Afbeelding © Mohamed Hassan / Pixabay
Donderdagavond, net thuis van een zeer geslaagde dag, en de telefoon gaat. Daar is niets vreemds aan. Netnummer uit Amsterdam. Ook dat kan gezien mijn zakelijk nummer op het wereld wijde web rondzwerft. Dus ik neem op …
Aan de andere kant van de lijn wordt direct geantwoord met: Goedenavond, u spreekt met [ noemt naam ] van de bank. Spreek ik met of kunt u mij doorverbinden met en noemt mijn naam. Ik bevestig mijn naam en de man begint direct over een verdachte transactie die ze tegen hebben gehouden op de rekening met de eindcijfers die overeenkomen met mijn rekening.
Hier voelde ik al enigszins wat nattigheid en mijn nekharen gingen nog net niet overeind staan.
De man vertelt verder over wat voor transactie het gaat en noemt het bedrag en het bedrijf waar het naartoe overgemaakt zou worden en het soort telefoon waarmee de transactie verstuurd is. Hij vertelt veel en ik krijg weinig kans krijg om iets te zeggen, nadat ik bevestigd heb geen transactie te hebben verstuurd. Hier had ik al op moeten hangen, maar dat besef kwam achteraf.
Er werd direct verteld dat ik geen codes door mocht geven, mijn bankpas zou niet worden opgehaald maar met enige nadruk werd verteld én herhaald dat ik beslist mijn financiële apps niet mocht openen. Derden hadden namelijk toegang tot mijn bank en eerst moest worden uitgezocht hoe dat mogelijk was en waar het vandaan kwam.
Alle alarmbellen stonden aan en ik vroeg hoe ik zeker wist dat ik met de bank belde.
Check het nummer op onze website maar, werd er geantwoord en ik slinger mijn pc aan. Het abonneenummer was identiek, het netnummer niet. De verklaring werd heel snel gegevens: hij belde vanuit het hoofdkantoor, vandaar het netnummer *. De achterdocht groeide.
* spoofing: je wordt gebeld door het nummer van – in dit geval – mijn bank, het lijkt op het nummer van mijn bank maar het is een ander nummer.
Ik denk dat hij dat ook voelde want hetzelfde riedeltje over geen codes, geen pas, niet inloggen werd weer herhaald. Dit was echt allemaal in mijn eigen belang.
En de verbinding werd verbroken … een seconde later ging de telefoon weer over en ik neem op. Of ik de verbinding had verbroken? Nee, dat had ik niet. Aan de ene kant wist ik dat dit foute boel was, aan de andere kant was ik heel nieuwsgierig wat ze mij wilde laten doen.
Maar nogmaals, ik had de verbinding al veel eerder moeten verbreken en zeker niet nog een keer moeten opnemen. Ondertussen was ik uiteraard wél ingelogd in mijn financiële gedoetje en had al alle inloggegevens gewijzigd.
De man ging mij opnieuw het hele verhaal uitleggen. Daarna wilde hij achterhalen waar het lek mogelijk kon zitten. Had ik op een foute link geklikt? Op een verkeerde website mijn gegevens achtergelaten? Cookies geaccepteerd van een foute website? Of ik mijn pc wel regelmatig scande op ongewenste troep? Niet in die woorden maar daar kwam het wel op neer ;)
Irritatie begon op te komen bij mij, ook bij hem denk ik want de verbinding werd weer verbroken. Om direct weer terug gebeld te worden. Dit was echt maar dan toch echt heel belangrijk en de man begon weer te vertellen over het waarom.
Er werd nog meer bij gehaald. Er zou natuurlijk een rapport van deze verdachte transactie worden opgemaakt. Dit zou met mij, het bedrijf dat genoemd werd én de politie worden gedeeld. Klinkt goed hè?!
Maar nadat hij in de gaten kreeg dat ik niet zo in het standje meewerken stond, werd de volgende troef ingeschakeld: Mevrouw, ik ga u doorverbinden met onze ICT-afdeling. Zij kunnen mee helpen om te ontdekken waar het probleem zit. U mag nog steeds niet in uw financiële apps inloggen voordat alles is opgelost.
En weer was de verbinding weg. En weer werd ik direct terug gebeld. Dit keer door de man van de ICT-afdeling. Op mijn kritische vraag hoe ik zeker wist wie ik aan de telefoon had, kon ik zijn profiel op LinkedIn checken. Alsof dat iets zegt ;)
Ook deze man had veel te vertellen. Over mails. Over verdachte links. Over gegevens achterlaten. En of ik even de app AVG Mobile Security wilde downloaden en installeren op mijn telefoon. Dáár was het waarschijnlijk fout gegaan, volgens de man. We konden dan mijn telefoon scannen en aan de hand van die uitkomst actie ondernemen.
Ik deelde mee geen enkele app op mijn telefoon te installeren. Je hoorde de irritatie bij hem: Mevrouw, dit is belangrijk. We moeten weten of uw telefoon goed beveiligd is.
Op mijn pc had ik al informatie over de app opgezocht en dit leek de gewone app van AVG, maar ik was er eigenlijk wel klaar mee. En wat blijkt, de verbinding was wéér verbroken en dit keer werd ik niet meer terug gebeld.
Voor de zekerheid heb ik nog een melding gemaakt bij mijn bank. En wat ik niet wist, in de app van je bank kun je bevestigen of je wel of niet met je eigen bank belt. Dit is alvast een tip!
Al met al, in eerste instantie was ik overdonderd door het telefoontje want net thuis en hoofd bij andere dingen. Wat ik had moeten doen was direct de verbinding verbreken, maar iets triggerde mij om dat niet te doen ...
Hier nog wat tips over het herkennen van bankhelpdeskfraude:
Deel nooit informatie als wachtwoorden, codes of andere inloggegevens!
Het telefoonnummer. Hier was het netnummer afwijkend van het echte nummer.
De ICT-er gaf het LinkedIn profiel door van een medewerker op de afdeling fraude. Dit kun je aan de telefoon nooit controleren op echtheid maar wekt wel vertrouwen.
Er werd stevig op mij ingepraat over de verdachte transactie en dat ik mee moest helpen om dat in de toekomst te voorkomen.
Op de ‘oplossing’ heb ik niet gewacht, maar vaak wil men meekijken op je pc met een programma als bijvoorbeeld Teamviewer. Wanneer je hier mee instemt, dan heeft men de volledige controle over je bankrekening.
Dit past ook in het plaatje met niet inloggen op je financiële apps. Op het moment dat jij de ander toegang geeft tot je pc is er in mum van tijd een transactie gedaan. Maar niet door jou!
In mijn onderbewuste is het blijven rondzingen, denk ik. Die nacht werd ik tegen 4 uur wakker en het kwartje was gevallen.
Op de bankrekening die genoemd werd, worden bijzonder weinig transacties verricht. Eigenlijk alleen naar het bedrijf dat in de verdachte transactie genoemd werd. En laat dat bedrijf nu net vrij recent een datalek hebben gehad waarbij voor- en achternaam, mailadres, woonadres, bankrekeningnummer en de laatste drie cijfers van het telefoonnummer zijn gelekt ...
Het bedrijf geeft aan dat de betrokken klanten op de hoogte zijn gebracht van dit datalek.
Ik heb geen bericht gekregen, maar één en één is wel degelijk twee.