Sms namens DigiD en de KvK is phishing: 'Uw KvK-registratie komt te vervallen, verifieer uw identiteit'
Alert
clockOval 6
Uit naam van DigiD en de Kamer van Koophandel worden momenteel misleidende sms-berichten verstuurd. Jouw zakelijke KvK-registratie komt te vervallen op je DigiD-account, zo staat er in het sms'je. Of je deze koppeling even kunt vernieuwen door je identiteit opnieuw te verifiëren, luidt dan ook de vraag. In werkelijkheid gaat het natuurlijk om oplichting.
Het sms-bericht is afkomstig van telefoonnummer +31 6 51 77 09 45, al weten we onderhand natuurlijk best dat dit nummer bij een prepaid simkaartje hoort en dat het nummer over een dag of wat vermoedelijk al is afgedankt. Het bericht bevat daarnaast de nodige eigenaardigheden op het gebied van stijl en spelling.
Zoals we in verreweg de meeste gevallen van phishing en oplichting zien, beschikt de afzender ook dit keer niet over je naam, wat reden genoeg is om te kunnen vermoeden dat het om phishing gaat. Hieronder hebben we de tekst integraal overgenomen.
'[DIGI D]: Uw zakelijke KVK registratie kom te vervallen op uw Digi-D account. Vernieuw deze via kvk-verifieren.nl/inloggen'
Reden genoeg om je eens even achter de oren te krabben, dachten wij zo. Wat is hier precies aan de hand?
Wat zit hier precies achter en wat wil de afzender van je?
Verwarrend genoeg is de koppeling tussen de Kamer van Koophandel en DigiD niet eens compleet uit de lucht gegrepen. Sterker nog, als jij om wat voor reden dan ook een wijziging in het Handelsregister van de Kamer van Koophandel door moet geven, dan kun je deze wijziging gewoon via DigiD ondertekenen en bevestigen.
De KvK geeft zelf bovendien aan dat er bij wijze van aanvullende verificatie een bedrag van één cent moet worden overgemaakt. Nu wordt deze truc onderhand ook met de nodige regelmaat toegepast in allerlei oplichtingstruc, maar dat wil niet zeggen dat het concept an sich per definitie niet in de haak is. Sterker nog, verwerkers van online betalingsverkeer voeren dergelijke aanvullende controles regelmatig uit op deze wijze: denk bijvoorbeeld aan PayPal.
Dit is wat de Kamer van Koophandel er zelf over te zeggen heeft:
Maar hoe zit dat in dit specifieke geval? Om die vraag te kunnen beantwoorden, moeten we eens kritisch naar de url uit het sms-bericht kijken. Zo zien we bijvoorbeeld dat het domein kvk-verifieren.nl pas sinds 13 januari 2021 bestaat.
De administratieve contactpersoon valt te bereiken via de mail op het mailadres [email protected], en als de oplichters het gedeelte 'echte werkers' in het dagelijks leven zélf ook wat meer in de praktijk zouden brengen, dan zouden ze wellicht op een wat zinvollere wijze invulling kunnen geven aan hun bestaan en hoeven ze geen mensen op te lichten, om eens iets te noemen.
Enfin. De huisstijl van de nepsite is overtuigend vormgegeven, dat moeten we ze nageven. Als je vluchtig kijkt, denk je waarschijnlijk vrij snel dat het allemaal wel in de haak zal zijn. Screenshots van de site én van het sms'je staan hieronder.
Wat er voor de rest precies aan de hand is, weten we niet honderd procent zeker. Na het invullen van een (verzonnen) KvK-nummer lijkt de module namelijk te haperen: we zien slechts een eindeloos laadscherm. Het lukt ons dan ook niet om de procedure af te ronden.
Dat is vermoedelijk het gevolg van een onjuiste configuratie, en het valt dan ook in het geheel niet uit te sluiten dat degene(n) achter deze oplichting het later opnieuw proberen zodra dit is verholpen. Wij hebben echter wel vaker met dit bijltje gehakt en durven dan ook wel de verwachting uit te spreken dat je ook hier zogenaamd een betaling van één cent moet overmaken om je identiteit te verifiëren.
Om je de indruk te wekken dat je dat makkelijk en eenvoudig kunt regelen, zullen er ook nu ongetwijfeld de nodige nagemaakte links naar inlogomgeving van verschillende banken verschijnen. Een extra waarschuwing is daarnaast geboden wat betreft het KvK-nummer: wellicht dat de oplichters nog mogelijkheden zien om daarmee te frauderen, zeker in combinatie met je rekeninggegevens.
Krijg jij dit verzoek per sms of per mail? Ga er dan niet op in: het is hoe dan ook foute boel. Overigens is het niet de eerste keer dat er verdachte sms'jes en mails opduiken uit naam van DigiD: