Opgelicht? Dit moet je doen

Oplichting via de telefoon lijkt zo ouderwets. Toch gebeurt het, en het blijkt ook nog eens behoorlijk lucratief voor de fraudeurs. Zoals de bellers van ‘de Microsoft-helpdesk’, die een hele lading psychologische trucs op ons loslaten. Daarmee drukken ze op onze knopjes, tenzij we waakzaam en kalm weten te blijven. Hoe gaan deze oplichters te werk en hoe voorkomen we dat we worden opgelicht? Dit artikel geeft je een ontleding én een verdediging.

We leven en werken in een mooie, moderne wereld met talloze mogelijkheden dankzij computers, internet, smartphones en andere ict-middelen. Tegelijkertijd leven en werken we in een gevaarlijke, hackbare wereld met allerhande dreigingen dankzij computers, internet, smartphones en andere ict-middelen – naast nog de ouderwetse telefoon. Constante updates voor besturingssystemen, browsers en apps brengen ons innovaties en verbeterde veiligheid. Complexe securitysoftware kijkt kritisch naar de lappen code die we op onze apparatuur draaien. Alleen komt uiteindelijk tóch alles neer op de mens.

We moeten het gevaar van volautomatische hacktools, drive-by-besmettingen, zero-days en ander digitaal gevaar dan ook niet onderschatten. Wat dat betreft is en blijft de mens de zwakke schakel. Niet alleen zijn we doelwit van cybercriminelen die uit zijn op geldelijk gewin, we zijn ook maar al te vaak het middel waarmee dat doel wordt bereikt. Sluwe phishing-mails, overtuigende nepsites, social engineering en psychologische trucs behoren tot de toolkit van cyberoplichters.

01 De telefoon gaat

De telefoon gaat. Soms is dat een mobiel nummer, soms nog een ouderwetse vaste lijn. “Hallo?” Aan de andere kant van de lijn begint een beleefd sprekende persoon in het Engels met de eerste stap in een slinks stappenplan. “Met de Microsoft-helpdesk. We hebben geconstateerd dat uw computer is besmet.” Een wat technischer klinkende variant is de mededeling: “Ik ben van de Microsoft-helpdesk en we hebben geconstateerd dat uw Windows-beveiliging is doorbroken.”

De stem van de beller heeft meestal een mild-Aziatisch accent, zoals Indiaas. Op zich is dat niet vreemd, want veel grote bedrijven doen aan uitbesteding van activiteiten, zoals klantenondersteuning en helpdesks. India is vanwege zijn relatief lage lonen een geliefd land voor het onderbrengen van dat soort werk.

Laten ophangen

Alert zijn op oplichterij is één ding, dus ophangen kan. Maar net als echte verkopers en marketeers weten de bellers niet van ophouden. Een betere manier van afkappen is door hén op te laten hangen. Hoe? Laat ze weten – of geloven – dat ze echt geen kans maken. Door bijvoorbeeld te vertellen dat je geen Windows-pc hebt, maar een Mac. Of dat je Linux gebruikt. Zo kom je mogelijk op ‘de zwarte lijst’ van deze ongewenste bellers.

02 Angst en (on)geloof

Tot zover de rationalisering van het onverwachte telefoontje van ‘de Microsoft-helpdesk’. Veel gewone computergebruikers zijn op dit punt namelijk niet meer zo rationeel als de lezer van dit artikel. Gewone mensen wéten namelijk dat virussen, ransomware, malware en ander digitaal kwaad bestaat. Sommigen zullen ook weten dat malware geheel ongemerkt kan binnenkomen, via een softwarebug bijvoorbeeld. Computerinfectie voltrekt zich dan volautomatisch bij het bezoeken van een doodgewone site waar dan nét besmette advertenties draaien. Dit is immers ook in Nederland al meerdere malen gebeurd, onder meer bij drukbezochte websites als Telegraaf.nl, NU.nl, Marktplaats.nl en Buienradar.nl. Deze websites dienen dan ongewild als verspreidingsvehikel voor zogeheten drive-by malware.

Een belletje van ‘de Microsoft-helpdesk’ kan dus twijfel en zelfs angst zaaien. Het bedrijf heeft eigen antimalware en levert via Windows Update een maandelijks bijgewerkte scantool die controleert op bekende malware. Daarbij doet Microsoft ook aan uitgebreide analyse. Bovendien zóu Microsoft technisch gezien inderdaad kunnen weten of een computer is geïnfecteerd.

Securitydreigingen zoals botnets zijn een wereldwijd bekend fenomeen.

03 De beste leugens

De beste leugens bestaan deels uit waarheid. De hierboven omschreven realiteit van digitale dreigingen wordt in de derde stap van het oplichtingsplan sluw gebruikt om op een psychologische alarmknop te rammen: “Ze zijn al binnen: uw pc is geïnfecteerd!” Op die manier gooit de beller olie op het vuur van de geschapen twijfel. De onrust slaat bij veel non-technische mensen dan om in angst.

De angst wordt vervolgens extra aangewakkerd met de aanvullende mededeling dat de computer over twee uur onbruikbaar is: “De hackers hebben dan alles te pakken; ze zetten alles op slot.” De oplichters van ‘de Microsoft-helpdesk’ haken hiermee wederom in op de waarheid. Ze verwijzen naar het fenomeen ransomware: kwaadaardige software die kostbare bestanden vergrendelt met onkraakbare encryptie en vervolgens losgeld eist.

04 Psychologische knoppen

De kritische lezer kan zich achter de oren krabben en zich sceptisch afvragen wie hier nou intuint. Welnu, véél meer mensen dan je zou verwachten. Mediapsycholoog Mischa Coster legt uit dat de oplichters inderdaad psychologische trucs inzetten om hun slachtoffers te manipuleren. “Ze gebruiken een dodelijke combinatie: autoriteit plus angst. De geclaimde autoriteit is uiteraard het bedrijf Microsoft dat belt, waarschuwt en wil helpen. De gecreëerde angst is de melding van aanwezige malware of hackers. Zonder acuut ingrijpen zal de dreiging omslaan in verlies van data of geld. De oplichters zaaien twijfel, en bij twijfel staan mensen open voor suggesties”, vertelt Coster. “Mensen die twijfelen doen instinctief twee dingen: ze willen weten wat andere mensen doen en ze geloven wat een autoriteit zegt.”

Het voordeel voor de fraudeurs is dat de aangeprate noodsituatie verhindert dat mensen nagaan wat anderen doen. Even googelen lijkt ook geen optie, want de beller heeft al gezegd dat de computer op dit moment niet meer te vertrouwen is. Maar gelukkig is de gezochte autoriteit voorhanden: de Microsoft-helpdesk hangt nu immers aan de lijn. Tenminste, zo lijkt het. “Mensen staan dan open voor suggestie”, weet Coster.

Neem een moment van bezinning

De in dit artikel uiteengezette vorm van fraude via telefoon en tech berust voor een groot deel op kunstmatig gecreëerde haast. De infectie of hack wordt in hoog tempo aangepraat en de druk wordt opgevoerd. Laat je echter niet gek maken en laat je niet murw praten. “Doe een stap terug en neem een moment van bezinning. Even tot rust komen en het hoofd helder krijgen. Vraag bij twijfel naar een terugbelnummer en hang (desnoods bot) op. Controleer vervolgens het telefoonnummer door het online op te zoeken”, adviseert mediapsycholoog Mischa Coster. Neem eventueel contact op met het echte Microsoft, waarvan je de helpdesk hier kunt bereiken. Zet bij aanhoudende twijfel over malware de computer uit totdat een bekende, vertrouwde expert hulp kan bieden.

05 Met eigen ogen

Maar de toegepaste psychologie van de oplichters houdt hier niet op. Ze spelen het zo dat hun slachtoffers ook zichzelf weten te overtuigen. Het gebruikte belscript geeft technische instructies waarmee slachtoffers achter hun eigen pc kunnen zien dat de malware of hacker écht binnen is. “Klik op Start, voer het commando ‘Logboeken’ in. Wat zie je nu?” De reguliere gebruiker die Windows niet door en door kent wordt nu (wellicht voor het eerst in zijn of haar leven) geconfronteerd met het systeemlog van Windows.

De Logboeken-app schotelt een flinke berg informatie voor waarbij het onzekere oog meteen valt op Fouten, Waarschuwingen, Kernel-events en andere onheilspellende woorden en tech-termen. Ook bij een prima werkende Windows-installatie komen daar fouten, waarschuwingen, uitroeptekens en andere alarmerende zaken voorbij. De beller verifieert de geveinsde hackaanval nog door te vragen naar bepaalde logmeldingen, die de gebruiker dan uiteraard weet te bevestigen. “Ah, de hackers zijn nú echt bezig op uw pc. We moeten ze tegenhouden!”

06 Legitieme hulpsoftware

Op dit punt wordt opnieuw sluw gebruikgemaakt van de waarheid; van een echt en betrouwbaar iets, een stukje houvast. In dit geval legitieme hulpsoftware in de vorm van het programma TeamViewer, waarmee hulp op afstand mogelijk is. Handig voor beheerders, behulpzame neefjes, echte helpdesks … én voor ‘de Microsoft-helpdesk’.

Bang gemaakte gebruikers krijgen stapje voor stapje uitleg hoe ze via Google naar de downloadsite van TeamViewer moeten gaan. Daar prijkt een groen slotje (geruststellend!) en zijn diverse vermeldingen van positieve recensies te zien. Bovendien is de site Nederlandstalig, wat toch een vertrouwd gevoel creëert.

Even installeren, verdere instructies van de ‘Microsoft-medewerker’ volgen om de controle over de computer over te dragen en de aangeboden anti-hackhulp kan beginnen. Mocht nu alsnog argwaan bij het slachtoffer de kop opsteken, dan heeft het oplichtersscript daarin voorzien. De beller luistert goed naar aarzelingen in de stem en bewoordingen om daarop in te spelen met slinkse verzinsels als ‘o, ze hacken nu door de volgende security layer heen’ of ‘ze halen nu alles binnen, u moet onmiddellijk maatregelen nemen’.

De helpdesksoftware TeamViewer wordt helaas regelmatig misbruikt.

07 De pay-off

Het is de kalme lezer nu wel duidelijk: wie op afstand toegang heeft tot een computer kan daar van alles op doen. De werkwijzen van telefonische fraudeurs lopen hierna wat uiteen. Ter verduidelijking: er zijn verschillende bendes en groepen die zich voordoen als ‘de Microsoft-helpdesk’. De ene beller gaat nu over tot het installeren van een zogenaamd opruimmiddel dat in feite gewoon malware is, de andere beller kiest voor de heimelijke installatie van een backdoor. Weer een ander scenario is dat het slachtoffer na wat overtuigende tech-handelingen beleefd wordt gevraagd om een betaling van een bescheiden bedrag – denk aan tientje of twee. Soms is dat voor het afweren van het (geheel fictieve) hackgevaar, een andere keer is dat voor de vers geïnstalleerde, ge-ga-ran-deerd goede securitysoftware (die vaak juist ordinaire malware is). Of er is bij toeval geconstateerd dat de Windows-licentie niet legitiem is of moet worden vernieuwd, of dat er nog een oude Windows-versie draait die onveilig(er) is. Ongeacht de opgegeven reden, betaling moet wel nu wel even worden voldaan, alstublieft-dankuwel.

Meer slachtoffers en schade

Fraude via de telefoon is al oud en het fenomeen van ‘de Microsoft-helpdesk’ bestaat ook al enige tijd. Toch is er iets nieuws, namelijk dat in Nederland zowel het aantal slachtoffers alsook de geleden schade toeneemt. In de eerste paar maanden van dit jaar lag het aantal meldingen met 685 stuks al bijna op dat van begin 2016 (747 stuks), maar waren er al meer slachtoffers (60 versus 45) en een flink hoger schadebedrag (181.958 euro versus 52.127 euro). Dat blijkt uit cijfers van de Fraudehelpdesk, een Nederlandse non-profitorganisatie die dus wél een legitieme helpdesk is. In 2016 zijn er in totaal 1403 meldingen gedaan. Daarvan zijn 102 mensen ook echt geld kwijtgeraakt aan deze oplichters. De totale schade daarbij bedroeg bijna 204.000 euro. Het verlies in de eerste vierenhalve maand van dit jaar benaderde het 2016-totaal dus al.

08 Internetbankieren

Aangezien de computer weer veilig is verklaard, kan die kleine betaling best meteen worden gedaan, zo praat de redder-in-nood zijn of haar slachtoffers aan. Alleen is de toegang via TeamViewer gebruikt om kant-en-klare malware een internetomleiding op te laten zetten. Het resultaat is dat het slachtoffer niet op de website van zijn of haar bank terechtkomt, maar op een phishing-site. Eventuele beveiligingswaarschuwingen van een browser of (bonafide) beveiligingspakket zijn vooraf uitgeschakeld of gedurende het ‘internetbankieren’ te onderdrukken.

Daarna is het voor de oplichters een fluitje van een cent om het oorspronkelijke kleine bedrag te veranderen; van een tientje in het maximum dat mag worden opgenomen. Sommige banken staan een daglimiet toe waar geen extra controle voor nodig is. Andere banken doen aan controle via een TAN-code, maar ook dat is meegenomen in het oplichtingsscript. In dat geval kan ‘de Microsoft-helpdesk’ namelijk plotseling opnieuw alarm slaan: “Hé, de hackers hebben uw telefoon te pakken! Wat is de code die nu verscheen? O, u moet uw toestel nu meteen uitzetten, anders plunderen ze uw rekening!” En dat is precies wat er gebeurt, alleen zijn het niet ‘de hackers’, maar is het ‘de Microsoft-helpdesk’ zelf die je jouw centen afhandig maakt. Betaling met de smartphone via een veilige(r) bank-app wordt met deze sluwe leugen de pas afgesneden. Zo zijn vele Nederlanders al duizenden euro’s kwijtgeraakt, soms zelfs met rood staan tot gevolg, waar de bank dan nog eens rente voor rekent ook.

Extra slecht nieuws voor mensen die tot en met deze stap door de oplichters zijn gefopt, is dat banken deze schade niet vergoeden. In hun voorwaarden staan namelijk bepalingen die banken vrijwaren van dergelijke gevallen. Zoals fraude waarbij mensen zelf een overboeking hebben gedaan of waarbij ze zelf toegang tot hun computer hebben gegeven aan derden. Huiseigenaren krijgen immers ook niets vergoed als zij zelf de deur hebben opengedaan voor dieven.

Phishing is een manier om inloggegevens buit te maken, om bijvoorbeeld toegang te krijgen tot een bankrekening.

09 Wees alert, ook voor elkaar

De Nederlandse overheid voert jaarlijks de cybersecuritycampagne Alert Online uit. Het doel is Nederland veiliger te maken door mensen bewuster te laten zijn van computerbeveiliging. Waakzaam zijn, goed nadenken, doordenken en doorvragen hoort daar ook bij.

Hoe waarschijnlijk is het dat Microsoft mij belt? Zeer onwaarschijnlijk.

Met wat voor nummer word ik gebeld? Soms vanaf een duidelijk buitenlands nummer, vaak vanaf een voip-nummer. Beide kunnen iets zeggen over de herkomst, net als overigens de timing. Zo is recent in Nederland veelvuldig vanaf +65-27008000 gebeld, nadat datzelfde nummer in Duitsland veel klachten op discussiefora heeft opgeleverd. Achter dat nummer met Singapores kengetal zit een agressieve marketeer annex scammer, die zich voordoet als ‘Nikita van IBM’.

Welke woorden en formulering gebruikt een beller? Mediapsycholoog Mischa Coster: “Luister goed naar wat mensen zeggen als ze wat van je willen. Pas op voor het ‘omdat als reden’-effect. Alles wat na ‘omdat’ komt, wordt als legitiem ervaren.” Dat woord suggereert namelijk een reden, waarvan mensen aannemen dat die wel in orde zal zijn. Maar dat is zeker niet altijd het geval, waarschuwt Coster.

HP, IBM en meer

In dit artikel zijn de methodes van ‘de Microsoft-helpdesk’ uit de doeken gedaan en zijn tegenmaatregelen gegeven. Maar er zijn niet alleen verschillende ‘Microsoft-helpdesks’ actief, er zijn ook andere bekende bedrijven die worden misbruikt om vertrouwen te winnen en mensen op te lichten. Sommige telefonische fraudeurs doen zich voor als medewerker van IBM. Andere oplichters melden dat ze van de technische helpdesk of klantenservice van pc-maker HP zijn. De namen kunnen variëren, de scripts kunnen afwijken, de einddoelen kunnen uiteenlopen, maar in grote lijnen zijn de methodes hetzelfde. Voor de tegenmaatregelen geldt dat dus ook.

Antibots

In essentie vertoont de fraude van ‘de Microsoft-helpdesk’ opvallende overeenkomsten met ongewenste telemarketing. Een ondernemende Amerikaanse telecom-expert heeft zodoende een briljante en hilarische tegenzet bedacht. Roger Anderson is ‘the name’, anti-scambots zijn ‘the game’. Anderson heeft uit eigen ergernis over een telemarketeer die hem thuis lastigviel en zijn zoontje grof toesprak een slimme telefoonbeantwoordbot ontwikkeld. Aanvankelijk voor eigen gebruik, maar die is tegenwoordig ook als betaalde dienst in de Verenigde Staten af te nemen. Anderson heeft speciaal hiervoor zijn Jolly Roger Telephone Company opgezet, waarnaar slachtoffers inkomende telefoontjes kunnen doorschakelen. Het briljante aan zijn tegenmiddel is dat het juist niet zorgt voor ophangen. De belbots doen hun best om menselijk te lijken en zo geïnteresseerd mogelijk over te komen: “Ik snap het niet, kun je dat nog eens herhalen?” Scammers blijven vervolgens hoopvol aan de lijn en verspillen hun tijd rijkelijk, want ook voor dit soort malafide ondernemers is tijd geld. Op die manier weet Anderson hun kosten op te drijven en hun praktijken onrendabel te maken. De site van de Jolly Roger Telephone Company staat vol met opnames van lang – en zelfs absurdistisch – opgerekte gesprekken met goedgelovige oplichters. “Wacht even, ik moet nu stil zijn want er zit een bij op mijn arm.”

Microsoft machteloos?

De oplichters van ‘de Microsoft-helpdesk’ bezorgen consumenten ergernis, angst en in het ergste geval concrete verliezen. Het lijkt dan ook logisch om van het grote, rijke Microsoft bestrijding van deze oplichting te verwachten. In de praktijk blijkt dat echter lastig. Het tegenhouden, aanpakken en eventueel oppakken van deze fraudeurs wordt in eerste instantie niet eens bemoeilijkt doordat de daders ergens in het buitenland zitten. Nee, het allereerste struikelblok is dat Microsoft juridisch gezien geen benadeelde partij is en dus niet zelf zomaar actie kan ondernemen. Misbruik van de bedrijfsnaam, bijvoorbeeld als de fraudeurs een website hebben waar ze officiële logo’s gebruiken, kan wel een middel zijn. Maar meestal houden de oplichters het bij een helpdesktelefoontje, hun sluwe belscript, RAT-software (remote access tool) en eventueel eigen malware.

Toch doet Microsoft actief mee aan bestrijding. Het bedrijf roept slachtoffers op om vooral melding maken en aangifte te doen. Verder werkt het bedrijf met politie en Justitie internationaal om dit soort cyberbendes op te sporen en op te pakken. Daarvoor verzamelt Microsoft meldingen.

Ten slotte geeft Microsoft gebruikers goede adviezen: hang op, klik weg, maak melding en doe aangifte bij de politie. De echte Microsoft-helpdesk zal nooit zomaar zelf contact opnemen, in elk geval niet zonder dat een consument eerst zelf heeft aangeklopt.

Microsoft werkt actief aan computersecurity en cybercrimebestrijding, maar kan weinig doen tegen ‘de Microsoft-helpdesk’.