‘Spoofing’ via schermdeling: hoe werkt dat precies?

Online oplichting kent vele vormen, waarvan ‘spoofing’ er één is. Via programma’s als TeamViewer kunnen criminelen doen alsof je echt contact legt met een bankmedewerker. Wat is ‘spoofing’ via TeamViewer? En hoe bescherm je jezelf hiertegen?

Phishing, skimming, WhatsApp-fraude… We hebben al veel vormen van oplichting voorbij zien komen. Daarover heeft Kassa dan ook meermaals geschreven. Deze keer gaan we dieper in op 'spoofing’ met het computerprogramma ‘TeamViewer.’

‘Spoofing’ is een Engelse term. Het betekent ‘nabootsen’; dat is ook precies wat er gebeurt bij deze vorm van oplichting. Criminelen doen zich voor als een medewerker van een instantie om zodoende geld buit te maken. Kassa heeft sinds september 2020 al meermaals aandacht besteed aan dit onderwerp in zowel artikelen en uitzendingen.

In de tussentijd heeft de telecombranche maatregelen getroffen om bepaalde nummers na te bootsen. Zo is er actie ondernomen om onder andere te voorkomen dat telefoonnummers van banken worden misbruikt, zo blijkt uit de site van Betaalvereniging Nederland. Ook zijn er plannen gemaakt om datzelfde te voorkomen via het sms-verkeer.

Bij een nieuwere vorm van spoofing worden hulpprogramma’s zoals ‘TeamViewer’ of ‘Anydesk’ gebruikt om mensen op te lichten. TeamViewer is een computerprogramma waarbij je de inhoud van het beeldscherm kan delen met iemand anders, waardoor iemand kan meekijken met wat je doet. Ook is het mogelijk om iemand anders jouw computer te laten besturen. ‘Anydesk’ is een vergelijkbaar programma.

De aanval begint in de basis hetzelfde als bij andere vormen van telefonische helpdeskfraude: iemand belt jou op en doet zich voor als een bankmedewerker. Maar in dat gesprek word je aangestuurd om TeamViewer te installeren op de computer. Het verhaal is daarbij dat de zogenaamde medewerker jou wil ‘helpen’ om het geld ‘veilig te stellen’. 

Als je het programma opgestart hebt, dan legt de crimineel contact met jou. Daarbij lijkt het alsof het daadwerkelijk de bank is. De oplichter vraagt je vervolgens om het scherm te delen, om zodoende mee te kijken. Vervolgens krijg je de vraag om de pincode te delen of een responscode* door te geven aan de ‘bankmedewerker’. Zodra de oplichter die gegevens in handen heeft, begint het echte werk. 

De oplichter zorgt ervoor dat je ineens niet meer kan zien wat er echt gebeurt. Dat kan zijn doordat er een ander venster in het beeld verschijnt die de pagina verhult, maar het kan ook gebeuren dat het hele beeld op zwart springt. In elk geval zorgt de oplichter ervoor dat je niet kan zien wat er in werkelijkheid gaande is. Terwijl de oplichter bezig is met je bankrekening leeg te plunderen, zal diegene je geruststellen dat er “niks aan de hand is en dat het volkomen normaal is.” Dit is om te voorkomen dat je op dat moment realiseert waar je in terecht bent gekomen. Een sterk staaltje manipulatie dus. 

* Bij sommige banken moet je met een apparaatje werken om een betaling te doen. Op dat apparaatje verschijnt dan een zogenaamde ‘responscode’. Die code moet worden ingevuld bij het online bankieren, anders kan de betaling niet worden gedaan.

In onze uitzending van 18 september hebben wij gesproken met mensen die op deze manier zijn opgelicht. Zij gaven aan dat de aanval heel realistisch was, omdat zelfs de naam en logo’s van de bank zichtbaar waren, waardoor zij dusdanig zijn gemanipuleerd dat de oplichters zijn geslaagd in hun aanval. Inmiddels zijn deze gedupeerden geholpen door de bank, maar het fragment toont aan hoe geraffineerd de oplichters te werk gaan.

Voordat een spoofer je benadert, gaat er vaak voorbereidend werk aan vooraf. Soms gebeurt het dat de criminelen lukraak mensen bellen, maar ze realiseren zich ook dat het veel effectiever is om gerichte aanvallen uit te voeren. Immers klinkt het een stuk overtuigender als ze precies weten wat je naam en adres is en bij welke bank je zit.

Er zijn verschillende manieren waarop een crimineel die informatie kan verzamelen. Sms-spoofing is een vorm van oplichting waarbij de criminelen een sms’je sturen uit naam van een instantie. In dat sms’je staat een link naar een site die sprekend lijkt op de échte site. Daar dien je vervolgens informatie in te vullen. In sommige gevallen kunnen de criminelen al gelijk geld stelen, maar in andere gevallen verzamelen ze informatie over je. Met die informatie op zak kunnen ze vervolgens een gerichte telefonische aanval uitvoeren. Dat kan vervolgens uitgebreid worden door daar TeamViewer als component aan toe te voegen. Op die wijze gebruiken oplichters de informatie die ze hebben verzameld om een zo realistisch mogelijke aanval uit te voeren.

De criminelen zullen zich niet altijd als een ‘bankmedewerker’ voordoen. Ze kunnen zich ook voordoen als een medewerker van de overheid of een medewerker van de Fraudehelpdesk. De woordvoerster van de Fraudehelpdesk liet namelijk weten dat dit jaar het telefoonnummer van de Fraudehelpdesk is misbruikt door spoofers. 

Verder zegt de woordvoerster recentelijk ook steeds meer meldingen te zien over telefoontjes die zogenaamd afkomstig zijn van de politie of justitie. Bij die laatste vorm word je opgedragen om jezelf te ‘verifiëren’ middels je BSN-nummer, omdat je zogenaamd in verband wordt gebracht met illegale activiteiten. Een andere variant is dat de ‘politie’ zegt dat je openstaande boetes hebt en deze moet betalen. In sommige gevallen komt er dan zelfs een ‘agent’ langs die de bankpas inneemt. In werkelijkheid wordt dan je rekening geplunderd.

Het is belangrijk om oplichters te herkennen. Zo voorkom je dat jijzelf het slachtoffer wordt van hun malafide praktijken. Een belangrijke tip om te onthouden is dat banken en overheidsinstanties nooit vragen om persoonlijke informatie, zoals je inloggegevens, rekeningnummer, pincode of BSN-nummer. Ook zullen officiële instanties niet verzoeken om hen te laten meekijken wanneer je inlogt. Onthoud daarbij ook dat bij een computerprogramma als TeamViewer, je de volledige controle weggeeft aan iemand die je niet kent; doe dit dus nooit.

Het is verder verstandig om niet je persoonsgegevens op het internet te plaatsen, want dan kunnen oplichters gemakkelijk die informatie verzamelen. Wees dus voorzichtig met het plaatsen van gegevens zoals je telefoonnummer en adres in openbare berichten op sociale media of in reacties op een site.

Tot slot kan je ook een reeds bekende slogan in het hoofd houden: “Wat ze ook verzinnen, laat ze niet binnen!” Die slogan gaat vooral op bij TeamViewer, want daarbij laat je de oplichters letterlijk binnen in je apparaten, vooral als je hen ook de controle over je computer geeft.

In het ergste geval hebben de oplichters geld buit gemaakt. Dat kan grote gevolgen hebben voor zowel je financiën als je emoties. Maar wat kan je doen als je slachtoffer bent geworden? 

Het allerbelangrijkste is dat je direct melding doet van het incident. Als niemand weet wat er is gebeurd, dan kan ook niemand helpen. Dit kan een hele stap zijn, omdat slachtoffers soms schaamte ervaren. Het is goed om je dan te realiseren dat je niet de enige bent die dit overkomt.

De eerste stap is om de bank zo snel mogelijk in te lichten. Probeer zoveel mogelijk bewijs te verzamelen. Daarbij kun je denken aan schermafbeeldingen, informatie over de oproep, het precieze bedrag en het precieze moment waarop het gebeurde. Beschrijf ook zo nauwkeurig mogelijk wat er is gebeurd. Nadat je de bank hebt ingelicht is het heel belangrijk om direct aangifte te doen bij de politie.

Wettelijk gezien hoeft een bank niet te compenseren als de klant zelf de betaling heeft geïnitieerd. Bij spoofing is hier formeel sprake van. Gedupeerden kregen in eerste instantie dan ook geen vergoeding. Toch werden steeds meer mensen slachtoffer van spoofing, waardoor de roep om actie vergrootte. Kassa liet het er niet bij zitten en politiek Den Haag heeft zich ook hard ingezet om tot verandering te komen.

In december 2020 is bekend geworden dat banken wél gaan vergoeden, vanuit coulance. Dit gebeurde nadat er gesprekken hebben plaatsgevonden tussen de minister van Financiën en de banken.

Om in aanmerking te komen voor vergoeding moet het slachtoffer wel aan bepaalde voorwaarden voldoen. Een van die voorwaarden is dat er aantoonbaar aangifte is gedaan bij de politie.

Bron: Betaalvereniging Nederland, De Consumentenbond, Fraudehelpdesk, Stichting GIBO

Heb jij een vraag over spoofing via schermdeling? Of over iets heel anders? Stel deze dan op Kassa's forum Vraag & Beantwoord! Ga hier naar alle categorieën. Heb je zelf kennis van een bepaald onderwerp? Dan kun je uiteraard anderen helpen met een consumentenkwestie! Wil je over dit onderwerp discussiëren? Dat kan onderaan dit artikel.