Gisteren meldde ik op Linkedin, dat ik dit weekend het slachtoffer van spoofing ben geworden. Ik moet zeggen dat ik een enorme reeks warme reacties heb ontvangen. Wat kunnen we toch warm zijn voor elkaar in dit soort omstandigheden. Een enkeling kon ‘zich niet voorstellen hoe iemand zo dom kon zijn om in zo’n val te trappen’. Het zou hen nooit overkomen, weten ze. Maar al die mensen die dat tegen me zeiden, hebben het nog nooit meegemaakt. En ik zou ze extra willen waarschuwen. Ondeschat dit niet! Achteraf weet je vaak wat je had moeten doen, maar op het moment zelf word je volledig overrompeld.
Ik zal proberen uit te leggen waarom ze het lukt. Ik ben nu 5 dagen verder, heb me suf gelezen en weet nog precies hoe het gegaan is. Omdat ik denk dat het anderen kan helpen, inventariseer ik de belangrijkste momenten van de misdaad even.
Eerst maar eens de DHL-mail, waarop ik reageerde. Voor de slimbims die zeker weten dat het hen nooit overkomt: normaal zou ik hier ook niet op reageren. Maar wat wil het vervelende toeval? Ik had net een pakje besteld vier dagen daarvoor bij Managementboek, en ik dacht dat het daarover ging. Ik checkte voor de zekerheid het adres even, wat ik altijd doe bij verdachte mail. Vaak staat daar de grootste onzin in. Zogenaamde overheidsmails hebben dan als adres cpdjekkkanne@gmail.com of zo.
De mail leek mij (vanwege dat adres) betrouwbaar, en verder had ik de domme pech dat ik een pakketje had besteld, waarvan het heel aannemelijk was dat het niet voldoende gefrankeerd was. Ik dacht: ik betaal die 5,36 even. Hier is de mail, die ook in uw mailbox terecht kan komen. Er staat een prachtig DHL-logo boven in het bruin.
Van: DHL Parcel <noreply@dhlparcel.nl>
Verzonden: zaterdag 31 juli 2021 09:55
Aan: pitcher.support@hetnet.nl <pitcher.support@hetnet.nl>
Onderwerp: Uw pakket is onderweg!
Wij hebben uw pakket op 30.07.2021 niet bij u thuis kunnen bezorgen. De reden hiervan is dat het pakket niet voldoende is gefrankeerd voor levering. Wij willen toch een nieuwe bezorg afspraak met u maken. Dat kan alleen als de verzendkosten voldaan zijn.
Wij geven nu de kans om de verzendkosten te betalen, dit kan tot 05.08.2021. Indien de kosten niet voor deze datum betaald is. Zijn wij genoodzaakt het pakket retour te sturen naar de afzender. Deze kosten zijn voor u.
Houd er rekening mee dat deze kosten hoger liggen dan de kosten naar uw thuis adres.
U kunt via hier de verzendkosten betalen.
Wij hopen u voldoende te hebben geïnformeerd.
Hoogachtend
(vrouwennnaam)
Het Nederlands is niet optimaal, maar dat is helaas wel vaker het geval, ook bij bonafide mails. Dus dat wekte geen argwaan. Ik volgde de link. Die link liep uit op een ogenschijnlijk normale mobiele betaalprocedure. Via ‘jouw bank’ kwam ik terecht bij mijn bank en volgde de procedure die nauwelijks te onderscheiden was van elke andere betalingsprocedure die je mobiel doet. Wel moest ik mijn e-dentifier erbij halen, dus ik kon niet met mijn identificatiecode betalen. Hiervoor moest ik met mijn pincode inloggen. (Voor de goede orde, de 5,36 die ik overmaakte naar DHL staat niet op mijn afschriften, dus is hun handige poging om aan je pincode te komen.)
So far so good, dacht ik. Het was zaterdagavond 17.36, ik nam een glas wijn en zat wat notities te maken voor een verhaal dat ik aan het schrijven ben en plotseling ging de telefoon over. Mijn display toonde ‘Anoniem’, en die laat ik meestal liggen. Bij wijze van uitzondering nam ik hem op. Zowel het pakketje dat ik bestelde, als het uitzonderlijke opnemen van een anoniem telefoontje waren de ‘mazzeltjes’ van de criminelen. En dus ook: mijn pech. De vraag hoe mensen ‘zo dom kunnen zijn om erin te stinken’ is daarmee niet beantwoord, maar dat het phishing- en spoofingtuig ook geluk moet hebben, blijkt hier wel uit.
Een jongeman met de stem van iemand van een jaar of 35 stelde zich voor als Eric Bovenraet (‘met ae’ zei hij nog) van het Fraudebestrijdingsteam van de ABN Amro (mijn bank).
-Zegt u het eens, zei ik.
Hij begon uit te leggen dat er sinds mijn laatste overboeking naar DHL allerlei verdachte inlogpogingen uit Wis-Rusland en Afrika waren, eentje van 900 euro, en dat het de taak van zijn team was om klanten te beschermen. Maar ik moest mij geen zorgen maken, want hier waren steeds betere procedures voor en hij zou me door een van die procedures heen leiden.
Wat die procedure was, werd maar erg langzaam duidelijk, want hij was wollig en uitgebreid aan het praten, maakte nog reclame voor wat ABN producten, toonde ruim begrip bij mijn weerstanden, probeerde op alle mogelijke manier in the lead te blijven zonder onvriendelijk te worden, maar oefende wel druk uit.
Zo maakte hij me duidelijk, dat ik als klant volledig verantwoordelijk en aansprakelijk was voor het bedrag dat ik had overgemaakt. Hij praatte vastberaden en rustig door, liet zich nauwelijks onderbreken, en schermde met allerlei formele regels en procedures. Daarbij drong hij aan.
-Wij zijn een wat zwaardere afdeling en maken altijd een depotrekening voor klanten aan in dit soort omstandigheden. We storten dan een half uur het geld van uw rekening in dit depot om het vervolgens binnen een uur terug te storten.
Er ontstond een lang gesprek. Ik uitte mijn twijfel.
-Wie zegt mij dat u geen crimineel bent, meneer? Ik hou er niet van mijn geld op die manier over te maken.
Maar hij toonde weer alle begrip, zei dat hij er volkomen in kon komen dat ik op mijn hoede was, ‘de meeste mensen zijn niet zo alert, ik waardeer dat’, en hij bleef maar zeggen dat mijn rekening anders onbeschermd was en ‘any moment’ leeggetrokken zou kunnen worden.
Uiteindelijk maakte ik het geld over naar de ‘depotrekening’ over. Afschuwelijk om aan dat moment terug te denken, maar ik doe het zodat het de lezer niet overkomt. Waarom ik het deed? Omdat ik dacht: ‘Stel dat hij echt van de fraudebestrijdingsdienst is, dan ben ik zo al mijn geld kwijt.’
Het was dit wat me overhaalde. Vooral omdat het allemaal zo snel leek te gaan met die verdachte inlogpogingen. Dus wat kunnen we over deze crimineel zeggen?
-Het was een rustige, beschaafde jongen van tenminste HBO-niveau, maar mogelijk ook wetenschappelijk;
-Hij was goed op de hoogte van hoe het bij de bank werkte;
-Hij sprak met kennis over mediapublicaties rondom phishing, was op de hoogte van de waarschuwingen van de bank, en gebruikte die zelfs om geld los te krijgen;
-Hij had een zeer klantgerichte houding, maar bleef wel steeds praten;
-Weerstanden van mij pareerde hij met ondermeer kennis van mijn rekening (‘U heeft vanmiddag daar en daar nog opnames gedaan’), met begrip (‘Ik begrijp dat u het niet vertrouwt, maar ik kan mij natuurlijk niet op een andere manier identificeren, u moet het hier even mee doen’), hij veerde mee maar soms werd hij korter (‘Meneer, u mag uw twijfels hebben, maar wij zien dat er nog steeds inlogpogingen zijn’.)
-Hij deed wat de bank ook doet: je even in de wacht zetten om met een collega te overleggen.
Achteraf kijk je terug, lees je de berichten en sites van de bank en kan je jezelf wel voor het hoofd slaan, maar op zo’n moment gebeurt er van alles. Deze personen zijn enorm goed voorbereid, zijn veel beter dan jij op de hoogte van de laatste ontwikkelingen in de internetcriminaliteit en het antwoord daarop van de banken. Er komen wel dingen in je op, maar je vraagt je voortdurend af: hoe ziet het ook alweer?
Ik ben erin gestonken. 25 jaar gedragstrainer, en dan overkomt het je toch. De politie zei dat ik me niet hoefde te schamen (deed ik wel). Het komt echt heel erg veel voor. Zelfde antwoord van de ABN Amro: ‘Geneert u zich vooral niet. Er zijn hier hoogleraren en CEO’s ingetrapt’.
Vanaf nu bel ik bij internetlinken, waarop ik meen te moeten reageren, steeds de firma op, en bij verdachte mensen aan de lijn onderbreek ik om terug te bellen naar het nummer van hun Klantenservice.
Ik hoop dat jullie hiermee je voordeel doen. En voor hen die denken dat het allemaal toch wel heel dom is, als je hier intrapt: pas maar op. Je hebt te maken met briljante criminelen en doorgewinterde organisaties. Of jij het van ze zou winnen, durf ik niet te voorspellen, maar ik zou je aanraden weg te blijven bij ze.
Bert Overbeek is een succesvol organisatietrainer en -coach
Kom met uw praktijkervaringen op het terrein van managen en organiseren
Deel uw kennis, schrijf 3 columns of artikelen en ontvang een gratis pro-abonnement (twv €200)
Word een pro!
SCHRIJF MEE >>
Het is een soort cascade van kleine stapjes die je steeds net wat verder brengen; iets waar onze psychologie gevoelig voor is, zeker als er onzekerheid is over groter verlies.
Ik heb zelf een keer een mobiel, "met mooie korting", besteld via Marktplaats (en nooit gekregen), waar ik ook navraag had gedaan, zelfs bij het opgegeven filiaal van een zaak langs ging. Stond een man die slechts Nederlands sprak en zei dat er van alles kon, maar dat hij ook niet de eigenaar was. Mijn uiteindelijke 'excuus': ik wilde mijn dochter, die dat toestel zo graag wilde en het zelf op Marktplaats gevonden had, niet teleurstellen. Heb haar wel de risico's verteld (vooraf), en, 2e excuus: het was wel een goede les voor ons allebei, hoewel die de lezer niet nieuw zal voorkomen: als het te mooi is om waar te zijn, is het waarschijnlijk niet waar.
Misschien nog een tip, voor als je anoniem gebeld wordt: vragen om terug te kunnen bellen?
Vraag; is er geen regel, dat banken zelfstandig een rekening kunnen afsluiten, als ze 'inbraakpogingen' waarnemen?
- uit eigen ervaring ( meerdere malen) weet ik dat internet criminelen op een of ander wijze weet hebben van bestelde pakketjes die onderweg zijn.
Geen idee hoe (handlangers bij de berzorgers ?), zou eens onderzocht moeten worden. Dit is geen toeval.
- bijbetalen voor de bezorgkosten is per definitie onzin als de bezorgkosten reeds betaald zijn.
- de pincode is uitsluitend bedoeld voor de e-identifier, niet om in te geven op een website.
- Iedere bank is verantwoordelijk voor de beveliging van jouw rekening en saldo. Hievoor is NOOIT de hulp van de rekeninghouder nodig.
- De fraude afdeling van een bank zal nooit bellen voor aanvallen op een rekening van een rekeninghouder.
👍🏼
Misschien goed om nog te vermelden dat ze tegenwoordig ook bellen terwijl in de display van je telefoon inderdaad het telefoonnummer van de bank wordt getoond. Ze zeggen dan, check het nummer in je display en google het maar, ik ben echt van de bank. Niet dus!
Dus nooit terugbellen, maar altijd opnieuw zelf nummer van de bank intoetsen.
Ik had onlangs inlogproblemen bij Microsoft (zakelijk). Ik deed hier zelf iets fout en werd geblokkeerd door Microsoft. Nog dezelfde middag werd ik gebeld door een bedrijf dat belde ‘on behalf of Microsoft’! Het nummer kwam uit Lelystad. Engelssprekend met Indiaas accent. Ze wilden mijn probleem verhelpen door mijn laptop over te nemen en op afstand te besturen. Ik was wantrouwend maar had ook helemaal geen tijd op dat moment, moest afbreken en dat was mijn redding. Ze wisten alles van mijn inlogpogingen bij Microsoft, dat bracht mij enorm aan het twijfelen! Ik weet zeker dat ze geïnformeerd worden door medewerkers daar, de timing kan geen toeval zijn geweest. De inlogproblemen heb ik zelf de volgende dag weer kunnen oplossen. Laat nooit je computer door iemand die je niet kent overnemen!
Iedereen die zegt dat ie er ‘nooit zou intrappen’ zou nog weleens van een kouwe kermis thuis kunnen komen. Echt, ik ben blij dat je ons waarschuwt voor deze uitgekookte en geraffineerde ‘modus operandi’ van oplichters want je zult noch de eerste, noch de laatste zijn bij wie ze dit trucje proberen. Het is zo doortrapt allemaal….
Ik hoop maar dat je verder geen ernstige - financiële- schade hebt geleden want dit is al 😡😩 genoeg, lijkt me!
Dank voor het delen iig.
En dat alles om een boek op tijd te krijgen. Er is dus naast de pech dat je idd iets besteld is (orderbedrijven geven altijd bestelling en afz aan en de kans dat iemand ergens wel een bestelling geplaatst heeft is tegenwoordig best groot) is er ook een urgentie aangegeven, je moet snel iets doen tegen een kleine betaling van enkele euros en die kunnen we allemaal wel lijden. (Hangslotje bij een beveiligde website, maar ook dat je bij een klein bedrag met e-dentifiyer moet bevestigen is reden voor argwaan) Daarna het echte werk, ook hier weer alles met urgentie. Je geeft aan gerede twijfel te hebben, waarom geen check op internet, waarom niet laten terugbellen met een niet anoniem nr, waarom niet zelf gebeld met de bank, vele mogelijkheden / signalen gemist onder de druk van buitenaf. Wat ik me nog afvraag is of de rekening van ook van de dezelfde bank was of van een andere (buitenlandse) bank?
Misschien toch te veel intuïtie gebruikt, of te weinig naar de intuïtie geluisterd?
Zorg voor een gezonde dosis argwaan en volg de tips: te mooi om waar te zijn is vaak te mooi om waar te zijn en bij twijfel niet inhalen en dat geldt voor alle beslissingen die een groot effect hebben en/of slecht te corrigeren of bij te sturen zijn.
Ik zal in ieder geval het boek “het flitsbrein” bestellen, naast dat ik nieuwsgierig ben naar het boek ook een kleine ondersteuning.
Ook zeer gewiekst en als je er later over nadenkt, hoe heb ik zo stom kunnen zijn?
Toevallig heb ik gisteren net dezelfde dhl-mail ontvangen.....