Tikkiefraude zeer lucratief voor criminelen

Het slachtoffer heeft iets te koop staan op Marktplaats en de oplichter meldt zich als geïnteresseerde koper. Het contact gaat al snel verder via Whatsapp. De geïnteresseerde koper vraagt naar het bankrekeningnummer om het geld over te maken. Daarna stelt hij voor dat de verkoper via een Tikkie één cent overmaakt met de smoes dat hij daarmee zeker weet dat naam en rekeningnummer echt kloppen. Het slachtoffer ontvangt via WhatsApp meerdere links die identiek lijken aan een gewoon Tikkie. Echter leiden deze links steeds niet naar de echte site van Tikkie, maar naar een namaaksite en vervolgens naar een namaaksite van de bank. Het slachtoffer denkt daar bezig te zijn met de transactie van één cent, en probeert in te loggen op de nepsite en met een bevestiging de betaling te voldoen.

In werkelijkheid komen die gegevens direct bij de oplichter terecht, die vermoedelijk tegelijkertijd met die gegevens en bevestigingen de mobiel bankieren app van het slachtoffer ook op zijn eigen telefoon kan installeren en activeren. Het slachtoffer helpt dus zonder dat hij het doorheeft de crimineel door de handelingen heen die nodig zijn om de app te installeren en te activeren, terwijl het slachtoffer nog steeds denkt bezig te zijn met het overmaken van een cent.

Omdat de crimineel de mobiel bankieren app van het slachtoffer kan gebruiken, kan hij vanuit daar geld overmaken of zelfs contactloos betalen met het geld van het slachtoffer. In de reportage is te zien hoe bij gedupeerde Melissa Reuvers de crimineel op deze manier in haar ABN AMRO mobiel bankieren app heeft kunnen gebruiken en in die app een zogeheten Wallet heeft weten aan te maken waarmee met de telefoon voor 250 euro contactloos betaalt kan worden. Daar heeft de crimineel geen fysieke pinpas voor nodig gehad.

In de reportage is ook Martine Regterschot te zien, bij haar hebben criminelen via tikkiefraude bijna 400 euro buit kunnen maken door het geld naar een zogeheten katvanger over te maken. Beiden slachtoffers hebben aangifte gedaan bij de politie en hebben van ABN AMRO hun geld terug gehad. Maar dit is geen standaard beleid, banken geven aan per geval van fraude te bekijken of de schade van het slachtoffer vergoed wordt door de bank.

Daar komt bij dat veel mensen denken een veilige website te kunnen herkennen aan de aanwezigheid van het groene slotje in de adresbalk. Vooral bij internetbankieren is hier door de banken veel nadruk op gelegd. Als je op je banksite bent en je ziet een groen slotje in de adresbalk staan dan zou het veilig zijn. Maar wat blijkt; Ook criminelen kunnen moeiteloos datzelfde groene slotje toevoegen aan hun phishing website. Twee ethische hackers leggen aan Kassa uit hoe oplichters makkelijk een groen slotje, dat staat voor veilige verbinding, kunnen aanvragen en gebruiken bij een nep site. Om ervoor te zorgen dat je geen slachtoffer wordt van tikkiefraude moet je dus exact weten of de domeinnaam van de website waar je op zit wel de goede is, en niet een naam die alleen maar heel erg op de echte naam lijkt.

Zo kon Kassa allerlei domeinnaam kopen met banken en Tikkie in de naam, zoals bijvoorbeeld ‘mijntikkie.nl’, die in een steekproef door consumenten het meest werd gekozen als de echte site van Tikkie. Dit is een voorbeeld van een domeinnaam die door criminelen gemakkelijk misbruikt zou kunnen worden voor tikkiefraude, en waar ze een groen slotje aan toe zouden kunnen voegen om vertrouwen te winnen. Het echte webadres van Tikkie is echter tikkie.me.

Opletten

Het is dus zaak om extra op te letten als je online bankiert, en om te weten welk webadres het juiste adres is van de bank. Maar kun je van consumenten verwachten dat ze dat allemaal uit hun hoofd weten? Michel van Eeten, hoogleraar internetveiligheid aan de TU Delft reageert in de studio. Van Eeten stelt dat het begrijpelijk is dat mensen op dit soort nepsites hun bankgegevens invullen, je denkt namelijk dat je op de site van Tikkie of van je bank zit, en je bent gewend om die gegevens juist op die plekken wél in te vullen. Van Eeten noemt het ‘ongelooflijk’ dat Kassa de domeinnaam mijntikkie.nl gewoon kon kopen. Je zou namelijk verwachten dat dit soort domeinnamen, die erg lijken op de echte sites en daarmee gevoelig zijn voor potentiële fraude, door banken worden opgekocht om dat te voorkomen. ABN AMRO laat weten met speciale software te scannen naar domeinnamen die bijvoorbeeld het woord ‘Tikkie’ gebruiken. Bij het vermoeden van fraude wordt dan door de bank verzocht het domein uit de lucht te halen.

Reacties banken

Tikkiefraude lijkt voornamelijk plaats te vinden bij klanten van de drie grote banken ABN AMRO, Rabobank en ING. Tikkie is onderdeel van ABN AMRO, maar kan ook gebruikt worden door klanten van de andere banken. De complete reacties lees je hier: ABN AMRO , ING , Rabobank .