Een nieuwe variant van een valse mail uit naam van DigiD, zowel qua inhoud als qua huisstijl. Je DigiD zou op 25 november 2021 verlopen – wat op zich al een merkwaardig verhaal is – en daarom moet je je DigiD via een zogenaamde IDIN-procedure verifiëren. Complete onzin, uiteraard: de afzender hoopt zo je bankrekening leeg te kunnen trekken.
'IDIN' dus. Dat staat voor 'Identificeren en Inloggen'. Dat is overigens een bestaand concept, en ook de afkorting klopt, al is de officiële schrijfwijze 'iDIN'.
De dienst is in 2016 gelanceerd en is tot stand gekomen door een samenwerking van Betaalvereniging Nederland en de Nederlandse banken. Op de website staat het volgende over iDIN.
Wat is iDIN precies?
iDIN is een dienst die ontwikkeld is door de banken. U kunt met iDIN veilig en op dezelfde manier inloggen bij overheidsinstanties, verzekeringsmaatschappijen en webwinkels. U gebruikt namelijk de veilige en vertrouwde inlogmethode van uw bank. Zo hoeft u veel minder gebruikersnamen en wachtwoorden te onthouden.
In deze context is 'iDIN' in combinatie met 'DigiD' wellicht niet eens zo vergezocht, en daarom is het extra opletten als je de valse mail ontvangt die we in dit artikel bespreken.
Wat zit er achter deze truc?
De mail komt van [email protected], al is dat mailadres gespooft: oplichters meten zich zo een andere identiteit aan, en dat is met de juiste hulpmiddelen in een handomdraai geregeld. Ook al staat er dat de mail van het domein 'digid.nl' afkomstig is, in werkelijkheid hoeft dat lang niet altijd zo te zijn.
We hebben deze mail meerdere keren ontvangen, waarbij ons opviel dat de links in de mail naar verschillende domeinen verwijzen. Eén voorbeeld – op het moment van publicatie nog actief – is 'www-digi-d-check.veilig2-92.ru/xx/digid.php', waarbij het dikgedrukte deel verwijst naar de daadwerkelijke domeinnaam. De rest dient om argeloze bezoekers op een dwaalspoor te zetten.
Zoals gebruikelijk is het domein slechts enkele dagen actief en valt informatie over de houder van het domein in geen velden of wegen te bespeuren: de eigenaar is simpelweg een 'private person', het IP-adres verwijst naar de Amerikaanse staat Californië, en daarmee loopt het spoor dood. Geen website van DigiD of wat voor Nederlandse overheidsinstantie dan ook, in ieder geval.
Op de website staat de volgende – qua schrijfwijze overigens wat ongebruikelijke – instructie:
Om gebruik te kunnen blijven maken van uw DigiD dient u door middel van de IDIN (Identificeren en Inloggen) te verifiëren. Instructies op de valse 'DigiD'-website waar deze valse mail naar verwijst
Hieronder een screenshot van zowel de mail als van de website.
Op de website zie je links naar nagemaakte inlogomgevingen van de volgende banken:
- ING
- ABN AMRO
- Rabobank
- SNS Bank
- ASN Bank
- Regiobank
- Bunq
- Handelsbanken
- Triodos Bank
Heb jij een rekening bij één van deze banken? Dan ben je in theorie dus doelwit van oplichters: alle reden om deze mail links te laten liggen. De échte DigiD mailt overigens nooit met dergelijke verzoeken.
Integrale tekst uit de valse 'DigiD'-mail
Omwille van de lees- én vindbaarheid plaatsen we hieronder de volledige, integrale tekst uit deze valse 'DigiD'-mail, dus inclusief eventuele spel- en stijlfouten:
Valse 'DigiD'-mail over iDIN-verificatie
Geachte heer/mevrouw,
Verouderd
Uw digitale sleutel voor toegang tot uw DigiD is verouderd. Activeer uw sleutel voor 25-11-2021 om deactivatie te voorkomen.
Verificatie
Om gebruik te kunnen blijven maken van uw DigiD dient u door middel van de IDIN (Identificeren en Inloggen) te verifiëren.
Verifiëren
Aanvraag
Indien u de verificatie niet voltooid voor de bovenstaande datum zullen wij over gaan tot deactivatie. Dat zal betekenen dat u uw DigiD volledig opnieuw zal moeten aanvragen. Na de aanvraag zult u binnen 2 tot 5 werkdagen uw nieuwe inloggegevens via de post ontvangen.
Met vriendelijke groet,
DigiD Helpdesk
Bereikbaar op werkdagen van 08:00 - 22:00 uur.
T 088 123 65 55