En weg is uw geld: hoe digitale dieven te werk gaan

In de nacht van 23 op 24 januari verdwijnen op de rekening van Bram (*) verschillende bedragen naar een rekeningnummer dat hem onbekend is. De eerste overschrijving start om 00u20 en bedraagt 73,15 euro. Daarna lopen de bedragen snel op, tot 5.000 euro. Om de twee minuten druppelt er via een overschrijving geld weg. In amper een half uur tijd is Bram 25.000 euro kwijt, maar dat merkt hij pas als hij de ochtend nadien toevallig de bankapp op zijn telefoon opent.

“Ik had een grote som geld op mijn rekening staan omdat ik aan het verbouwen ben en enkele facturen verwachtte”, zegt Bram. “Toen ik een sms kreeg van de FOD (federale overheidsdienst) Financiën waarin stond dat ik een openstaande schuld had van 89 euro, heb ik zonder nadenken op de betalingslink geklikt, met de idee: dat doe ik snel, dan ben ik ervan af. Ik wilde geen inbeslagname riskeren, waar de sms mij voor waarschuwde.”

Bram wéét dat hij niet moet ingaan op betaalverzoeken die hem enkel digitaal bereiken. “Ik ben geen idioot. Maar ik leid een nogal hectisch leven met een eigen bedrijf in de creatieve sector. Bijna al mijn communicatie verloopt digitaal. Bovendien kwam ik via de link terecht op een site die als twee druppels water gelijkt op die van de belastingdienst, zonder taalfouten. Alle knoppen waren aanklikbaar, mijn betaling stond klaar – het zag er geloofwaardig uit. Via een uitrolmenu kwamen alle Belgische banken tevoorschijn, waaronder de mijne. Ik klikte hem aan en ook dat werkte.”

Bram nam zijn kaartlezer erbij, voerde de codeprocedure uit, schreef het bedrag over en sloot het venster. Zaak afgehandeld, dacht hij. Tot hij de ochtend nadien zijn rekening controleerde. “Mijn eerste gedacht was: oké, dit is geen ramp. Ik heb iets gelijkaardigs meegemaakt met mijn Visakaart. Die was nagemaakt, waarop criminelen ermee gingen shoppen in Los Angeles. Visa had dat snel in de gaten, blokkeerde de kaart en heeft alles netjes afgehandeld. Die zaak heeft mij niets gekost. Ik dacht dat dat met mijn zichtrekening ook zo zou zijn.”

Bram liet zijn kaart blokkeren en contacteerde de cyberfraudecel van zijn bank, die samen met hem een betwistingsformulier invulde. Toen de FOD Financiën diezelfde dag nog een persbericht uitstuurde waarin ze waarschuwde voor frauduleuze sms’en ‘waarin men u vraagt om een zogezegde schuld aan de FOD Financiën af te lossen’, zag hij in dat de rekening waarop hij 89 euro had gestort geen rekening was, maar een digitale fuik waarlangs criminelen geld binnensluizen.

Hij was er met open ogen ingetrapt, maar toch hoopte Bram dat hij zijn 25.000 euro snel zou terugzien.

Geldezels

Cijfers van de Federal Computer Crime Unit (FCCU) liegen er niet om. In 2019 kregen zij van de ‘gewone burgers’ 1.700.000 meldingen binnen van verdachte mails en sms’en. Daardoor konden zo’n 4.000 criminele sites geblokkeerd worden door de federale politie, ruim tien per dag.

Bram werd het slachtoffer van smishing: phishing via sms. Bij phishing lokken criminelen hun slachtoffers via e-mails of WhatsApp naar een valse website waar ze gevoelige informatie losweken, zoals wachtwoorden of een code om in te loggen op een banksite. Ook pornochantagemails, waarin oplichters dreigen beelden vrij te geven van het slachtoffer dat zogezegd op zijn computer naar porno zit te kijken, vallen onder phishing. En het gebeurt steeds vaker.

Advocaat T. (*) kreeg de laatste maanden enkele slachtoffers van smishing over de vloer. “Voordien ging het vooral om factuurfraude: criminelen onderscheppen via de post facturen van bedrijven, maken ze na en zetten er hun bankrekeningnummer op. Het slachtoffer denkt dat de factuur betaald is en komt pas te weten dat dat niet het geval is wanneer er aanmaningen in de bus vallen.”

Bij smishing en phishing zijn banken niet snel bereid tot terugbetaling, zo is de ervaring van T. Toch is hij er in twee gevallen in geslaagd het gestolen geld terug te krijgen – in één dossier ging het om een bedrag van een paar tienduizend euro. “Je krijgt als slachtoffer de indruk dat als je de oplichting bij de bank meldt, je zelf achter het geld aan moet gaan. Maar dat is niet waar. Het wetboek van economisch recht zegt uitdrukkelijk dat mensen die het slachtoffer zijn van phishing, skimming (waarbij criminelen de magneetstrip van een bankkaart kopiëren, red.) en hacking en die nog in het bezit zijn van hun bankkaart en dus te goeder trouw hebben gehandeld, geen verlies dragen.”

Het gaat om relatief recente wetgeving, uit 2018, wat wellicht de reden is dat veel mensen er niet van op de hoogte zijn en banken hun klanten er niet over inlichten, aldus T. De advocaat moest telkens aandringen. “Ik heb de banken in gebreke moeten stellen voor er beweging in de zaak kwam. Je kunt dat op eigen houtje doen, maar veel mensen weten niet hoe dat moet. Klacht indienen bij het parket kan ook, maar leidt zelden tot een oplossing – je hoort er niets meer van en je weet niet wat het gerecht met je dossier doet.”

Als een ingebrekestelling geen zoden aan de dijk zet, komt er volgens T. best wel een advocaat aan te pas, die de bank kan dagvaarden. In dat geval moet een rechter zich over het dossier uitspreken.

Het geld dat oplichters buit maken bij smishing en phishing gaat naar money mules – geldezels, zegt Isabelle Marchand, woordvoerder van Febelfin, de belangenorganisatie van de financiële sector. “Geldezels zijn tussenpersonen die hun bankrekening en soms zelfs hun bankkaart bewust ter beschikking stellen van criminelen, om gestolen geld te innen en af te halen. Geldezels worden soms geronseld via sociale media, waardoor tieners er onbewust het slachtoffer van kunnen worden. De criminelen bieden hen een vergoeding aan voor het tijdelijk ter beschikking stellen van hun rekening, maar jongeren beseffen niet dat ze zich op die manier blootstellen aan strafbare feiten.”

“Via geldezels wordt het geld snel doorgesluisd, waarna het ontraceerbaar wordt”, gaat Marchand verder. Opvallend, toch: alle digitale verrichtingen laten tegenwoordig sporen na, maar phishing dus niet? “De geldezels worden wel gevat, maar dat zijn kleine vissen. Degenen die achter het fraudeplan zitten, de criminelen die de phishing organiseren, daar heeft de politie geen zicht op.”

Marchand wijst erop dat slachtoffers van phishing altijd zelf hun codes meedelen aan de criminelen, waardoor ze insinueert dat de diefstal deels ook hun fout is. En de recente wetgeving dan, die slachtoffers beschermt? “Ja, maar een bank beoordeelt elk dossier apart. Als er sprake is van grove nalatigheid, zou het kunnen dat de bank niet terugbetaalt. De beste beveiliging begint daarom bij jezelf. Geef nooit de code van je bankkaart door, ook al kom je op een geloofwaardige site terecht. Ik snap dat als je een link opent op je telefoon, je niet altijd de url kan controleren of te zien krijgt. Ga altijd naar je pc-banking en doe dan pas de betaling.”

Gemakkelijker gezegd dan gedaan, nu zelfs de politie bij het versturen van minnelijke schikkingen zoals een verkeersboete een qr-code meestuurt, zodat je snel mobiel kunt betalen. Wie ziet door de bomen het bos nog?

Bij de smishing van Bram verdween het geld naar een rekening van Bunq, een Nederlandse onlinebank. Waar het geld van daar naartoe ging, is niet duidelijk. “Ik heb alle informatie doorgegeven aan de politie, die een proces-verbaal heeft opgemaakt”, zegt Bram. “Wellicht waren de rekeningen eendagsvliegen en staat het geld ondertussen op andere rekeningen of is het afgehaald. De bank zegt dat ze mijn zaak onderzoekt, maar mijn geld heb ik nog niet terug. Ze antwoorden ook niet meer op mijn mails. Ik heb er een advocaat op gezet.”

Toneelstuk

Twee jaar geleden plaatste cameraman Bruno Peeters een zoekertje op 2dehands.be waarin hij fotomateriaal te koop stelde. Hij wilde van merk veranderen en bood zijn camera’s, flitsen en lenzen aan in een pakket voor 5.000 euro. Op 2dehands.be zijn de laatste maanden oplichters actief die interesse veinzen in een product, maar de verkoper eerst vragen een overschrijving te doen van één cent om te bewijzen dat hij echt bestaat. ‘Er zijn nogal wat fraudeurs actief op deze site.’ De overschrijving gebeurt via een link die de verkoper naar een valse betaalsite brengt. En dan is het te laat.

Bij Bruno liep het anders, maar hij wist dat hij op zijn hoede moest zijn. Toen hij de dag dat hij zijn zoekertje uploadde, al een bericht kreeg van een Nederlander die beweerde een amateurfotograaf te zijn, rook Bruno onraad. Het toestel van de Nederlander was stuk en hij had snel een nieuw nodig, want hij moest in het weekend een bruiloft fotograferen. De koper deed niet moeilijk: hij wilde de hele set en zou een Surinaamse vriend erom sturen die toevallig die dag in België moest zijn. Om de identiteit van de koper te controleren, vroeg Bruno zijn gegevens.

“Toen ik die googelde, kwam ik uit bij een bestaand bedrijf in Nederland”, zegt Bruno. “Maar toen ik de naam opzocht van de Surinamer die bij mij zou langskomen, vond ik niets. Ik kreeg wel zijn nummer en belde met hem, wat me enigszins geruststelde.

“Die gast is afgekomen en heeft het materiaal bekeken, maar hij kende er duidelijk niets van. De 5.000 euro heeft hij zonder morren betaald. Aan mijn keukentafel opende hij zijn laptop, surfde naar de site van ABN Amro en liet mij over zijn schouder meekijken naar zijn betaalgeschiedenis. Zo kon ik zien dat hij een uur voor zijn aankomst bij mij nog was gaan tanken.”

Toen Bruno na de verkoop met de man meeliep naar zijn auto, vroeg de Surinamer of Bruno dat deed om hem te controleren. “Nu ga je zeker een foto nemen van mijn auto en mijn nummerplaat?” Waarop Bruno zich betrapt voelde en afzag van zijn plan. “Lang verhaal kort: het geld heb ik nooit gezien. Toen ik de man wilde bellen omdat ik hem geen factuur had meegegeven, nam hij al niet meer op. Daarop contacteerde ik het bedrijf in Nederland waarvan ik de gegevens had. Daar zeiden ze me dat ze al eerder het slachtoffer waren geweest van identiteits- en bankfraude.”

Pas toen het geld niet op zijn rekening verscheen, begreep Bruno dat hij in een strak geregisseerd toneelstuk was terechtgekomen van een georganiseerde bende. Zijn fotospullen heeft hij als gestolen opgegeven, inclusief serienummers, maar na zijn aangifte heeft hij er nooit meer iets van gehoord. Het was de perfecte hold-up.

Hoe komt het dat het digitale spoor naar verdwenen geld vaak doodloopt? De Mechelse onderzoeksrechter Philippe Van Linthout verwijst naar money mules. “Het spijt me dat ik dit moet zeggen, maar meestal kom je uit bij zwarte mensen in de Brusselse Matongewijk – laatst kwam ik zelfs terecht in de Bijlmer in Amsterdam. Daar bevinden zich netwerken van geldezels waar je nooit de vinger op kunt leggen. Ze cashen het geld en dan is het weg. Boks daar maar eens tegenop als gerecht. Het is de frustratie van elke onderzoeker.”

Van Linthout zegt dat er een ‘alternatief bankcircuit’ bestaat. “Dat zijn geen echte banken, maar subsystemen van mannen met dikke bakken die rondrijden in Matonge. Ze stappen een café binnen en zeggen dat ze mensen nodig hebben die even hun bankkaart willen uitlenen. Als je dan ook nog eens honderd euro kunt verdienen, vind je snel een sukkelaar die niet beter weet.”

“De netwerken rekruteren ook via stepstone.be (een jobwebsite, red.), waar ze een bijverdienste aanbieden in samenwerking met een caritatieve instelling in Syrië. Maar omdat je geen geld kunt overmaken naar Syrië, moet het zogezegd via tussenpersonen. Klinkt heel naïef allemaal, maar er zijn altijd mensen die daarin trappen. Vriendschapsfraude, relatiefraude, Nigeriaanse prinsen, phishing, skimming: het kan allemaal dankzij onnozelaars die hun bankkaart uitlenen.”

Banken zijn de eerste poortwachters bij verdachte transacties, aldus Van Linthout. “Er zijn algoritmes die alarm slaan als er op een rekening plots 30.000 euro bijkomt en weer af gaat. Soms kan op die manier een storting naar het buitenland op het laatste nippertje geblokkeerd worden. Maar als het geld in Matonge wordt afgehaald door iemand met een kap over zijn hoofd: begin dan maar eens te zoeken.”

Bram heeft geen al te hoge pet van die algoritmes, zegt hij. “Blijkbaar heeft een bank niets in de gaten als er in korte tijd zestig verrichtingen gebeuren met kleine bedragen voor een grote som in het totaal. Raar dat daar geen algoritme op draait.”

‘Met Nicole van ING’

Onlinecriminelen blijken niet alleen geld te stelen, ze ‘kopen’ het ook aan. “In een dossier van het federaal parket is er sprake van een dadergroep die naar juweliers trok om er de duurste horloges te bekijken”, weet Van Linthout. “Juweliers worden dan al een beetje nerveus, zeker als de mensen ook willen passen. Eén juwelier nam foto’s van de kandidaat-kopers, waarop die inspeelden op het gevoel van de juwelier: “Vous n’avez pas peur d’un noir, je suppose?” Om elke verdenking van zich af te schudden, voegden de kopers de daad bij het woord en gingen ze over tot de aankoop van de vier horloges. Een seconde later stond er 400.000 euro op de rekening van de juwelier.”

Op hetzelfde moment dat het geld werd gestort, belde een vrouw uit Amsterdam naar een Nederlands bedrijf. “Hallo, dit is Nicole van ING. We zijn onze beveiliging aan het upgraden. U weet dat u geen paswoorden aan de telefoon mag doorgeven, maar u kan uw kaartlezer nemen en uw normale bewerkingen doen. Als u nu inlogt, welke code krijgt u dan?”

“Je denkt dat alles verloopt zoals het hoort”, aldus Van Linthout, “maar je speelt mee in een script. Zodra je je code geeft, ben je een vogel voor de kat. Dat is precies wat bij dit bedrijf gebeurde: er werd 400.000 euro van hun rekening overgeschreven naar de juwelier met de vier horloges. Die man kreeg zijn geld, maar het bedrijf was het kwijt.”

Van Linthout vindt dat mensen argwanend moeten zijn. “Als je een digitale factuur krijgt of als je bij een vaste betalingsopdracht plots van rekeningnummer moet veranderen, moet er een alarmbel afgaan. Digitale oplichters zijn enorm creatief. Ze draaien hun hand er niet voor om een bankapp na te maken die niet te onderscheiden valt van een echte. En ondertussen krijgen lobbyisten een vrij forum om te beweren dat wij bij het gerecht de stouteriken zijn die uw privacy komen afnemen, met ANPR-camera’s en bankvorderingen. Er is wel degelijk een spanningsveld, maar wij hebben ook ruimte nodig om ons werk te kunnen doen. Privacy en data zijn heilig, tot je rekening is geplunderd.”

(*) Bram is een schuilnaam. Zijn volledige identiteit is, net als die van advocaat T., bekend bij de redactie.