Tijdens een ledenvergadering van de BPOB (Branchevereniging Particuliere Onderzoeksbureaus) werd er een lezing gegeven door Maria Genova, onderzoeksjournaliste en onder andere schrijfster van het boek ‘Komt een vrouw bij de h@cker’. Voor dit boek is ze in de wereld gedoken van identiteitsfraude. Ze sprak met hackers, (digitale) experts en slachtoffers. Het boek laat zien hoe gemakkelijk het is om je identiteit te stelen en je computer te hacken. Er worden talrijke praktijkvoorbeelden gegeven en tot slot erg bruikbare tips achter in het boek om jezelf te beschermen tegen identiteitsfraude (voor zover dat kan). Ook laat ze zien dat de sociale media en het verstrekken van (onschuldige) persoonlijke informatie een duistere keerzijde kunnen hebben.
In mijn vakgebied kom ik regelmatig in aanraking met verschillende vormen van (internet)fraude waardoor ik al iets bewuster ben geworden met Social Media, security en gegevensverstrekking. Toch was deze lezing en vervolgens het lezen van dit boek, een echte wake-up call. Ik heb meteen de extra maatregelen genomen die werden aanbevolen. Ik was zo geïnspireerd door het onderwerp dat ik het een goede aanleiding vond om er zelf een artikel aan te wijden, om u als lezer ook bewust te laten worden van de gevaren van identiteitsfraude en tips te geven om het risico op identiteitsfraude voor uzelf of voor uw bedrijf te verkleinen.
HOE WORDT IDENTITEITSFRAUDE GEDEFINIEERD EN WIE ZIJN DE SLACHTOFFERS?
Identiteitsfraude is het opzettelijk (en) wederrechtelijk of zonder toestemming verkrijgen, toe-eigenen, bezitten of creëren van valse identificatiemiddelen en het daarmee begaan van een wederrechtelijke gedraging of met de intentie om daarmee een wederrechtelijke gedraging te begaan. In de volksmond wordt identiteitsfraude ook wel omschreven als: ‘het met kwade bedoelingen bewust de schijn oproepen van een identiteit die niet bij hem hoort’. Pas in 2014 is identiteitsfraude als delict op zichzelf strafbaar geworden (artikel 231b Wetboek van Strafrecht).
Volgens een onderzoek uit 2015 worden er jaarlijks zo’n 1-5% van de Nederlandse bevolking slachtoffer van identiteitsfraude. Dat kan dus oplopen tot 850.000 mensen per jaar! De gevolgen zijn vaak niet te overzien. Om een idee te krijgen van wat er kan gebeuren, een voorbeeld uit het boek. Dit gaat over een man die vrijwel dagelijks boetes, aanmaningen en brieven krijgt van officiële instanties nadat iemand zijn rijbewijs in de discotheek heeft gestolen. In korte tijd zetten criminelen 1737 auto’s op zijn naam. Hij wordt opgepakt en brengt maanden in de gevangenis door. Hij kan simpelweg niet bewijzen dat hij met zijn uitkering geen 1737 auto’s kan kopen. Zijn uitkering wordt vervolgens stopgezet, want volgens de ambtenaar heeft iemand die in staat is zoveel auto’s te kopen, geen uitkering nodig. Voordat de zaak definitief is opgelost, is hij zeventien jaar verder. Zeventien jaar vol ellende en angst. Pas toen heeft hij gerechtigheid gekregen bij het Europees Hof voor de Rechten van de Mens.
En u hoeft niet eens uw rijbewijs of paspoort te verliezen om slachtoffer te worden van dit soort praktijken. Een kopie van uw identiteitsbewijs blijkt voor criminelen even bruikbaar om mee te frauderen. Maar uw identiteit kan ook misbruikt worden, bijvoorbeeld door middel van de foto’s die u op Social Media hebt staan. Het overkwam Joanie (24). Haar leven wordt al 8 jaar geruïneerd door een vorm van sextortion. Iemand misbruikt haar identiteit en foto’s voor online seksadvertenties. Kijk hier de aflevering van RTL Late Night terug waarin zij haar verhaal doet.
Het kan ons dus allemaal overkomen. Dit geldt overigens voor particulieren én bedrijven. Bij slachtofferschap is vaak sprake van een keten. Zo wordt bijvoorbeeld bij skimming (het op onrechtmatige wijze bemachtigen en kopiëren van betaalkaartgegevens) de getroffen burger veelal schadeloos gesteld door de bank, als het slachtoffer aannemelijk kan maken dat de fraude niet door eigen onzorgvuldigheid is veroorzaakt. Op dat moment is de bank dus het slachtoffer geworden, tenzij deze het risico heeft afgedekt door een verzekering, dan is namelijk de verzekeraar het uiteindelijke slachtoffer. Bedrijven kunnen ook rechtstreeks slachtoffer worden. Bijvoorbeeld doordat een medewerker per ongeluk op een link in een phishingmail klikt. Oplichters proberen daarmee gevoelige bedrijfsinformatie te ontfutselen of malware op uw computer en bedrijfsnetwerk te installeren.
WELKE VORMEN VAN IDENTITEITSFRAUDE KENNEN WE?
- Financiële identiteitsfraude – Dit is het verwerven van informatie over een bestaande bankrekening of creditcard en deze vervolgens misbruiken. Persoonlijke informatie van een slachtoffer wordt verworven en die wordt vervolgens gebruikt om een lening af te sluiten, een creditcard te openen of op een andere manier (financiële) goederen te verwerven op kosten van het slachtoffer. Deze vorm van identiteitsfraude komt het meest voor.
- Criminele identiteitsfraude – Bij de vorm wordt de identiteit van het slachtoffer gebruikt voor het begaan van een ander misdrijf, waarna bij ontdekking de valse identiteit aan de politie wordt opgegeven om strafvervolging te ontlopen.
- Identiteitsklonen – Dit is het overnemen van de gehele identiteit door een crimineel om vervolgens volledig als die persoon door het leven te gaan. Deze categorie komt het minst vaak voor.
MEEST VOORKOMENDE METHODEN WAARMEE IDENTITEITSFRAUDE WORDT GEPLEEGD
Phishing – Het lokken van mensen naar valse websites (vaak via link in e-mails) om gegevens te verkrijgen zoals inlognamen, wachtwoorden en/of betaalgegevens die de fraudeur vervolgens kan misbruiken. U ontvangt bijvoorbeeld een e-mail waarin staat dat er iets mis is met je bankrekening en dat er controle moet plaatsvinden. Hier wordt je verzocht om uw inlognaam en wachtwoord in te voeren. In deze e-mails, of daarna per telefoon, doen de fraudeurs zich voor als medewerker van uw bank. Op deze manier krijgen de fraudeurs de beschikking over uw gegevens en plunderen ze uw bankrekening.
Skimming – Het op onrechtmatige wijze bemachtigen en kopiëren van betaalkaartgegevens. De magneetstrip vande betaalpas wordt gekopieerd en de pincode wordt bemachtigd wanneer er een betaaltransactie wordt verricht. Vervolgens wordt er een kopie gemaakt van de pas en door middel van de pincode kan er dan geld opgenomen worden. Skimming vindt op verschillende manieren plaats. Op geldautomaten en betaalautomaten plaatsen zij bijvoorbeeld opzetstukken/voorzetmondjes waarmee ze de magneetstrip van een betaalpas kunnen aflezen. Daarna wordt de pincode door middel van diverse trucs onderschept. Bijvoorbeeld door een camera die boven het toetsenbord is geïnstalleerd of simpelweg door over de schouder mee te kijken. Vervolgens kunnen criminelen geld opnemen en betalingen verrichten.
Pharming – Dit is het onopgemerkt misleiden van internetgebruikers door hun verkeer met een bepaalde website ongemerkt om te leiden naar een andere, identiek uitziende nep website. Het doel hiervan is je gebruikersnaam en wachtwoord te ontfutselen door je je gebruikersnaam en wachtwoord te laten invullen op die nep website.
Malware – Fraudeurs kunnen gevoelige gegevens (zoals inloggegevens) bemachtigen door computers van te infecteren middels kwaadaardige software (malware), zoals virussen, wormen, trojan horses en spyware. Deze speciale software komt op een computer zonder dat de eigenaar dat merkt, laat staan daar toestemming voor geeft. De malware stelt fraudeurs in staat om met je mee te kijken en dingen op je computer te veranderen. Het komt zelfs voor dat fraudeurs je hele computer blokkeren. Ze willen dan dat je betaalt om hem je computer weer op te laten schonen. In dit geval spreken we over ransomware.
Harvesting – Het verzamelen van bruikbare identiteitsinformatie via websites (vooral Social Media kanalen) zoals e-mailadressen, foto’s, geboortedata.
Dumpsterdiving – Het doorzoeken van afvalcontainers, prullenbakken of andere afvalplaatsen naar documenten die waardevolle identiteitsinformatie kunnen bevatten.
Social Engineering – Het ontfutselen van identiteitsinformatie door zich voor te doen als een bekende instantie of vertrouwenspersoon zoals een contactpersoon of helpdeskmedewerker. Vooraf aan dit contact verzamelt de fraudeur gerelateerde informatie over het slachtoffer zodat hij het slachtoffer een overtuigend verhaal kan vertellen. Hiervoor worden zoekmachines als Google, Sociale Mediao en andere informatiebronnen op het internet gebruikt.
TIPS OM UZELF EN UW BEDRIJF TE BESCHERMEN TEGEN IDENTITEITSFRAUDE
Particulieren
- Laat uw identiteitsbewijs niet zomaar door elk bedrijf kopiëren. De meeste bedrijven hebben daar namelijk helemaal geen wettelijke bevoegdheid voor. Voor tips en informatie over een ‘kopietje paspoort’, lees dan dit artikel. Zorg er ook voor dat er op uw computer geen kopie te vinden is van uw identiteitsbewijs. Het risico dat uw computer wordt gehackt is namelijk steeds groter. Door geen (bijzondere) persoonsgegevens op uw computer te hebben, wordt de kans op identiteitsfraude kleiner. Bewaar uw originele identiteitsbewijs ook op een veilige plaats, zodat zakkenrollers of inbrekers daar niet zomaar bij kunnen. Toch kwijt of gestolen? Doe meteen aangifte en laat hem direct blokkeren bij de gemeente!
- Stel het updaten van uw (antivirus) software niet uit! Zo voorkomt u dat virussen gebruikmaken van kwetsbaarheden in oude versies van programma’s. Met de nieuwste updates verkleint u de kans dat hackers uw computer kunnen binnendringen;
- Maak regelmatig een back-up van al uw bestanden op uw computer. Als u dan een keer wordt gehackt, bent u in ieder geval niet genoodzaakt om de oplichter te betalen om uw gegevens terug te krijgen;
- Zorg voor sterke wachtwoorden. Op deze website leest u het recept voor een sterk wachtwoord;
- Probeer zo min mogelijk gebruik te maken van openbare Wifi-netwerken. Heeft u dat toch nodig, verwijder het netwerk dan meteen zodra u er geen gebruik meer van maakt.
- Beveilig belangrijke digitale accounts, zoals Social Media of DigiD, met tweestaps-authenticatie. Hierbij wordt er een extra controlecode verstuurd via sms of via een app. Een crimineel kan dan niets zonder uw telefoon of tablet;
- Deel niet teveel persoonlijke informatie op Social Media en controleer uw privacyinstellingen. Zorg dat alleen uw vrienden of connecties uw foto’s, gegevens en/of berichten kunnen zien;
- Google uzelf zo nu en dan om te kijken wat er over u te vinden is;
- Houd uw bankafschriften goed in de gaten als ook uw gegevens op mijnoverheid.nl;
- Gooi geen vertrouwelijke documenten bij het oud papier. Zorg dat u deze eerst door de shredder haalt of zelf vernietigt;
- Deel uw gegevens niet met de verkeerde mensen. Oplichters proberen informatie te achterhalen via babbeltrucs aan de telefoon of aan de deur, via online advertenties of via phishingmails. Geef nooit zomaar gevoelige informatie door aan een vreemde, zoals bankrekeningnummer, pincode, inloggegevens. Banken zullen hier sowieso nooit naar vragen per e-mail. Klik in geen geval op links in een e-mail die je niet vertrouwt of waar om inloggegevens wordt gevraagd! Twijfelt u of een ontvangen e-mail een phisingmail is? Bel dan de organisatie van wie de e-mail afkomstig is om dit te verifiëren. Lees hier hoe u een phishingmail of een neptelefoontje herkent;
Bedrijven
- Zorg ervoor dat het bedrijfsnetwerk goed is beveiligd en installeer goede virussoftware;
- Zorg dat alle medewerkers de updates van de (antivirus) software meteen uitvoeren als ze beschikbaar zijn! Zo voorkomt u dat virussen gebruikmaken van kwetsbaarheden in oude versies van programma’s. Met de nieuwste updates verkleint u de kans dat hackers uw computer kunnen binnendringen en uw bedrijfsdata kunnen gijzelen;
- Maak regelmatig back-ups van de bestanden van alle bedrijfscomputers;
- Leer uw medewerkers om sterke wachtwoorden te maken. Op deze website leest u het recept voor een sterk wachtwoord;
- Zorg ervoor dat alle medewerkers valse e-mails kunnen herkennen. Oplichters proberen daarmee gevoelige bedrijfsinformatie te ontfutselen of malware op uw computer en bedrijfsnetwerk te installeren. Lees hier hoe u een phishingmail of een neptelefoontje herkent;
- Stel duidelijke procedures vast voor het beheer en vernietigen van vertrouwelijke documenten en zorg dat deze ook nageleefd worden;
- Beperk de toegang tot gevoelige gegevens tot een kleine groep medewerkers met een bepaalde functie;
- Zorg dat alle zakelijke laptops, telefoons en ipads versleuteld zijn met een wachtwoord of beveiligingscode;
- Bewaar geen onnodige vertrouwelijke informatie en gegevens van klanten;
- Last but not least: maak uw medewerkers bewust van de gevaren van identiteitsfraude en bereid ze voor op een eventuele phishingaanval!
Denkt u dat u slachtoffer bent geworden van identiteitsfraude? Probeer dan alvast zoveel mogelijk bewijs te verzamelen. Denk hierbij aan kopieën van bankafschriften, brieven van incassobureaus, screenshots of aanvragen van abonnementen. En neem dan contact met mij op! Ik kan u helpen met het verzamelen van bewijsstukken om met een onderbouwd dossier aangifte te kunnen doen bij de politie. Het doen van aangifte is vaak cruciaal voor slachtoffers om de directe financiële schade van de fraude vergoed te krijgen.
***
BRONNEN
Rijksoverheid, Identiteitsfraude
Phishingtest.nl, Verminderen identiteitsfraude.
Kopie-ID.nl, Wat is identiteitsfraude?
Alertonline.nl, Tips cybergevaren.