Waarschuwing! Oplichters sturen sms'jes namens telecomprovider Odido

Er zijn momenteel verschillende valse sms'jes in omloop namens telecomprovider Odido. In deze sms-berichten wordt door oplichters gehengeld naar persoonsgegevens. Zo proberen ze onder meer in jouw Odido-account te komen. Hebben ze eenmaal toegang? Dan is het uiteindelijke doel om vanuit jouw account een simkaart of een eSIM over te zetten naar een ander toestel, zodat ze enige tijd ongemerkt op jouw kosten kunnen bellen. Hoe werkt dat precies? En loop je momenteel nog risico? We vragen het aan Odido.

Eén variant van zo'n valse sms namens Odido die de afgelopen dagen rond ging, is te zien in de afbeelding bovenaan dit artikel. De sms is afkomstig van een Duits telefoonnummer en de tekst luidt "Odido: Uw abonnement is opgeschort, verleng het via [url naar valse website]".

De domeinnaam is op het moment van publicatie nog actief, daarom plaatsen we geen rechtstreekse link. Maar trekken we deze link na via DomainTools, dan zien we dat het betreffende domein pas zes dagen bestaat en dat het domein in de Russische stad Sint Petersburg wordt gehost.

Over de werkelijke eigenaar van dit domein is niets bekend, maar op basis van al deze bovenstaande elementen weten wij al genoeg. Dit is géén officiële website van telecomprovider Odido. Maar wat dan wel?

We besluiten eens een kijkje te nemen. Klikken we op de link in de sms? Dan belanden we op een levensechte, vrijwel identieke kopie van de échte Odido-website. Daar wordt allereerst gevraagd naar jouw e-mailadres en het bijbehorende wachtwoord, zoals je kunt zien op de schermafbeelding links in onderstaande compilatie.

Dit artikel loopt verder na onderstaande afbeelding.

We hebben in stap 1 compleet verzonnen gegevens ingevuld. Het is namelijk buitengewoon onverstandig om hier échte inloggegevens in te vullen. We hebben immers al vastgesteld dat dit een valse website is en dat er oplichters achter zitten. We nemen dan ook aan dat alle gegevens worden gelogd en dat de oplichters die deze valse website online hebben gezet alle ingevoerde gegevens kunnen bekijken.

Wat er vervolgens gebeurt, is ons in dit specifieke geval niet geheel duidelijk, maar we hebben wel een idee. In stap 2 wordt echter de suggestie gewekt dat je een code voor tweestapsverificatie moet invoeren die je toegestuurd krijgt nadat je in stap 1 je e-mailadres en wachtwoord hebt ingevoerd. En dat impliceert dat de oplichters weten welk telefoonnummer er aan een combinatie van het e-mailadres en het wachtwoord hangt.

We hebben navraag gedaan bij Odido. Een theorie is dat deze code wordt afgevangen via social engineering. Dat kan bijvoorbeeld een oplichter zijn die real-life meekijkt met wat jij aan inloggegevens invoert op de valse website. Diegene kan proberen om met het mailadres en het wachtwoord dat je op de valse website hebt ingevoerd in te loggen bij de échte Odido-website.

Als diegene jou op de één of andere manier ook nog de viercijferige code voor tweestapsverificatie weet te ontfutselen – bijvoorbeeld door zich voor te doen als medewerker van de Odido-klantenservice die jou komt 'helpen' – dan heeft diegene toegang tot jouw Odido-account.

De vervolgstappen lijken hier ook op te wijzen. Na het invoeren van de eerste code moet je nóg een code invoeren. Het ligt voor de hand dat je met deze tweede code bevestigt dat je een eSIM aan een nieuw toestel koppelt. Pas daarna is de zogenaamde 'verificatie' op de nagemaakte 'Odido'-website compleet en verwijst de browser je door naar de échte Odido-website. Wat jij niet weet, is dat de oplichter ondertussen toegang heeft tot jouw Odido-account én een eSIM aan een ander toestel heeft gekoppeld. En dat is een probleem.

Dit artikel loopt verder na onderstaande afbeelding.

De Odido-woordvoerder die wij spraken, gaf aan dat er binnen het bedrijf signalen bekend zijn van recente pogingen tot oplichting waarbij oplichters toegang tot bestaande Odido-accounts proberen te krijgen. Met dit specifieke voorbeeld zoals hierboven beschreven waren ze weliswaar niet bekend, maar wezen ons wél op een valse e-mail namens Odido die eveneens sinds deze week rond gaat en waar de nodige meldingen over zijn ontvangen. Een mail waar óók de Fraudehelpdesk voor heeft gewaarschuwd.

In deze valse mail wordt uitdrukkelijk gesproken van "het overzetten van een simkaart naar eSIM". Als jij van niks weet (en dat is uiteraard het geval, want het gaat om een valse mail), moet je via de link in de mail het één en ander ongedaan maken. Ook hier is het doel volgens Odido om in het account van bestaande Odido-klanten te kunnen, om zo ongemerkt een simkaart of eSIM aan een nieuw toestel te koppelen.

Is dat gelukt? Dan is het in theorie mogelijk om op andermans kosten te bellen. De simkaart of eSIM die door de oplichters wordt gebruikt, staat contractueel immers op een andere naam. En degene op wiens naam het contract staat, is in beginsel verantwoordelijk voor alle telefoonkosten. Tegen de tijd dat je in de gaten hebt dat er op jouw kosten wordt gebeld, hebben de oplichters hun slag al geslagen.

En deze kosten kunnen hoog oplopen: het is goed denkbaar dat oplichters na het koppelen van de simkaart of eSIM direct gaan bellen naar buitenlandse telefoonnummers die extreme tarieven rekenen. Denk ook aan wangiri-fraude: dit is in zekere zin een variant daarop.

Navraag bij Odido leert dat de mogelijkheid om digitaal een simkaart of eSIM aan een ander toestel te koppelen uit veiligheidsoverwegingen inmiddels is uitgeschakeld. Dit nadat er deze signalen van deze pogingen tot oplichting zijn binnengekomen.

Momenteel kun je dit alleen in fysieke Odido-winkels doen. Daar vindt vervolgens een identiteitscontrole plaats, en dat is om te verifiëren of het verzoek om een simkaart of eSIM over te zetten wel van de werkelijke abonnementhouder komt. Daarmee zou het risico dat mensen slachtoffer worden van deze vorm van oplichting ernstig moeten worden ingeperkt.