Phishingfraude in 2021: de cijfers
Phishing is uitgegroeid tot een maatschappelijk en wijdverbreid probleem dat veel slachtoffers maakt. Dat dit jammer genoeg ook nog in 2021 het geval was, blijkt uit nieuwe cijfers. Ook al zien we een aanzienlijke daling in het aantal geslaagde fraudegevallen via phishing, het aantal fraudepogingen blijft hoog en geen enkele sector blijft gespaard. De banksector en het Centrum voor Cybersecurity België (CCB) hebben al meerdere sensibiliseringscampagnes opgezet, maar werken ook steeds meer samen met andere sectoren om fraudeurs een halt toe te roepen.
En die vele inspanningen werpen vruchten af. Er is een substantiële daling van het totale buitgemaakte bedrag via phishing: In 2021 werd er 9 miljoen euro minder buitgemaakt dan het jaar voordien. Dat is een daling van meer dan 26%. Een goede zaak, maar we merken echter een belangrijke verschuiving richting andere fraudevormen, zoals beleggings-, factuur-, hulpvraag- of kluisrekeningfraude, waarbij het slachtoffer wordt overgehaald om zelf geld over te maken.
Minder geslaagde fraudegevallen via phishing
In 2020 zagen we een enorme opmars van alle vormen van online fraude, en dus ook van phishing. Bij phishing geven slachtoffers hun persoonlijke bankcodes door aan fraudeurs – meestal door te klikken op een link die leidt naar een frauduleuze website – zodat deze laatsten in naam van het slachtoffer transacties kunnen uitvoeren. Op die manier werd in 2020 34 miljoen euro buitgemaakt.[1]. Dat cijfer is een jaar later gedaald: de teller voor 2021 staat op 25 miljoen euro. Dat is een daling van meer dan 26%.
25 miljoen euro is de netto buit, de effectief geleden schade, zonder de pogingen tot fraude meegerekend. Ongeveer 75% van deze frauduleuze – maar perfect ondertekende – overschrijvingen werd door de banken ongedaan gemaakt, zowel door ze tijdig te detecteren en te blokkeren als door de buitgemaakte bedragen terug te vorderen. Deze door de banken verhinderde fraudegevallen zijn niet opgenomen in het nettobedrag.
Opmars van fraude via overschrijvingen door slachtoffer
Naast phishing – fraude via het delen van je codes met derden – zijn er ook tal van andere manieren van online oplichting[2]. Hierbij worden slachtoffers gemanipuleerd door oplichters en aangezet worden om zelf geld over te schrijven op de rekening van de oplichter.
Een dergelijke vorm van fraude die steeds meer in opmars is, is beleggingsfraude of boilerroom-fraude. Het is een vorm van oplichting waarbij fraudeurs je fictieve of waardeloze aandelen of financiële producten aanbieden. Je wordt meestal ongevraagd gecontacteerd met een aanbod voor een fantastische deal die een hoog rendement belooft op te leveren. De “verkopers” zetten je zwaar onder druk, zodat je steeds meer geld zou storten. Indien je hierin meegaat, krijg je fictieve aandelen of waardeloze financiële producten in handen. De criminelen gaan lopen met je geld en jij blijft berooid achter.
“Wees steeds op uw hoede voor beloftes van uitzonderlijk hoge rendementen. Vaak is dit een knipperlicht voor fraude. Als het te mooi klinkt om waar te zijn, is het dat ook”, zegt Jim Lannoo, woordvoerder van de Autoriteit van Financiële diensten en markten (FSMA).
Bij kluisrekeningfraude proberen fraudeurs het vertrouwen van het slachtoffer te winnen en doen zich voor als een medewerker van de bank en vragen om je geld over te schrijven naar een zogezegd nieuwe, veilige rekening, omdat er met jouw huidige rekening fraude zou zijn gepleegd. Die rekening bestaat natuurlijk niet. Als je het geld overschrijft, komt dit terecht op de rekening van de oplichter.
Hulpvraagfraude is ook zo’n gekend voorbeeld van dit type fraude. De fraudeur doet zich voor als een kennis of familielid van het slachtoffer en overtuigt via een web van leugens het slachtoffer om een overschrijving uit te voeren.
Beleggings-, kluisrekening- en hulpvraagfraude zijn dus vormen van fraude waarbij het slachtoffer zelf het geld overmaakt naar een rekening van een oplichter. Maar er passen nog vele andere vormen van fraude in dit rijtje, denk maar aan: factuurfraude, helpdesk- en vriendschapsfraude, en CEO-fraude.
Wees waakzaam voor online fraude
Fraudeurs maken niet alleen gebruik van verschillende kanalen - zoals email, brief, telefoon, sms, sociale media en whatsapp - maar ze plegen de fraude ook in naam van verschillende organisaties en instellingen zoals banken, overheidsadministraties, telecomoperatoren, nutsbedrijven, enzovoort. De lijst is lang. Daarom is dit ook een breed maatschappelijk fenomeen: verschillende sectoren zijn betrokken partij en ook door de grote verscheidenheid aan kanalen is iedereen potentieel slachtoffer.
De vindingrijkheid van fraudeurs mag dan indrukwekkend zijn, door waakzaam te zijn is veel schade te voorkomen:
- Geef nooit persoonlijke codes (pincode & response code) door naar aanleiding van een email, telefoongesprek, sms, sociale media of whatsappbericht. Zulke vragen worden nooit gesteld door uw bank of een bankmedewerker.
- Een bankmedewerker zal je ook nooit vragen om geld over te schrijven naar een andere, zogezegd veilige rekening.
- Klik ook nooit op een ontvangen link om online overschrijvingen uit te voeren, maar typ altijd zelf het adres van de gewenste bankwebsite in je browser of gebruik je eigen mobiele banking app. Alleen dan ben je zeker dat er niks aan de hand is.
- Krijg je een bericht van een bekende die je vraagt om geld over te maken, bel hem of haar eerst op voordat je een overschrijving uitvoert. Zorg er altijd voor dat je weet met wie je te maken hebt.
- Ook om je te wapenen tegen beleggingsfraude, geeft de FSMA enkele tips:
- Wees op je hoede als je via telefoon of e-mail gecontacteerd wordt met een financieel aanbod zonder dat je daar als belegger vooraf om hebt verzocht. Dit is vaak de eerste stap van een frauduleuze praktijk.
- Kijk uit als wordt gevraagd om geld over te maken naar een land dat geen enkele band heeft met de vennootschap, noch met je thuisland als belegger. Let er ook op dat bij boilerroomfraude in de meeste gevallen wordt gevraagd om geld over te maken op bankrekeningen die zijn geopend bij banken gevestigd in Azië.
- Wees wantrouwig als een torenhoge winst wordt beloofd. Vaak laten oplichters van meet af aan uitschijnen dat er aanzienlijke winst wordt geboekt. Het loopt pas fout op het ogenblik dat de belegger zijn inleg terugvraagt.
Wat doet de bank om jou zo goed mogelijk te beschermen?
Banken hebben verschillende systemen ingebouwd om transacties veilig te laten verlopen en de fraude naar aanleiding van phishing zo veel mogelijk te voorkomen en/of in te dijken. Zo is er sinds een tiental jaar tweestapsauthenticatie vereist bij online en mobiel bankieren. De klant identificeert zichzelf aan de hand van twee van volgende drie elementen om e-betalingen te initiëren: iets dat hij weet (vb. pincode), iets dat hij bezit (bv. smartphone), iets dat hem eigen is (vb. vingerafdruk). Het garanderen van vlot en snel betaalverkeer én efficiënte fraudedetectie is een moeilijk en delicaat evenwicht. Het vergt continue investeringen in personeel en infrastructuur vanuit de banksector.
De banken investeren bovendien in intensieve monitoring en maken op die manier veel schade ongedaan. Deze inspanningen leveren opmerkelijke resultaten: ongeveer 75% van frauduleuze transacties via phishing werd door de banken gedetecteerd en geblokkeerd of teruggevorderd.
Banken nemen dus voortdurend maatregelen om fraude te voorkomen. Dat werpt zijn vruchten af bij fraudevormen zoals phishing, waarbij criminelen toegang proberen te krijgen tot de rekening van de klant. Maar als slachtoffers worden overgehaald om zelf geld over te maken aan de oplichters, dan is het voor de bank moeilijker om fraude te herkennen en dit via monitoring te detecteren.
Er wordt ook volop ingezet op sensibiliseringsacties, zowel door de individuele banken als op sectorniveau, waarbij we iedereen willen oproepen om waakzaam te zijn voor phishing en online fraude. Campagnes met tips, zowel op sociale media als op tv en radio, bereikten een groot doelpubliek. Maar het aantal fraudegevallen blijft hoog en dus is er nog werk aan de winkel.
Wat doet het Centrum voor Cybersecurity België om je te waarschuwen en te beschermen tegen phishing?
Het Centrum voor Cybersecurity België (CCB) voert met Safeonweb bijna voortdurend campagne om mensen te waarschuwen voor de gevaren van phishing. Op de website Safeonweb.be vind je tips en een test om phishingberichten snel te leren herkennen.
Daarnaast lanceerde het CCB in 2017 een e-mailadres verdacht@safeonweb.be. Dit bleek een groot succes. In de periode januari – maart 2022 kwamen gemiddeld 14.000 berichten per dag binnen wat resulteerde in het blokkeren van 129.920 frauduleuze websites. Via dit e-mailadres kunnen mensen verdachte berichten melden. Het CCB kan de links in deze berichten laten blokkeren waardoor minder oplettende mensen die toch zouden klikken, de valse websites niet meer kunnen bereiken. Het ziet er naar uit dat dit vruchten begint af te werpen.
Safeonweb heeft nu ook een app waarmee je op een snelle en eenvoudige manier op de hoogte blijft. Deze applicatie waarschuwt je voor cyberdreigingen en online oplichting. Sinds de lancering in november 2021 werd de app al meer dan 180.000 keer gedownload.
Miguel De Bruycker, directeur Centrum voor Cybersecurity België: ‘Online oplichters liggen nog steeds op de loer maar wij maken ons sterk dat we met onze voortdurende waarschuwingen, het e-mailadres verdacht@safeonweb.be en nu ook de Safeonweb App, mensen heel snel waarschuwen en verdachte websites snel kunnen blokkeren. We blijven verder investeren om van het internet een veilige plek te maken.’
Sensibiliseringscampagnes zullen altijd belangrijk blijven, daarom zullen Febelfin, het Centrum voor Cybersecurity België en de Cyber Security Coalition de Safeonweb campagne “Wees slimmer dan een phisher” op 3 mei opnieuw lanceren. Deze campagne werd voorgesteld in november 2021 en zet de Safeonweb-app in de kijker, samen met het emailadres verdacht@safeonweb.be voor het doorsturen van phishingberichten en het blokkeren van valse websites.
Alle info over deze campagne is terug te vinden via www.safeonweb.be
Samenwerking in de strijd tegen online fraude
Gezien de vele vormen en de complexe aard van online oplichting zijn er niet alleen technische werkgroepen met financiële experten die informatie uitwisselen, maar ook samenwerkingsverbanden met andere stakeholders. Zo zijn er samenwerkingsinitiatieven met telecomoperatoren, parket, politie, overheidsinstanties en justitie om online fraude in al zijn vormen aan te pakken. Samen willen we ook de sensibiliseringsboodschap zo breed mogelijk verspreiden.
Online fraude is immers uitgegroeid tot een maatschappelijk probleem. De fraudeurs slaan alsmaar meer toe en door hun diverse manier van werken, blijft geen enkele sector gespaard. Iedereen is betrokken partij en dat maakt van online veiligheid een gedeelde verantwoordelijkheid. Alleen samen kunnen we deze strijd aan.
Iets verdacht opgemerkt?
Een sms, e-mail of brief ontvangen waarvan je vermoedt dat het phishing is? Wees op je hoede en stuur het door naar verdacht@safeonweb.be en als het bericht de naam van een bank misbruikt naar phishing@__[bankdomeinnaam]__. Krijg je een phishingbericht op het werk, verwittig dan ook de ICT-dienst. Stuur het phishingbericht door en verwijder het daarna.
Toch slachtoffer?
Ben je toch in de val gelopen, dan onderneem je best volgende stappen:
- Bel Card Stop op 078 170 170
- Breng onmiddellijk je bank op de hoogte.
- Verzamel alle gegevens om de feiten en de geleden schade te bewijzen.
- Doe meteen aangifte bij de politie.
[1] Cijfer betreft nettofraude. Zie: Phishing in 2020: de cijfers | Febelfin
[2] De meest gebruikte fraudevormen ontrafeld | Febelfin