Oplichtingspogingen en phishing namens 'DigiD', dat is op zich geen geheel nieuw gegeven. Dit geval wijkt echter af van de gebruikelijke varianten: het plegen van idenititeitsfraude lijkt hier namelijk het doel. In een zeer geloofwaardig lijkende mail krijg je namelijk de vraag of je in hoge resolutie scans van je paspoort, identiteitskaart of je rijbewijs kunt doormailen, scans waarop de essentiële informatie bovendien niet onleesbaar is gemaakt. En dat is natuurlijk vragen om moeilijkheden.

Het begint dit keer met een mail, en wel van het mailadres noreply@digid.services. De huisstijl van de Rijksoverheid en DigiD is goed nagemaakt

In de mail – met de onderwerpregel Dossier (ref. 13092021) – staat het volgende:

Tekst uit de valse 'DigiD'-mail

Geachte heer/mevrouw,

 

Wij hebben geconstateerd dat uw legitimatiebewijs niet meer geldig is. Hierdoor kunnen wij u niet identificeren bij de Basisregistratie Personen (BRP) van de Nederlandse gemeenten. Wij vragen u om zich online te identificeren met een geldig legitimatiebewijs. Zo zorgen we samen met u voor een veiligere maatschappij.

 

De identificatieplicht

 

U kunt zich op verschillende manieren identificeren. Bijvoorbeeld met een kopie van uw paspoort, identiteitskaart (voor- en achterkant) of rijbewijs (voor- en achterkant). Let er op dat u in bezit bent van een geldig legitimatiebewijs.

 

Maak een scan van uw legitimatiebewijs. Bijvoorbeeld van uw paspoort, identiteitskaart (voor- en achterkant) of rijbewijs (voor- en achterkant).

 

Let er op dat de kwaliteit van uw legitimatiebewijs van hoge resolutie is en er geen essentiële informatie wordt bedekt. Stuur uw legitimatiebewijs per e-mail naar info@digid.legitimatiebewijs.app

 

Met vriendelijke groet,

 

DigiD Helpdesk

 

Bereikbaar op werkdagen van 8:00 - 22:00 uur (Nederlandse tijd)

 

T 088 123 65 55

Wat zijn de opvallende kenmerken aan deze mail?

Qua spelling is het allemaal een stuk minder beroerd dan we doorgaans zien, best kans dat je denkt 'het zal wel kloppen' als je even snel een blik op de mail werpt. Reden genoeg om extra op te letten dus. Maar uiteraard bevat de mail ook in dit geval de generieke aanhef 'Geachte heer/mevrouw', en op basis daarvan kun je weten dat het geen zuivere koffie is.

Onderaan de mail (in de zogenaamde footer) staat het volgende: 'DigiD stuurt nooit een link naar de website. Ontvangt u toch een e-mail van DigiD met daarin een link, dan is dit een valse e-mail. Deze is verstuurd door iemand die zich voordoet als DigiD met als doel uw gegevens te achterhalen. Ga daarom altijd zelf naar de website van DigiD via uw browser.'

Strikt genomen heeft de afzender van deze mail niet eens ongelijk. Er wordt in deze nepmail namelijk niet verwezen naar een website (hetgeen gebruikelijk is in dergelijke oplichtingstrucs), maar naar een e-mailadres

Het genoemde mailadres info@digid.legitimatiebewijs.app is alleen helemaal niet van DigiD of van wat voor overheidsinstantie dan ook: het domein legitimatiebewijs.app bestaat slechts twee dagen en over de houder van het domein valt geen noemenswaardige informatie te achterhalen, wat ongetwijfeld te maken heeft met het feit dat diegene identiteitsfraude hoopt te plegen met jouw legitimatiebewijs.

Ook listig gedaan: het in de mail genoemde telefoonnummer is de échte helpdesk van DigiD. Trek je dat nummer na? Dan zie je dat het klopt en ben je misschien sneller geneigd te denken dat de mail écht van DigiD is. Maar het is dan ook niet de bedoeling dat je telefonisch contact opneemt: je moet mailen. Maar dan wel naar een e-mailadres van oplichters.

Waarom is het onverstandig om legitimatiebewijzen door te sturen?

Dat is simpel: wie in het bezit is van kopieën van jouw paspoortrijbewijs of identiteitskaart kan daarmee een hoop schade aanrichten, zeker omdat de afzender van de mail erop aandringt dat je geen essentiële informatie – zoals je burgerservicenummer – bedekt. 

Met deze gegevens is het bijvoorbeeld mogelijk om op jouw naam een bankrekening te openen. Het ligt verder in de lijn der verwachting dat deze bankrekening voor onfrisse doeleinden wordt misbruikt, zoals het witwassen en/of wegsluizen van geld dat afkomstig is van zaken als oplichting.

En dat betekent dat jij flink in de problemen kunt komen: jouw personalia zijn immers verbonden met deze bankrekening, dus in eerste instantie mag jij uitleggen wat er allemaal gaande is. Ook kunnen er telefoonabonnementen op jouw naam worden afgesloten en nog meer van dat soort ellende. Allemaal zaken waar je niet op zit te wachten.

Het Centraal Meldpunt Identiteitsfraude van de Rijksdienst voor Identiteitsgegevens heeft de nodige informatie over identiteitsfraude op een rijtje gezet.