Pas OP oplichters sturen valse mails


Maandag 24 april 2023

Oplichters sturen nieuwe valse e-mails: eHerkenning, iDIN en malware

Valse e-mails: Ze bestaan al jaren, maar zo nu en dan duiken er nieuwe varianten op. In deze berichten gaan oplichters in op zaken zoals eHerkenning en iDIN. Het doel is in verreweg de meeste gevallen om inloggegevens voor internetbankieren te ontfutselen. Ook gaan er valse e-mails namens de Rabobank rond: in deze mails zit schadelijke malware. We nemen een aantal recente exemplaren onder de loep.

Om te beginnen de valse 'Rabobank'-mail met malware. Deze is de moeite van het benoemen waard omdat deze nepmail op één essentieel onderdeel afwijkt van vergelijkbare valse mails.

Valse 'Rabobank'-mail: Geen nepsite, maar malware

In praktisch alle valse mails proberen oplichters je ertoe te verleiden om op een link te klikken. Deze links verwijzen doorgaans naar nepsites waarop het de bedoeling is dat je gevoelige (financiële) gegevens invoert, zoals inloggegevens voor internetbankieren en andere (persoons)gegevens.

De Fraudehelpdesk heeft onlangs veel meldingen gekregen over valse 'Rabobank'-mails met daarin malware. Het zou gaan om een mail waarin klanten lezen dat er sprake is van "een ongelezen bericht van de bank". Wie op de bijgevoegde mail klikt, belandt echter niet op een nepsite, maar installeert onbedoeld malware.

Het is niet duidelijk om wat voor malware het precies gaat, maar malware is in alle gevallen slecht nieuws. Bij de Fraudehelpdesk zijn vooralsnog alléén voorbeelden bekend waarin de naam van de Rabobank wordt misbruikt voor het verspreiden van malware, maar de organisatie houdt wél een slag om de arm: "Mogelijk worden deze mailtjes ook namens andere banken verstuurd."

Het advies is om niet op de link in de mail te klikken en deze te verwijderen. Toch geklikt? Dan kun je je melden bij de Fraudehelpdesk voor advies.

Valse e-mail over iDIN: "Veilig inloggen met verplichte iDIN-identificatie"

Ook gaat er momenteel een valse mail rond over iDIN (afkorting van identificeren en inloggen). Dat is een inlogmethode die ontwikkeld is door banken en bij zo'n 200 instanties – waaronder verzekeraars en hypotheekverstrekkers – kan worden gebruikt:

"iDIN is een dienst die ontwikkeld is door de banken. U kunt met iDIN veilig en op dezelfde manier inloggen bij overheidsinstanties, verzekeringsmaatschappijen en webwinkels. U gebruikt namelijk de veilige en vertrouwde inlogmethode van uw bank. Zo hoeft u veel minder gebruikersnamen en wachtwoorden te onthouden."

Klanten van ABN AMRO, ING, Rabobank, SNS, ASN Bank, Regiobank én bunq kunnen iDIN gebruiken als alternatieve inlogmethode bij instanties die iDIN ondersteunen. 

In deze valse mail staat dat iDIN op termijn "verplicht wordt voor consumenten en ondernemers" en dat het specifieke wetsvoorstel dat hierover gaat hoogstwaarschijnlijk dit jaar nog wordt doorgevoerd. Daarvan is in werkelijkheid echter geen sprake: niet alle banken ondersteunen iDIN en nergens wordt gesproken over een verplichting.

De oplichters hopen je verder op een zijspoor te zetten door veiligheidsgaranties te doen: "Ook nog goed om extra te benadrukken: met iDIN doet u geen betalingen. Websites en organisaties hebben geen inzicht in de betaalgegevens bij uw bank."

Wél krijgen ontvangers de optie om iDIN vast te activeren, en wel via een meegestuurde link. Deze link zal hoogstwaarschijnlijk verwijzen naar een valse website waar je je identiteit kunt 'bevestigen' door even in te loggen op internetbankieren. En doe je dat? Dan gaan oplichters vliegensvlug met jouw banksaldo aan de haal. Alle reden dus om deze mail vooral links te laten liggen, mocht je er een ontvangen.

Valse e-mail over eHerkenning: "Vanaf 1 mei inloggen bij de Belastingdienst"

En dan gaat er nóg een valse e-mail rond. Ditmaal gaat het over eHerkenning, en dat is feitelijk een inlogmethode die ondernemers in staat stelt om "eenvoudig en veilig in te loggen bij de Belastingdienst en op Mijn Douane".

In zekere zin is het net DigiD, zo stelt ook de Belastingdienst: "eHerkenning is vergelijkbaar met DigiD, maar dan voor ondernemingen."

In deze nepmail wordt echter met geen woord gerept over 'ondernemers' of 'ondernemingen', waarmee de suggestie wordt gewekt dat iedereen voortaan met eHerkenning moet inloggen bij de Belastingdienst, ook individuele burgers die belastingzaken moeten regelen.

Er wordt gesproken over een ingangsdatum van 1 mei, maar dat lijkt niet op waarheid te berusten: wellicht is 1 mei gekozen omdat je vóór die datum je belastingaangifte moet doen en die specifieke datum bij veel mensen wel een belletje doet rinkelen.

En jawel, ook in deze mail staat een link waar je je vast kunt 'aanmelden' voor eHerkenning. Volgens de informatie in deze nepmail gaat het om een pagina van de Belastingdienst, maar ook hier is de insteek vermoedelijk dat je je identiteit even moet verifiëren door wat inloggegevens voor internetbankieren door te sturen. Niet aan te raden als je wenst te voorkomen dat oplichters jouw bankrekening plunderen.

Bron: Belastingdienst, Fraudehelpdesk, iDIN.nl

Nieuwsoverzicht