Doe jij zaken via Marktplaats? Let dan héél goed op: Opgelicht?! heeft een nieuwe, zeer overtuigende Marktplaats-oplichtingstruc ontdekt waarin de 'Gelijk Oversteken'-service van Marktplaats een sleutelrol heeft. De persoonlijke benadering is wat deze truc onderscheidt van andere, recente Marktplaats-oplichtingstrucs: de oplichters gaan zó ver dat ze bestaande advertenties kopiëren naar een nepsite om creditcardgegevens en/of inloggegevens voor internetbankieren buit te maken. Hoe het werkt? Dat lees je in dit artikel.

Over Marktplaats-oplichtingstrucs hebben we een hoop geschreven. Oplichters worden namelijk niet alleen steeds creatiever en vernuftiger, ze weten het bedrog ook steeds overtuigender en geloofwaardiger vorm te geven, met alle risico's van dien: de kans dat jij in één van deze oplichtingstrucs trapt, wordt er op deze manier namelijk bepaald niet kleiner op.

Wat we nu echter troffen, is zo verfijnd dat we gerust kunnen spreken van Marktplaats-oplichting 2.0. Oplichters gaan op zeer geraffineerde wijze te werk via gepersonaliseerde sms-berichten en proberen je naar een valse Marktplaats-website te lokken met een vervalste 'Gelijk Oversteken'-module.

En daar blijft het niet bij: op de nepsite zijn bovendien details van jouw échte advertentie te zien, en daardoor neemt de kans toe dat jij in deze oplichtingstruc trapt. Zo gaat het in zijn werk.

Advertentie op Marktplaats gezet? Oplichters nemen contact met je op

Even de schuur of de zolder uitgemest, maar geen zin om naar de stort of de kringloop te rijden? Dan kun je overwegen om wat spullen via Marktplaats van de hand te doen: voor velen de normaalste zaak van de wereld. Oplichters weten dat natuurlijk ook, en helaas is Marktplaats nog altijd een geliefd jachtterrein voor fraudeurs, criminelen en andere kwaadwillenden.

Op Twitter zagen we een melding langskomen van een verdachte sms, afkomstig van een Frans telefoonnummer. De wijze waarop het sms'je is opgesteld, wekte onze nieuwsgierigheid: het wijkt op een aantal fronten namelijk af van hetgeen we normaal tegenkomen.

De adverteerder wordt met zijn voornaam aangesproken én de link in het sms'je verwijst naar een nagemaakte Marktplaats-website waarop details uit een échte Marktplaats-advertentie te zien zijn, maar daar komen we later over te spreken.

Dit is de sms in geanonimiseerde vorm: in de sms staat namelijk de voornaam van de adverteerder die de advertentie op de échte Marktplaats heeft gezet en aan de hand van de extensie in de url is het mogelijk om de gepersonaliseerde kopie van deze valse website op te vragen, dus ook dat gedeelte hebben we voorzien van een blur.

AVROTROS

De oplichters beschikken dus over het telefoonnummer van de adverteerder, op basis waarvan we vermoeden dat de volgende zaken van toepassing zijn:

• De oplichters hebben via Marktplaats contact gelegd met de verkoper om een deal te bespreken;
• De oplichters benaderen de verkoper via sms met daarin een valse betaalbevestiging;
• De sms van de oplichters bevat daarnaast óók een valse Marktplaats-link;
• De valse Marktplaats-website is door oplichters te personaliseren met gegevens van échte Marktplaats-advertenties

Wel plaatsen we graag een kleine kanttekening bij het eerste punt: wij hebben contact opgenomen met de tipgever en daaruit blijkt dat diegene vooraf niet is benaderd door deze oplichters. De sms kwam voor hem uit het niets. Toch is voorafgaand contact zeker iets om rekening mee te houden in het geval van toekomstige pogingen. Het is namelijk heel logisch om te veronderstellen dat er vooraf wel degelijk contact is geweest via Marktplaats, omdat de kans op een succesvolle oplichtingspoging daarmee aanzienlijk toeneemt. 

Hoe zit dat? Als er in het geheel geen contact over een mogelijke deal is geweest en je van een volslagen onbekende uit het niets een bevestiging van een betaling ontvangt, ligt het immers niet voor de hand dat je een link opent en je zomaar allerlei bancaire gegevens invult. Is er daarentegen wel contact geweest? Dan is zo'n verzoek ineens een stuk minder verdacht: je houdt in deze situatie immers rekening met iets dergelijks. 

Maar hoe kunnen de oplichters een sms sturen zonder vooraf contact te hebben gehad via Marktplaats? Dat is simpel: de verkoper heeft zijn telefoonnummer gedeeld in de echte Marktplaats-advertentie. Via de knop Toon nummer verschijnt het 06-nummer zo op je scherm. Gecombineerd met de naam – ook zichtbaar in de echte advertentie – hebben de oplichters zo in principe genoeg om je telefonisch te kunnen benaderen waarbij ze je aanspreken met je voornaam.

Hoewel er in dit specifieke voorbeeld dus geen sprake van was, vergroot persoonlijk contact vooraf de kans op een geslaagde oplichtingspoging aanzienlijk. Het is in principe echter niet noodzakelijk als jij je telefoonnummer in je Marktplaats-advertentie gedeeld hebt.

Wat voor website zit er achter de link uit het sms'je?

De oplettende lezer heeft het reeds gezien, maar in de sms wordt niet verwezen naar de échte Marktplaats-website, al moet je in dit geval wel érg goed opletten om het onderscheid in één oogopslag te zien.

• Dit is de echte Marktplaats-url: https://www.marktplaats.nl
• Dit is de valse Marktplaats-url: https://www-marketplaats.nl

Het enige verschil is in dit geval het koppelstreepje en de aanvullende 'e' in de domeinnaam ('marketplaats'). Dat betekent dat de domeinnaam van de valse url in werkelijkheid www-marketplaats.nl is, en niet gewoon marktplaats.nl. De oplichters hebben dan ook gebruik gemaakt van een techniek die bekend staat als typosquatting: door het kapen van vrijwel identieke domeinnamen hopen ze dat je het onderscheid tussen echt en vals niet ziet, wat de kans op succesvolle oplichting aanzienlijk vergroot.

Trekken we dat valse domein eens na, dan zien we dat de vervalsing pas sinds 29 juni 2021 bestaat en dat er geen noemenswaardige informatie over de houder van het domein te vinden valt, behalve het mailadres van de administratieve contactpersoon: [email protected].

Het is in ieder geval geen domein van de échte Marktplaats, kunnen we met 100% zekerheid zeggenn. Maar openen we de link, dan zien we al snel hoe listig deze oplichtingstruc in elkaar steekt. De oplichters hebben namelijk een échte Marktplaats-advertentie gekopieerd om de nepsite overtuigend mee in te kunnen richten.

Hieronder – wederom geanonimiseerde – screenshots van de échte advertentie en de landingspagina van de valse website. De valse website viel door ons slechts op onze smartphone te openen, niet op de laptop: daar krijgen we in verschillende browsers gek genoeg een 404-error als we exact dezelfde link opvragen. Maar een link in een sms-bericht open je per definitie via je smartphone, dus op die manier was het alsnog mogelijk om te kijken hoe de spreekwoordelijke vork in de steel zit.

Zie je hoe doortrapt de oplichters te werk gaan? Ze hebben de titel van de originele advertentie gekopieerd, net als de afbeelding en de vraagprijs. De totaalprijs die je op de valse website ziet, bestaat uit de vraagprijs plus de verzendkosten: allemaal trucs om jou ervan te overtuigen dat je je op een échte, bona fide, betrouwbare Marktplaats-website bevindt.

En deze website valt door de oplichters naar eigen inzicht te personaliseren. Als een potentieel slachtoffer er onverhoopt tóch niet in trapt, dan kan het spel met gekopieerde gegevens van andere advertenties gewoon weer opnieuw beginnen: dat is precies wat deze oplichtingstruc onderscheidt van andere, recente varianten.

Wat gebeurt er als je de instructies op de valse website volgt?

De valse 'Marktplaats'-website steekt zoals we zien dus buitengewoon overtuigend in elkaar. Door te verwijzen naar jouw eigen advertentie wekken ze de indruk dat het om een betrouwbare pagina gaat, en als je de stappen afrondt, volgt een hele toelichting op de Gelijk Oversteken-procedure van de échte Marktplaats.

Je moet een groot aantal stappen nemen om bij het uiteindelijke doel te komen, en die hebben we gevolgd zodat we het hier kunnen laten zien. Bij het telefoonnummer hebben we gewoon wat willekeurige cijfers ingetoetst, uiteraard.

Wat zien we bij de laatste stap? Inderdaad, een variant op het onderhand bekende oplichterspaneeltje ('Doe éénmalig een betaling om te verifiëren dat jouw rekening ook écht van jou is') met één essentieel verschil: het is ze in dit geval te doen om creditcardgegevens. Ze willen de volgende informatie:

• Je creditcardnummer;
• De naam op je creditcard;
• De vervaldatum van je creditcard;
• De driecijferige CVC (Card Verification Code) die op je creditcard staat

We hoeven hier hopelijk niet uit te leggen hoeveel schade oplichters met deze gegevens kunnen aanrichten. Bijkomend nadeel is dat je creditcardbetalingen doorgaans pas later op je afschrift ziet vanwege een langere verwerkingstermijn, waar reguliere transacties (vrijwel) direct opduiken als je je transactiehistorie opvraagt. Het telefoonnummer van deze oplichters is in dit geval Frans, de kans dat ze niet in Nederland zitten is levensgroot en tegen de tijd dat je de fraude ontdekt, zijn de oplichters in geen velden of wegen meer te bekennen.

Maar dat is niet alles. Ook deze module is naar eigen inzicht in te richten. Het valt dus niet uit te sluiten dat oplichters op deze manier óók naar de standaard inloggegevens voor internetbankieren zullen hengelen, of dat ze wellicht een combinatie aanbieden waarin ze zowel creditcardgegevens als gegevens voor internetbankieren proberen te stelen.

Al met al kunnen we niet anders dan concluderen dat het hier om een buitengewoon doortrapte en zeer overtuigende oplichtingstruc gaat. Als jij zaken doet via Marktplaats, weet je na het lezen van dit artikel hopelijk in ieder geval waar je in de toekomst nóg meer op moet letten om te voorkomen dat jij voor honderden, zo niet duizenden euro's het schip in gaat. Let dus héél goed op en wees altijd op je hoede.