USB-stick met Microsoft Office per post: Hoe zit dat en is dat gevaarlijk?

Op Facebook wordt massaal een waarschuwing gedeeld over gevaarlijke USB-sticks met daarop Microsoft Office (meer specifiek het Professional Plus 2021-pakket). Het lijkt op een officieel product van de techgigant, maar in werkelijkheid sturen oplichters je zo ransomware. Het uiteindelijke doel is om de controle over jouw computer te nemen en vervolgens geld te stelen, zo luidt het verhaal. Waar komt dat verhaal vandaan? En lopen consumenten écht risico? Kassa doet navraag bij Microsoft én de Fraudehelpdesk. Ook leggen we uit wat je (niet) moet doen als je ongevraagd een USB-stick toegestuurd krijgt.

Het verhaal verspreidt zich als een lopend vuurtje via een Facebookpost waarvan we hieronder een schermafbeelding delen. Donderdag 25 augustus stond de teller rond negen uur 's morgens op circa 13.300 deelacties, maar een dag later – ten tijde van de publicatie van dit artikel – tikt de teller al bijna 18.000 deelacties aan.

Stel dat de gemiddelde Facebookgebruiker 150 vrienden heeft, geen onredelijke schatting. Beeld je vervolgens in dat een groot deel daarvan de gedeelde waarschuwing heeft gezien, en dat maal 18.000. In theorie is het in dit scenario mogelijk dat meer dan twee miljoen mensen deze waarschuwing op hun tijdlijn voorbij hebben zien komen.

Kortom, alle reden om er eens een artikel aan te wijden, zodat lezers weten hoe het écht zit.

Hieronder een – geanonimiseerde – schermafbeelding van de waarschuwing. Het artikel gaat verder na onderstaande afbeelding.

De melding is afkomstig van de Brit Alexander Martin, techjournalist bij Sky News. Hij maakte op Twitter onlangs melding van de ontvangst van een USB-stick in een doos die qua ontwerp en inhoud écht van Microsoft afkomstig leek te zijn.

De USB-stick was echter niet aan hem geadresseerd, maar belandde in de brievenbus van een gepensioneerde man wiens zoon toevallig cyberveiligheidsexpert is. Die vertrouwde de zaak niet en besloot de USB-stick eens aan een analyse te onderwerpen.

Het artikel gaat verder na onderstaande tweet.

Vervolgens werd het verhaal opgepikt door een aantal techblogs, waaronder computerblog PCMag, dat er een artikel aan wijdde. Andere media volgden, en ook privépersonen begonnen de waarschuwing te delen. Aldus werd het spreekwoordelijke balletje aan het rollen gebracht, en zodoende wordt de waarschuwing inmiddels ook in Nederland gedeeld. 

Maar loop je écht risico? Waar moet je rekening mee houden? En wat moet je vooral (niet) doen als je zo'n USB-stick ontvangt? Daar gaan we het nu over hebben.

Het korte antwoord: "Ja, hier is sprake van oplichting". Deze USB-stick is namelijk niet van Microsoft afkomstig, ook al lijkt het er in beginsel op dat het hier een legitiem Microsoft-product betreft. 

De USB-stick komt in een doos met daarop het logo van Microsoft en heeft qua ontwerp de kenmerkende Microsoft-huisstijl. Het zou gaan om een Office Professional Plus 2021-pakket; de doos bevat naast een USB-stick ook een activatiecode – oftewel een unieke productsleutel – voor installatie en gebruik op één PC. Dat is althans wat volgens de tekst en inhoud wordt gesuggereerd.

Op de USB-stick zat overigens een Microsoft Office-logo gegraveerd: de afzender heeft dan ook grote moeite gedaan om te doen lijken alsof de USB-stick écht van Microsoft is.

Techjournalist Martin deed navraag bij Microsoft, en kreeg als reactie dat Microsoft deze fraudevariant weliswaar eerder is tegengekomen, maar dat het een zeldzame vorm van fraude betreft met een incidenteel karakter. Vaker kiezen oplichters ervoor om een valse activatiecode per mail te verzenden; een vervalste USB-stick in een doos met het logo van Microsoft erop is gelukkig een zeldzaamheid.

Alexander Martin publiceerde er zelf overigens ook een artikel over, en wel op de website van werkgever Sky News. In dat artikel werd beschreven hoe de spreekwoordelijke vork in de steel zit. Wie de valse USB-stick in de computer steekt, krijgt überhaupt niet de optie om Microsoft Office te installeren. In plaats daarvan verschijnt er een pop-up met het verzoek om een (valse) Microsoft-helpdesk te bellen.

De medewerker van deze zogenaamde helpdesk probeert de nietsvermoedende ontvanger er vervolgens van te overtuigen dat er TeamViewer-achtige software moet worden geïnstalleerd. "Ik zie dat er een probleem is met de installatie van Microsoft Office. Ik kan u op afstand helpen, maar dan moet u me wel toegang geven tot uw computer", is in dit soort gevallen een veelgebruikt excuus.

Ga je op dit verzoek in? Dan zal de oplichter aan de andere kant van de telefoon aansturen op het moeten doen van een betaling via internetbankieren, of wordt de computer vergrendeld met zogenaamde ransomware (gijzelsoftware) tot het slachtoffer het losgeld – doorgaans enkele honderden tot enkele duizenden euro's – betaalt.

Het gaat hier dus om een combinatie van helpdeskfraude en met een beetje fantasie ook spoofing: jij denkt met de Microsoft-helpdesk te bellen om een probleem op te lossen, maar nietsontziende oplichters hopen jou van grote geldsommen te bestelen. Met andere woorden, foute boel!

Wij waren bij het zien van de waarschuwing enigszins sceptisch, en wel om de reden dat het voor oplichters simpelweg te omslachtig is om valse USB-sticks van 'Microsoft' te maken, deze in een valse 'Microsoft'-verpakking te doen en ze vervolgens ook nog eens op te sturen naar talloze adressen. 

Toch is dat in dit voorbeeld wel degelijk gebeurd, al wordt niet verteld op welke schaal dit heeft plaatsgevonden, anders dan dat Microsoft tegenover Sky News heeft aangegeven dat deze vorm van fraude hoogst ongebruikelijk is. Een digitale variant per e-mail is immers stukken efficiënter, eenvoudiger te organiseren en minder kostbaar.

Wij besluiten navraag te doen bij de Fraudehelpdesk, omdat we benieuwd zijn of er in Nederland meldingen zijn van deze oplichtingstruc. Woordvoerder Tanya Wijngaarde van de Fraudehelpdesk bevestigt ons vermoeden en geeft aan dat er vooralsnog geen meldingen bekend zijn over deze specifieke fraudevariant: "Op basis van de berichten lijkt het eerder om incidenten te gaan. Wij hebben er in ieder geval nog geen meldingen van ontvangen."

Het is overigens niet ondenkbaar dat fysieke media zoals USB-sticks worden gebruikt voor spionage-achtige activiteiten, al is dat voornamelijk iets dat zich op (semi-)bekende personen, journalisten, mensen met macht en mensen met toegang tot gevoelige informatie richt. Doorsnee Nederlanders hoeven zich daar niet zo snel zorgen om te maken, al is enige waakzaamheid uiteraard altijd aan te bevelen.

We zijn weliswaar gerustgesteld door de bevestiging van de Fraudehelpdesk, maar we besluiten om óók even contact op te nemen met de Nederlandse tak van Microsoft. We vragen ons af of daar wellicht wél signalen over deze vorm van oplichting bekend zijn. Ons vermoeden wordt wederom bevestigd: de fraudevariant is weliswaar bekend bij Microsoft, maar komt naar eigen zeggen 'zeer zelden' voor.

De volledige reactie van Microsoft is als volgt: "Na een intern onderzoek kunnen wij bevestigen dat de verpakking en het USB-apparaat vervalst zijn. Dit soort fraude hebben we eerder gezien, maar zeer zelden. Microsoft zet zich in om onze klanten te helpen beschermen. We nemen passende maatregelen om vermoedelijk niet-gelicentieerde of nagemaakte producten van de markt te halen en om degenen die onze klanten oplichten ter verantwoording te roepen."

Ook stuurt Microsoft nooit ongevraagde pakketten, benadrukt de techgigant. Als jij uit het niets een USB-stick met een Microsoft-logo in de brievenbus aantreft, weet je eigenlijk al genoeg: tijd om je eens even achter de oren te krabben en bij jezelf na te gaan of het verstandig is om de stick te gebruiken. Wij zouden dat in ieder geval niet doen.

Microsoft vervolgt: "Wij willen benadrukken dat Microsoft nooit ongevraagd pakketten opstuurt en nooit uit het niets contact met u opneemt, om welke reden dan ook. U kunt deze pagina bezoeken voor advies over hoe u fraude en oplichting kunt voorkomen. We raden consumenten aan waakzaam te blijven voor verdachte activiteiten en incidenten te melden via deze pagina."

We weten ons van enkele jaren geleden nog een geval te herinneren waarin talloze Nederlanders melding maakten van ongevraagd opgestuurde producten, waaronder USB-sticks. Dat betrof echter blanco USB-sticks, en dat stond dus volledig los van de valse 'Microsoft'-sticks waar dit artikel over gaat.

In die situatie ging het om ongevraagde toezendingen. Jij krijgt zomaar een USB-stick in de bus en denkt wellicht "Ha, dat is handig". Niet veel later ploft er een factuur op de mat: of je even wilt betalen. Uiteraard is de op de factuur genoemde prijs een stuk hoger dan de marktconforme waarde, en door jou onder druk te zetten met betalingsherinneringen en door te dreigen met aanmaningen, hopen ze dat je uit angst maar gewoon betaalt, want dan ben je er maar vanaf.

In deze situatie hoef je echter onder geen beding te betalen: het betreft een ongevraagde toezending, en tenzij het bedrijf een orderbevestiging kan laten zien waaruit duidelijk blijkt dat jij bewust de opdracht voor een bestelling hebt gegeven, kunnen ze je nergens toe verplichten. Je kunt het product houden, terugsturen of simpelweg weggooien. Maar betalen is niet nodig.

Het betrof destijds overigens wel veilige USB-sticks. Toch is het verstandig om nooit zomaar een onbekende USB-stick in je laptop of computer te steken: het is namelijk niet ondenkbaar dat er toch schadelijke, kwaadaardige of zelfs gevaarlijke software op staat.

En als jij niet weet van wie zo'n USB-stick is en wat er mogelijk op zou kunnen staan, is het wellicht het meest verstandig om het risico niet te nemen. De potentiële risico's zijn daarvoor simpelweg te groot, en je kunt jezelf er een hoop ellende mee op de hals halen.

Bron: PCMag.com, Sky News UK / Met dank aan Microsoft Nederland en de Fraudehelpdesk voor de medewerking