven zijn ‘aanvullende details’ ter bevestiging nodig, zoals je geboortedatum of handtekening. Uiteraard moet je deze informatie niet doorspelen, want hiermee kan de bankmedewerker (lees: vishing-oplichter) in werkelijkheid identiteitsfraude plegen.

Vishing gaat in de praktijk vaak gepaard met andere oplichtingsmanieren, zoals phishing of smishing. De zogenaamde bankmedewerker zegt bijvoorbeeld dat je straks een e-mail (of sms) ontvangt, met daarin een stappenplan om weer toegang te krijgen tot je rekening. In werkelijkheid leidt de link uit het bericht naar een website van de criminelen. Dit is echter lastig te zien, want de site is één-op-één nagemaakt.

KNAB waarschuwt voor phishing berichten

Geloofwaardig, tijdsdruk en angst

Een ander kenmerk van vishing: tijdsdruk. De criminelen willen altijd dat je snel handelt, want anders gaat het mis. De bankmedewerker stuurt je bijvoorbeeld een formulier per e-mail en die moet je binnen een halfuur invullen. Doe je dit niet, dan verlies je toegang tot je rekening. Daarbij worden ook je tegoeden bevroren en kun je dus fluiten naar je geld.

Ook maken vishing-oplichters vaak gebruik van valse telefoonnummers. Via spoofing doen zij zich bijvoorbeeld voor als de helpdesk van je bank, of een politiemedewerker. Meestal bellen de criminelen vanuit het buitenland, maar dankzij spoofing lijkt het alsof je door een Nederlands nummer gebeld wordt. Ook sim-swapping, waarbij telefoonnummers op afstand worden overgenomen, wordt vaak in combinatie met vishing gebruikt.

De meeste oplichtingstrucs zijn onpersoonlijk. Meestal sturen criminelen je een mailtje of sms met daarin het verzoek om een nieuwe betaalpas aan te vragen, of een app te downloaden om daarmee je pakketje te volgen.

Vishing is daarentegen wel persoonlijk. Bellen is vrij intiem en aan iemands stem kun je veel aflezen. Vrijwel iedereen is bekend met de Microsoft-zwendel, waarbij criminelen (vaak met een flink aanwezig Indiaas accent) slachtoffers opbellen en hen vertellen dat hun computer stuk is. De hele situatie is daardoor vrij verdacht en daardoor realiseren de meeste mensen (gelukkig) op tijd dat ze worden opgelicht.

De vraag is daarom: hoe lukt het criminelen om slachtoffers dankzij vishing wél op te lichten? Het antwoord is dat zij, jammer genoeg, ook met hun tijd meegaan. Tegenwoordig kunnen stemmen namelijk nagemaakt worden.

Voicefake slachtoffers

Hoe dit kan uitpakken, maakt een praktijkvoorbeeld uit 2019 duidelijk (via The Wall Street Journal) en in . Toen werd duidelijk dat vishing-criminelen kunstmatige intelligentie hadden gebruikt om de stem van een energiebedrijf-directeur na te maken.

Deze stem werd vervolgens ingezet om de leidinggevende van de Britse afdeling te overtuigen om een bedrag van 220.000 euro over te maken. Dit geld was zogenaamd nodig om een openstaande rekening van een toeleverancier van het energiebedrijf te betalen. Uiteraard was er haast in het spel, want het geld moest binnen één uur overgeschreven zijn.

Tijdens de rechtszitting verklaarde de Britse leidinggevende dat het accent van de grote baas perfect was nagemaakt. Zelfs het kenmerkende accent van de directeur klonk volgens het slachtoffer identiek.

Het geld kwam op een Hongaarse bankrekening terecht. Vanuit hier werd het vervolgens doorgestuurd naar Mexico en andere locaties. Door een dwaalspoor te creëren zijn de daders van de oplichting nooit gevonden. Waarschijnlijk hebben de criminelen speciale software gebruikt om de stem van de directeur na te bootsen.

In de meeste gevallen loopt vishing gelukkig niet zó erg af. Maar, onderschat de gevolgen niet. Uit onderzoek van de Amerikaanse Federal Trade Commission uit 2019 blijkt dat 6 procent van de pogingen tot vishing succesvol is. Die kans is dus niet bijster hoog, maar als het lukt gaan criminelen er gemiddeld met 960 dollar aan buit vandoor. Een ander voorbeeld is die van Jan uit den Haag, hier lees je zijn verhaal.

Wat zijn spoofcalls en robocalls?

Je krijgt een telefoontje van een onbekend nummer en besluit niet op te nemen. Ze bellen later maar terug. Maar je telefoon blijft overgaan. Oké vooruit, je neemt toch maar op. Aan de andere kant van de lijn dreunt een computerstem een vooraf opgenomen riedeltje op. Of niet eens een computerstem maar gewoon een echte ‘medewerker’ van jouw bank. Wantrouwend hang je direct op, waarna je telefoon een paar minuten later alwéér afgaat. Dit lijkt verdacht veel op telefonische spam. Wat moet je hier nou mee?

In het bovenstaande voorbeeld gaat het om een spoofcall of een robocall. In beide gevallen gaat het om oplichting, waarbij criminelen jouw gegevens proberen te bemachtigen. Een robocall is een automatisch gegenereerde oproep. Je hoort een computerstem of vooraf opgenomen bericht. Vaak in het Engels. Denk hierbij aan de zogenaamde Engelstalig telefoontje namens National Police/Dutch Supreme Court.

Bij spoofcalls neemt de crimineel een andere identiteit aan. Eentje die jij genoeg vertrouwt, in de hoop je op te lichten. De criminelen bellen bijvoorbeeld met een Nederlands nummer terwijl ze eigenlijk in het buitenland zitten. Deze truc wordt veel gebruikt bij helpdeskfraude (Tech Support Scam). Hierbij belt een oplichter namens een helpdesk van een groot bedrijf, zoals Microsoft of de bank (bankhelpdesk fraude)

Deze twee vormen van oplichting gaan vaak hand in hand. Criminelen gebruiken spoofing ook bij robocalls, om jou te bellen met bekende nummers. Ze hopen dat je dit sneller vertrouwt en eerder opneemt. Een telefoonnummer dat lijkt op dat van de Belastingdienst bijvoorbeeld. Bij een robocall hoor je waarschijnlijk direct dat er iets aan de hand is. Maar ontvang je een telefoontje van een ‘echt’ persoon die zich voordoet als medewerker? Dan is het moeilijk om de oplichter te herkennen.

Voorkomen

  • Iedereen kan slachtoffer van vishing worden. Wel kun je de kans verkleinen door enkele voorzorgsmaatregelen te nemen. Ten eerste is het natuurlijk belangrijk om je gezond verstand te gebruiken. Ga niet zomaar op verdachte verzoeken in.
  • Probeer niet mee te gaan in de (opgelegde) tijdsdruk. Een bank gaat bijvoorbeeld echt niet zomaar je rekening bevriezen: daar is een behoorlijke procedure voor nodig.
  • Wanneer je twijfelt over de echtheid van een telefoontje kun je het best contact opnemen met de organisatie in kwestie. Bel bijvoorbeeld het algemene telefoonnummer van de bank en leg hen de situatie voor. Zij kunnen je heel snel vertellen of er daadwerkelijk iets aan de hand is met je rekening.
  • Is er sprake van (poging tot) oplichting? Doe dan altijd aangifte bij de politie. Ook kun je een melding indienen bij de Fraudehelpdesk. Hiermee breng je de grootte van oplichting in Nederland in kaart.

Bron: anoniem, wsj.com, knab.nl, androidplanet.nl

Meer info over vishing 

Meer vishing nieuws