Met quishing hengelen naar gegevens om vervolgens een gerichte aanval uit te voeren

Gepubliceerd op 11 augustus 2022 om 07:00

We krijgen veel meldingen over valse e-mails namens de Kamer van Koophandel. Over deze fraudevariant komen de laatste tijd talloze meldingen binnen. En omdat deze vorm van oplichting niet alleen op ondernemers, maar op alle Nederlanders is gericht, is het nuttig om uit te leggen wat de risico's zijn. Waar moet je op letten, en wat zijn de gevaren?

Kamer van Koophandel

Begin juni waarschuwde de Fraudehelpdesk voor een valse e-mail namens de Kamer van Koophandel. En wie op de website van de Fraudehelpdesk naar de meest actuele voorbeelden van valse e-mails kijkt, ziet dat er in de week tussen 26 juli en 2 augustus maar liefst dertien verschillende varianten van 'KVK'-nepmails zijn verzameld.

Toch een duidelijke indicatie van het feit dat mensen momenteel massaal worden lastiggevallen uit naam van de Kamer van Koophandel. Reden genoeg om eens te kijken wat er precies achter zit.

Quishing KVK

Ons oog viel op een voorbeeld van zo'n 'KVK'-nepmail met daarin een QR-code (zie hieronder). In de mail staat iets over 'onvolledige persoonsgegevens' en het verzoek om spoedig je contactgegevens bij te werken. Vervolgens zou je gratis toegang krijgen tot de zogenaamde KvK Start Events.

Quishing is een variant op phishing. Hierbij proberen kwaadwillenden jou ‘binnen te hengelen’ door een neppe e-mail, sms of ander lokkertje te gebruiken. Zodra je ‘hapt’, door op het linkje in de mail te drukken, hebben de criminelen beet en gaan ze er met gegevens en/of geld vandoor. Quishing werkt precies zo, maar dan gebruiken criminelen een qr-code als aas.

Klik om het voorbeeld te zien

Deze mail is dan ook niet alleen gericht op reeds bestaande ondernemers, maar ook op mensen die wellicht het ondernemerschap overwegen en zich afvragen of ze zich niet eens moeten melden bij de KVK voor een oriënterende informatiebijeenkomst. En dat past binnen een ontwikkeling die de laatste tijd nadrukkelijker zichtbaar is op de arbeidsmarkt: mensen – met name jongeren – die zich omwille van de flexibiliteit en een hoger uurloon liever door meerdere opdrachtgevers als zzp'er laten inhuren voor verschillende klussen, in plaats van ergens in dienst te treden. Op dinsdag 2 augustus 2022 publiceerde AD.nl een achtergrondartikel over deze trend.

Wat de zaak bovendien ingewikkeld maakt, is dat de échte KVK overigens daadwerkelijk bijeenkomsten onder de naam 'KVK Start Events' organiseert, en daarover stellen ze het volgende: "Ben je net gestart als ondernemer? Of denk je erover om voor jezelf te beginnen? Dan heb je ongetwijfeld nog veel vragen. Kom verder met het juiste advies en praktische informatie. Laat je inspireren tijdens de KVK Start Events en pak een voorsprong met jouw bedrijf."

Wij dachten na het zien van deze mail dan ook "Kom, laten we die QR-code eens scannen en kijken wat er gebeurt". En zowaar, de website waar de QR-code naar verwijst, was op het moment van schrijven nog in de lucht.

Voor potentiële slachtoffers is dat slecht nieuws, maar niet voor ons: het biedt ons immers de gelegenheid om te zien wat deze oplichters zoal willen. En daar gaan we het nu over hebben.

De QR-code verwijst ons in dit geval naar de website 'web8320.web07.bero-webspace.de'. Natrekken van deze domeinnaam levert in dit geval praktisch geen informatie op, al zou je in dit geval kunnen beargumenteren dat 'geen informatie' juist voldoende reden is om de website met een gezonde dosis argwaan en scepsis te bekijken: je kunt uit het gebrek aan informatie in ieder geval afleiden dat het géén domein is van de KVK.

En wat zien we als we deze malafide website bezoeken? Dat is het volgende.

Wat valt hier op? Dat het allereerst lijkt op het échte aanmeldformulier voor de KVK Start Events, maar dat deze oplichters aanzienlijk meer informatie van je willen dan de échte KVK. Het gaat om de volgende gegevens: geslacht (man / vrouw / overig), voornaam, Tussenvoegsel (optioneel), achternaam, straatnaam, huisnummer, postcode, woonplaats, e-mailadres, bankrekeningnummer (IBAN), geboortedatum, of je ondernemer bent (ja / nee), mobiele telefoonnummer, vaste telefoonnummer. Kortom, een heleboel. Wat kunnen ze daar zoal mee? We bespreken hieronder een aantal mogelijke scenario's.

Wat kunnen de cybercriminelen met deze gegevens?

Eén optie is dat de oplichters achter deze valse 'KVK'-website je met jouw eigen gegevens proberen te benaderen, en wel in de vorm van gerichte phishingaanvallen.

In plaats van de standaardmails die geen persoonlijke informatie bevatten en een generieke aanhef kennen ('Geachte heer/mevrouw...'), is het denkbaar dat je uit naam van een officiële instantie een mail krijgt waar gedetailleerde, inhoudelijk juiste informatie in staat.

Dat kan namens de KVK zijn, maar ook namens andere bedrijven en/of instanties. En hoe meer ze van je weten, hoe betrouwbaarder het overkomt, en hoe groter de kans van slagen. Op die manier wordt de informatie die je in een eerder stadium hebt verstrekt, op een later moment juist tegen je gebruikt met als doel je te bestelen.

Ook niet ondenkbaar: iemand die jou niet veel later namens de 'KvK Servicedesk' of 'KVK Helpdesk' belt met een aantal vragen over je zogenaamde aanmelding. Er worden ter controle wat persoonsgegevens opgenoemd, en die kloppen uiteraard: deze heb je in een eerder stadium immers zélf afgestaan als je het formulier op de valse 'KvK'-website hebt ingevuld.

En dat kan zomaar de opmaat zijn om jou ervan te overtuigen om iets te doen waar je enorm veel spijt van krijgt. Denk aan zaken als helpdeskfraude, waarbij de 'behulpzame' oplichter aan de andere kant van de lijn jou probeert over te halen om de controle over je laptop of computer af te staan of om zogenaamd ergens 'in te loggen', bijvoorbeeld op een valse bankwebsite. Jij staat je inloggegevens voor internetbankieren af omdat je simpelweg overrompeld bent en de oplichter erg overtuigend te werk gaat, en dan gaat het mis: je bankrekening wordt in een handomdraai geplunderd.

Wat ook tot de mogelijkheden behoort, is het risico op identiteitsfraude. Na het verzenden van het formulier met alle ingevulde persoonsgegevens krijg je het verzoek om je 'KVK'-aanmelding compleet te maken, en wel door het afstaan van een scan van je paspoort of identiteitskaart. In combinatie met bovenstaande gegevens hebben oplichters in sommige gevallen dan genoeg om op jouw kosten abonnementen af te sluiten. En omdat de kosten voor dit soort abonnementen pas later worden afgeschreven, kan het een flinke poos duren voordat je merkt dat er iets niet in orde is.

Best kans dat de financiële schadepost tegen die tijd al flink is opgelopen.

Hoe voorkomen

Hoe kun je dit allemaal voorkomen? Dat is niet zo ingewikkeld: denk altijd héél goed na voordat je zomaar ergens persoonsgegevens invult, al helemaal als je uit het niets wordt benaderd met dergelijke verzoeken.

En als je een mail krijgt namens een bedrijf, organisatie of instantie waar je wél mee te maken hebt, is het in geval van twijfel altijd beter om nooit zomaar op linkjes in mails te klikken. Om het zekere voor het onzekere te nemen, kun je telefonisch contact opnemen met het betreffende bedrijf of de instantie met de vraag of het inderdaad klopt dat ze iets van je nodig hebben.

Doe dat via een telefoonnummer dat je zélf opzoekt, en let erop dat je niet zonder goed te controleren het eerste de beste telefoonnummer belt dat in de zoekresultaten verschijnt. Dure doorschakeldiensten maken helaas nogal eens misbruik van onwetende consumenten en rekenen per minuut hoge tarieven voor een telefoonnummer dat in werkelijkheid (bijna) gratis is. 

Om de kans te verkleinen dat u slachtoffer wordt van digitale criminaliteit, is belangrijk om wanneer u digitaal gaat, de standaard regels van de ABC in acht neemt: 

  • A = alert blijven
    • Te mooi om waar te zijn, is niet oké
    • Blijf op de hoogte
    • Klik nooit zomaar op een link
  • B = bescherm jezelf
    • Blijf up-to-date met updates
    • Gebruik sterke wachtwoorden
    • Gebruik actuele anti-virus programma’s
    • Maak offline back-up’s
  • C = check altijd
    • Vertrouw je het niet, verbreek het contact
    • Check de contactgegevens van de afzender

Meer info over ABC en downloads

Bron: anoniem, politie.nl, domaintools.com, ad.nl, kvk.nl, fraudehelpdesk.nl, bnnvara.nl

Meer info over quishing 

Meer actueel nieuws