Toename WhatsApp-fraude bij medewerkers overheidsorganisaties

Vrouw opent WhatsApp op haar smartphone

WhatsApp-fraude zit in de lift. Dit probleem speelt niet alleen onder consumenten, maar ook onder politici, ambtenaren en andere medewerkers van overheidsorganisaties. Als er via WhatsApp vertrouwelijke informatie wordt verstuurd, levert dit een groot probleem op voor informatiebeveiliging. Iedereen die in dienst is bij een overheidsinstantie, doet er goed aan om tweefactorauthenticatie in te stellen.

Dat adviseert het Nationaal Cyber Security Centrum (NCSC) in een persbericht.

Explosieve stijging van WhatsApp-fraude

Bij WhatsApp-fraude doen criminelen zich voor als een bekende en proberen ze geld afhandig te maken van een slachtoffer. Een veelgebruikte methode is dat ze iemand benaderen en zeggen dat ze een nieuw telefoonnummer hebben. Vervolgens vragen de oplichters aan hun doelwit of ze geld kunnen overmaken naar hun rekening, bijvoorbeeld omdat de deurwaarder anders langskomt of de elektriciteit wordt afgesloten. Via diensten als Tikkie versturen ze een betalingsverzoek. Eenmaal betaald zijn de slachtoffers hun geld kwijt.

Oplichting via WhatsApp is een van de meest toegenomen vormen van online criminaliteit, zo schrijft het NCSC. Tussen april en augustus van dit jaar kwamen er gemiddeld 700 aangiftes per week bij de politie. Enerzijds is dit te verklaren omdat het sinds mei mogelijk is om via internet aangifte te doen van internetoplichting. Anderzijds zijn steeds meer mensen het slachtoffer van gewiekste oplichters. Sinds augustus loopt het aantal aangiftes van WhatsApp-fraude weer enigszins terug.

Volgens de Fraudehelpdesk zijn er dit jaar al ruim vier keer zoveel slachtoffers gevallen door WhatsApp-fraude. Tot en met 1 oktober ontving de organisatie 9.605 meldingen van deze vriend-in-noodfraude of hulpvraagfraude. Eén op de acht slachtoffers tuinde met open ogen in deze val, wat hen gezamenlijk 3,3 miljoen euro kostte. Minister van Justitie en Veiligheid Ferd Grapperhaus bevestigde afgelopen maand dat de politie meer meldingen van oplichting via WhatsApp ontvangt. Om het tij te keren lanceerde de politie in oktober een landelijke preventiecampagne om mensen meer bewust te maken van het gevaar.

WhatsApp-accounts van medewerkers overheidsorganisaties zijn vaker doelwit

Volgens het NCSC nemen criminelen steeds vaker WhatsApp-accounts over van medewerkers van overheidsorganisaties. Ze doen dit puur uit financieel gewin. Volgens het adviesorgaan zijn er geen aanwijzingen dat ze hun pijlen richten op medewerkers van specifieke politieke instanties.

Door de coronacrisis werkt een groot deel van Nederland van thuis uit. Dat geldt onder meer voor het leeuwendeel van de 175.000 ambtenaren die in dienst zijn van de Rijksoverheid, maar uiteraard ook voor medewerkers van andere overheidsorganisaties (provincie, gemeente). Totdat er een vaccin is tegen het coronavirus, zal deze situatie waarschijnlijk nog wel aanhouden.

Vanwege het gebruikersgemak en de laagdrempeligheid gebruiken ambtenaren steeds vaker berichtendiensten als WhatsApp. Maar dat is niet zonder risico. Hierdoor lopen organisaties het risico dat vertrouwelijke informatie en contactgegevens in de verkeerde handen terecht komen. Dat is een ernstige inbreuk voor informatiebeveiliging.

Tip: bescherm je WhatsApp-account met tweefactorauthenticatie

“Het is rijksbreed beleid om vertrouwelijke, gerubriceerde of privacygevoelige informatie nooit in openbare online diensten te delen of op te slaan”, zo stelt het NCSC. In plaats daarvan moeten overheidsmedewerkers vertrouwen op en gebruikmaken van applicaties en diensten die door hun werkgever hiervoor zijn aangewezen. Omdat ze werken met vertrouwelijke documenten en privacygevoelige informatie, hebben medewerkers van overheidsinstantie een grote verantwoordelijk om hier zorgvuldig mee om te gaan. Ook lijkt het NCSC geen voorstander te zijn van BYOD-beleid (Bring Your Own Device). Ze adviseert onder meer om geen zakelijke contactgegevens op te slaan in je privételefoon en duidelijk onderscheid te maken tussen zakelijke en privé-apparatuur en omgeving.

Een laatste tip die het NCSC meegeeft aan medewerkers is om tweefactorauthenticatie te activeren. Daarmee brengen ze een extra veiligheidslaag aan. Naast een verificatiecode moet er ook een zescijferige pincode worden opgegeven om te kunnen inloggen op WhatsApp. Naast iets dat je hebt (verificatiecode) hebben hackers tevens iets nodig dat je weet (pincode).

De Algemene Rekenkamer kwam eerder deze maand met de waarschuwing om geen privé e-mailadressen en communicatie-apps te gebruiken om vertrouwelijke informatie te versturen.

WhatsApp-account gegijzeld van ambtenaren gemeente Den Bosch

Begin deze maand werd bekend dat de WhatsApp-account van zes medewerkers van de gemeente Den Bosch korte tijd was overgenomen. Ze ontvingen een ‘vertrouwelijk lijkend bericht’ dat WhatsApp de verificatiecode per ongeluk naar de verkeerde persoon had gestuurd. Of ze deze code konden doorsturen. Daarna werd hun account gegijzeld en ontvingen bekenden een betaalverzoek via WhatsApp. Ze losten het probleem op door WhatsApp van hun smartphone te verwijderen, opnieuw te installeren en opnieuw de verificatiecode in te voeren.

De ambtenaren in Den Bosch zijn niet de enigen die enige tijd de controle over hun WhatsApp-account kwijt waren. Volgens de politie is dit tot nu toe twintig slachtoffers overkomen. Naar verluidt gaat het om één burgemeester, twee wethouders, twee journalisten en medewerkers van de brandweer, gemeenten en ministeries.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen