Het gigantische datalek van persoonsgegevens bij de GGD was vorige week vol in het nieuws. Vaak worden de gegevens uit dit soort lekken ingezet door criminelen om mensen online op te lichten. Maar de gegevens van de GGD zijn lang niet de enige die op straat liggen.
Oplichters via WhatsApp gaan vilein te werk. Els* trapte erin. Ze maakt duizenden euro’s over nadat ze een berichtje krijgt van een oplichter die zich voordoet als haar zoon. Achteraf heerst de schaamte. Hoe heeft ze hierin kunnen trappen? Ook Lotte overkomt het. Terwijl ze in een online vergadering zit, krijgt ze een appje. Of ze even een code wil overmaken die per ongeluk naar haar is gestuurd. ’s Avonds is haar account gehackt en proberen criminelen geld afhandig te maken bij al haar vrienden en bekenden.
De vraag die veel mensen hebben na het krijgen van zo’n bericht is: hoe komen deze oplichters aan mijn nummer? Wij zien in ons onderzoek naar online oplichting dat deze persoonsinformatie via dit soort dataleks bij oplichters terecht komt. Deze persoonsgegevens worden bijna altijd ingezet om mensen op te lichten. Telefonisch, via e-mail óf met WhatsApp. Hoe meer informatie de criminelen van slachtoffers in handen hebben, hoe makkelijker het voor de fraudeurs is om zich succesvol voor te doen als iemand anders. De Fraudehelpdesk maakte bekend dat al veertig meldingen van fraude die bij hen bekend zijn direct te herleiden zijn naar het lek uit de coronadatabases van de GGD.
Niet de enige
De GGD is alleen lang niet de enige organisatie waarvan persoonsgegevens op straat liggen. In ons onderzoek zien we dat op groepen van platforms als Telegram openlijk wordt gehandeld in persoonlijke informatie afkomstig uit de databases van energiecentrales, webshops en uit callcenters. De politie ziet dat er niet altijd genoeg bewustzijn is bij callcenters over diefstal van persoonsgegevens die regelmatig voorkomt. Ze proberen veel organisaties die met persoonsgegevens werken hiervoor te waarschuwen.
Aangeleverde pakketjes
Niet alleen persoonsgegevens, maar bijna alles wat je nodig hebt om mensen op te lichten op WhatsApp is online verkrijgbaar. Software waarmee je makkelijk aan ‘phishing’ kan doen en mensen bij wie je het geld kan storten om zelf niet herleidbaar te zijn voor de politie: het is allemaal te vinden in groepen op bijvoorbeeld Telegram, waar duizenden mensen met elkaar communiceren.
“Je merkt dat ieder z’n eigen rolletje heeft binnen de fraude en daarmee zie je hoe geraffineerd het systeem is. Het is letterlijk samenwerken. De een kan een goede phishingmail maken en de ander gaat met slachtoffers chatten. Aan die contacten kom je weer via mensen die toegang hebben tot persoonsinformatie en dat weer doorverkopen”, zegt Wesley Neelen daarover. Hij is ethisch hacker bij internetsecuritybedrijf Zolder, en bestudeert de groepen waarop deze illegale praktijken al jaren plaatsvinden.
Pakkans
Voor de politie is het niet altijd makkelijk om te achterhalen wie er achter de dataleks zitten. Op Telegram communiceren de verkopers onder een anoniem alter ego. “Het lastige met een app als Telegram is dat het gevestigd is in Rusland. Op het moment dat wij daar vanuit Nederland onderzoek naar willen doen, dan kost dat enorm veel tijd, enorm veel geld en enorm veel middelen. En we weten ook uit ervaring dat dat toch ook best weinig oplevert”, vertelt Yoanne Spoormans, van het cybercrimeteam van politie Oost-Nederland. Voor het lek bij de GGD zijn inmiddels wel twee verdachten opgepakt.
Daarnaast mag de politie hoogwaardige opsporingsmethoden niet altijd inzetten bij een relatief ‘licht’ vergrijp als WhatsApp-fraude. “Er is een bevoegdheid voor de politie om bijvoorbeeld te hacken in de systemen van de criminelen, maar onder voorwaarden. Er moet sprake zijn van een verdenking van een zeer ernstig feit. En dan moet er toestemming zijn van de rechter”, zegt hoogleraar Law and Data Science Bart Custers (Universiteit Leiden) daarover. Toestemming vragen voor hacken en infiltreren is dus een tijdrovend proces, wat niet altijd opweegt tegen de duizenden meldingen die de politie binnenkrijgt over WhatsApp-fraude.
Uitzending
Hoe geavanceerd gaan WhatsApp-oplichters te werk? En hoe kunnen we ze aanpakken? Kijk vanavond om 22.20 uur naar Pointer op NPO2.
*Els is een gefingeerde naam. Uit schaamte wil zij anoniem blijven. Haar echte naam is bij de redactie bekend.