Belastingdienst ontvangt vier keer zoveel meldingen over fraude door phishing en spoofing

Twee blauwe enveloppen van de Belastingdienst

Het aantal meldingen van fraude door phishing en spoofing staat op recordhoogte. De Belastingdienst heeft dit jaar al ruim 150.000 meldingen ontvangen. Dat is ruim vier keer zoveel als in heel 2019. Cybercriminelen zijn steeds hoger opgeleid en gaan daarbij steeds geraffineerder te werk.

Dat vertelt de Belastingdienst tegenover het Algemeen Dagblad. Ook mocht het dagblad een kijkje nemen in het Security Operations Center (SOC) van de fiscus.

Phishing eist vele slachtoffers

Het komt regelmatig voor dat cybercriminelen uit naam van de Belastingdienst mensen proberen te bedonderen. Tijdens de eerste golf van het coronavirus in ons land ontving de fiscus wekelijks tussen de 10.000 en 12.000 meldingen van nepberichten. Uitgerekend op dat moment moest men de belastingaangifte versturen. In het bericht, verstuurd via e-mail of sms, stond dat mensen bijna 900 euro terugkregen. Het enige dat ze hoefden te doen is hun bankrekeningnummer te verifiëren. Maar dat was niets meer dan een ordinaire oplichtingstruc.

Deze manier van mensen oplichten noemen we ook wel phishing. De daders proberen dan met psychologische manipulatie mensen aan te sporen om vertrouwelijke gegevens af te staan. Het lokkertje van 900 euro was de aansporing. De pagina waar ze hun bankrekeningnummer konden doorgeven en ‘autoriseren’, was nep. Hij was echter zo goed nagemaakt dat hij bijna niet van echt te onderscheiden was. Het gevolg was dat vele mensen het bericht vertrouwden en hun bankrekeningnummer en inloggegevens doorgaven.

Cybercriminelen zijn ‘goed opgeleid’ en doortrapt

De oplichtingspraktijken van cybercriminelen ging daarna onverminderd door. Tot op heden heeft de Belastingdienst meer dan 150.000 meldingen van fraude gekregen. Dat is ruim vier keer zoveel als in 2019, toen de fiscus 35.000 meldingen ontving. En ook dat is bijna vier keer zoveel als in 2017: dat jaar kwamen er 7.700 fraudemeldingen binnen, zo vertelt Jan Polkerman, Chief Technology Officer (CTO) van de Belastingdienst, tegenover het AD.

Karl Lovink, het hoofd van het Security Operations Center (SOC) van de Belastingdienst in Apeldoorn, probeert samen met zijn collega’s om phishing-websites zo snel mogelijk uit de lucht te halen. “Phishing-berichten worden steeds geraffineerder. Cybercriminelen zijn tegenwoordig goed opgeleid en investeren vaak flink geld in dergelijke phishing-operaties”, aldus Lovink.

Vandaag de dag is het voor cybercriminelen steeds eenvoudiger om slachtoffers persoonlijk aan te schrijven. Op het dark web zijn databases verkrijgbaar die de e-mailadressen van miljoenen Nederlanders bevatten. En die gegevens kosten vaak maar een paar cent per stuk. “In combinatie met andere gehackte persoonsgegevens kunnen cybercriminelen steeds persoonlijker mails sturen”, zo weet Lovink.

‘Financiële schade door cybercriminelen dit jaar twee keer zo hoog’

Berend Jan Beugel, woordvoerder van Betaalvereniging Nederland, bevestigt het beeld dat de Belastingdienst schetst. “Nederlanders zijn inmiddels gewend aan phishing zogenaamd door banken, vandaar dat criminelen meer en meer de namen van andere organisaties gebruiken, waarvan de Belastingdienst een belangrijke is.” Het Centraal Justitieel Incassobureau (CJIB), de instantie die verkeersboetes administratief afhandelt, en andere incassobureaus worden volgens Beugel ook regelmatig door oplichters gebruikt om geld afhandig te maken van nietsvermoedende slachtoffers.

Vorig jaar wisten cybercriminelen naar schatting 8 miljoen euro te stelen met hun oplichtingstrucs. Betaalvereniging Nederland komt pas in het voorjaar met nieuwe cijfers, maar verwacht dat de financiële schade dit jaar zeker twee keer zo hoog uitvalt.

Zo weet of een bericht daadwerkelijk van de Belastingdienst is

Hoe weet je of een bericht daadwerkelijk afkomstig is van de Belastingdienst? Polkerman benadrukt dat de Belastingdienst nooit sms’jes, e-mails of via WhatsApp berichten verstuurt waarin ze dreigen met inbeslagname of een deurwaarder. De fiscus communiceert via de post (de welbekende en vaak beruchte ‘blauwe envelop’), of stuurt je een digitale brief die in de Berichtenbox belandt. Om voor een digitale brievenbus in aanmerking te komen, moet je eerst een account aanmaken met DigiD op de website MijnOverheid. Daarna kun je via de site of app alle communicatie met de Belastingdienst en andere overheidsinstanties bekijken.

Krijg je een telefoontje van een medewerker van de Belastingdienst met het verzoek om te betalen? Trap daar niet in, zelfs niet als het nummer van de fiscus in beeld verschijnt. Volgens Polkerman benadert de Belastingdienst burgers nooit telefonisch met een betaalverzoek. Het gaat hier om spoofing. Daarbij wordt tijdelijk de identiteit van een persoon of instantie aangenomen met als doel om mensen op te lichten. Dat kan op allerlei manieren, zoals telefonisch, per e-mail of via een nagemaakte website. Word je dus opgebeld door de ‘fiscus’ met de opdracht om zo snel mogelijk geld over te maken, hang dan direct op.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen