Ons oog viel op een Facebookpost van enkele dagen oud die onderhand al meer dan 22.000 keer is gedeeld. Het gaat om een fysieke brief van MyGiftCard-Supply.com. In de brief staat dat ze je namens je werkgever een giftcard mogen aanbieden. Op de brief staat een QR-code én een unieke code waarmee je de cadeaukaart kunt verzilveren. Dat klinkt als een buitengewoon sympathiek gebaar. Toch leidt deze post tot de nodige consternatie: verschillende signalen wijzen erop dat de brief van oplichters afkomstig is. Wat zou hier achter kunnen zitten?

Om te beginnen even het volgende: in onze afbeelding hebben wij de naam en de profielfoto van de Facebookgebruiker onherkenbaar gemaakt uit privacyoverwegingen. Mocht diegene later om wat voor reden dan ook besluiten om zijn post terug te trekken, dan is 'ie hier vast onherkenbaar.

De afbeelding is niet heel goed leesbaar, daarom zetten we de integrale tekst - inclusief eventuele spel- en stijlfouten - hieronder even neer.

info
clockOval 6 03-02-2021

Tekst uit de brief van MyGiftCard-Supply

Bedankt voor je inzet.

 

Namens je werkgever mogen we je een giftcard aanbieden!

 

Gewaardeerde medewerker,

 

We leven in een turbulente tijd waarin we als bedrijf een hoop uitdagingen het hoofd moeten bieden. In andere communicatie is hier al uitgebreid over bericht. In deze brief willen we de nadruk graag op iets positiefs leggen. We willen graag alle medewerkers een hart onder de riem steken als waardering voor de getoonde inzet en flexibiliteit van de afgelopen periode.

 

Hoe werkt het?

 

Stap 1. Scan de QR code in deze brief met je telefoon.

 

Stap 2. Kies de gewenste cadeaukaart. Ze hebben allemaal dezelfde waarde.

 

Stap 3. Om te valideren of je een medewerker bent, moet je inloggen met je bedrijfsaccount. Dit gebeurt op een veilige manier.

 

Stap 4. De cadeaubon wordt binnen enkele dagen digitaal geleverd op je werk email.

 

Mocht het scannen niet lukken kun je ook handmatig naar de volgende website gaan: mygiftcard-supply.com. En gebruik de volgende code: [XXXXXXXX]

 

Let op dat je de code exact overtypt. Deze is hoofdletter gevoelig. Namens je werkgever wensen we je veel plezier met deze cadeaubon!​​​​

Hierboven zie je de oorspronkelijke Facebookpost.

Wat valt er te zien op de website als je de QR-code scant?

Daar kunnen we kort over zijn: de website MyGiftCard-Supply.com is inmiddels niet meer online. Een korte blik op de site behoort dus niet meer tot de mogelijkheden. Daarmee is echter niet gezegd dat de domeinnaam ons geen nuttige inzichten kan verschaffen. 

Het domein bestaat sinds 6 januari 2021 en is op de dag van publicatie 28 dagen oud. Vrijwel alle informatie over de domeinnaamhouder is uit privacyoverwegingen verborgen, oftewel 'Redacted for privacy'. Een bona fide, betrouwbare onderneming zou dit in het kader van openheid en transparantie niet zo snel doen. Dit is dan ook een verdacht signaal, niet in de laatste plaats vanwege de korte levensduur van het domein.

Het IP-adres verwijst naar de Noord-Brabantse gemeente Helmond, maar voor de rest loopt het spoor hier dood.

Maar er is nóg iets om rekening mee te houden. Er is bovendien een bona fide Amerikaanse onderneming die bekend is onder de handelsnaam MyGiftCardSupply en zich van de domeinaam MyGiftCardSupply.com bedient. Inderdaad: het streepje tussen 'Card' en 'Supply' is wat de website betreft het enige verschil, en dat is natuurlijk een detail dat je eenvoudig over het hoofd ziet. In internetterminologie noemen we dit ook wel typosquatting: door hele minimale wijzigingen in de domeinnaam hopen kwaadwillenden je op het verkeerde been te zetten.

Als je bovendien zoekt op "My Giftcard Supply" of iets dergelijks, dan zul je al snel bij de bona fide onderneming uit komen, en niet bij de kopie met het streepje in de domeinnaam. Daardoor kun je onterecht het idee krijgen dat het in de haak is.

Er zijn tot slot geen signalen die erop wijzen dat deze onderneming een Nederlandse dochtermaatschappij heeft en zich op de Nederlandse markt richt, en dat maakt deze brief extra verdacht. Reden genoeg om eens met een kritische blik naar deze gang van zaken te kijken.

Wat zit hier mogelijk achter?

Werpen we een blik op de fysieke brief, dat zien we dat de afzender het logo van het Amerikaanse bedrijf een-op-een heeft gekopieerd. In die zin lijkt hier dus sprake te zijn van een soort identiteitsfraude: de naam van een bona fide onderneming wordt misbruikt door een derde partij waarvan de weinige signalen er vooralsnog op wijzen dat het niet helemaal zuivere koffie is.

Stap 3 uit de brief is in deze context eigenlijk de meest zorgwekkende stap. Samengevat: je krijgt een fysieke brief van iemand die andermans logo steelt en daarbij niet schroomt om een bona fide domeinnaam min of meer te kapen om je op het verkeerde been te zetten. Op deze uitnodiging staat bovendien het uitdrukkelijke verzoek om naar een website te gaan die nog geen maand online is en waar geen enkele informatie over te vinden is. Klinkt dat verdacht? Dat dachten wij ook.

Er staat in deze stap letterlijk 'dat je met je bedrijfsaccount moet inloggen om te verifiëren of je een medewerker bent'. Dat is een alarmerend signaal, want als jouw werkgever je een digitale giftcard wenst te geven, dan kan dat moeiteloos zonder deze stap. 

Het enige dat de leverancier van de giftcard nodig heeft, is de technische infrastructuur om jou een cadeaukaart te kunnen laten verzilveren én jouw mailadres om je de instructies toe te sturen. In deze context beginnen over de noodzaak van het 'inloggen met je bedrijfsaccount' is geen goed signaal en komt op ons uiterst onbetrouwbaar over.

Zoals gezegd is de website reeds offline: de exacte motieven, beweegredenen en doeleinden kunnen we om die reden dan ook niet meer met honderd procent zekerheid achterhalen. Maar de signalen wijzen erop dat hier naar gevoelige bedrijfsinformatie wordt gehengeld.

Het lijkt dan ook helemaal niet ondenkbaar dat iemand zich toegang tot bedrijfssystemen wenst te verschaffen. Dat kan om verschillende doeleinden: het zou kunnen gaan om het verspreiden van ransomware, het zou kunnen gaan om factuurfraude en het zou zelfs kunnen gaan om het willen bemachtigen van inloggegevens voor systemen met persoonsgegevens. Wat het ook is, er is één rode draad: de signalen zijn uitermate verdacht en het verdient om die reden geen aanbeveling om op de uitnodiging in te gaan.

Hoe herken je of dit soort brieven betrouwbaar zijn?

Mocht je werkgever je een cadeaukaart willen geven, dan ligt het voor de hand om te veronderstellen dat deze aankondiging in enigszins gepersonaliseerde vorm komt en dat je met je naam wordt aangesproken in plaats van met de algemene aanhef 'gewaardeerde medewerker'. Dit biedt echter geen volledige zekerheid en is afhankelijk van de wijze waarop een eventuele aanbieder van een cadeaukaart de systemen heeft ingericht. Desalniettemin neemt de kans dat een brief of mail onbetrouwbaar is wel toe als je met een generieke aanhef wordt aangesproken, zeker met alle bovenstaande signalen in het achterhoofd.

Ook zou je vanuit je werkgever een signaal moeten krijgen in termen van 'Jullie hebben het wellicht gezien, maar in de mailbox of de brievenbus ligt een attentie voor jullie klaar'. Is dat niet het geval, en twijfel je om de één of andere reden aan de betrouwbaarheid? Vraag het dan na bij je werkgever: je directe leidinggevende of de afdeling P&O zal daar ongetwijfeld binnen de kortste keren helderheid in kunnen verschaffen.

Op deze brief wordt bovendien nergens de naam van de betreffende werkgever genoemd, en ook dat is reden zat om je eens even achter de oren te krabben. Je zou verwachten dat er expliciet en uitdrukkelijk een bedrijf, een afdeling, een team en/of een leidinggevende wordt genoemd namens wie de cadeaukaart wordt aangeboden.

Het ligt daarnaast niet voor de hand om naar een mailadres te informeren via een fysieke brief: een werkgever die een cadeaukaart uitdeelt, zal dat in een dergelijke constructie eerder via de mail doen, zodat de verdachte derde stap ('ter verificatie inloggen met je bedrijfsaccount') niet noodzakelijk is: deze contactgegevens heeft de afzender dan immers al. Wederom een signaal waar je alert op moet zijn.

De timing is bovendien een beetje ongebruikelijk: het staat werkgevers uiteraard te allen tijde vrij om een gebaar van waardering te tonen, maar een meer voor de hand liggend moment zou rond de feestdagenperiode zijn, en laten we die nu net achter de rug hebben. 

Trek de domeinnaam in geval van twijfel altijd even na. Dat kan via de Whois Lookup van DomainTools en voor domeinnamen eindigend op .nl bij SIDN. Valt daar in het geheel geen informatie te vinden, en is de website pas kort online? Dan is dat reden genoeg om eens ernstig te twijfelen.

En wordt er gehengeld naar persoonlijke gegevens of inloginformatie voor (bedrijfs)systemen, zoals in dit voorbeeld het geval is? Dan kun je het allerbeste het zekere voor het onzekere nemen en moet je het écht even navragen bij je werkgever voordat je iets besluit te ondernemen.