Voor een optimale werking van deze pagina plaatsen wij
functionele cookies. De bezoekersinformatie die we daarmee binnen krijgen zijn volledig anoniem.
Overige cookies worden pas geplaatst na jouw goedkeuring.
Functionele cookies
De websites van de Nederlandse Publieke Omroep gebruiken cookies om er voor te zorgen dat onze
websites naar behoren werken. Om te bepalen welke onderdelen van de website het meest
interessant zijn voor onze bezoekers, proberen wij continu te meten hoeveel bezoekers er op onze
website komen en welke onderdelen van de website het meest bekeken worden. Hiervoor gebruiken
wij cookies. De statistieken en overige rapportages kunnen wij niet herleiden tot personen.
Overige cookies
In deze categorie staan cookies, die niet in een van de andere categorieën van cookies te
plaatsen zijn. Het gaat hierbij om cookies die op een deel van onze sites worden gebruikt om het
sitebezoek te vergemakkelijken en de gebruikservaring te verbeteren. De artikelen en video’s die
je op onze websites bekijkt, kun je delen via social media. Bij het delen van video's wordt
gebruik gemaakt van social media cookies van de social media partijen, zodat deze je herkennen
op het moment dat je een artikel of video wilt delen. Daarnaast maken we veelvuldig gebruik van
op de pagina ingesloten (ge-embedde) content van andere social media partijen als YouTube,
Facebook, Twitter en Instagram. Bij het tonen van deze ingesloten content worden ook social
media cookies geplaatst in de browser.
Oplichting en phishing via sms'jes van de 'Geldmaat': moet je een nieuwe bankpas aanvragen en de oude opsturen?
Alert
clockOval 6
Valse sms'jes namens banken, telecomproviders, koeriersdiensten en (overheids)instanties zijn onderhand wellicht gesneden koek. Maar oplichters die sms'jes sturen uit naam van de Geldmaat (een initiatief van ABN AMRO, ING en de Rabobank) is een variant die wij zelden tegenkomen. Toch is het een interessante, doortrapte vorm van oplichting, eentje die we om die reden graag even onder de aandacht brengen. Volgens een valse 'Geldmaat'-website moet je een nieuwe bankpas met EMV-chip aanvragen. Klopt dat? Heb je inderdaad een nieuwe bankpas nodig om geld uit de karakteristieke gele geldautomaat te kunnen trekken? Of is er iets anders aan de hand?
De vraag stellen, is 'm in dit geval gelijk beantwoorden: uiteraard is hier iets anders aan de hand. Oplichters hopen jouw bankpas én zeer veel persoonlijke informatie buit te maken, is waar het in een notendop op neerkomt. En nee, het is niet nodig om een nieuwe bankpas aan te vragen om geld op te kunnen nemen bij de Geldmaat, dat misverstand kunnen we bij dezen direct naar het rijk der fabelen verwijzen.
Maar daarmee zijn we er nog niet: we maken namelijk graag van de gelegenheid gebruik om te tonen hoe deze oplichters te werk gaan. Sms'jes en valse e-mails namens de Geldmaat zijn namelijk een zeldzaamheid: eens in de zoveel maanden duikt deze variant een keer op, en we kunnen ons voorstellen dat mensen iets minder op hun hoede zijn voor dergelijke oplichting omdat deze variant nu eenmaal afwijkt van het gebruikelijke.
Valse sms namens de Geldmaat: 'Beste klant, er staat een nieuw bericht voor u klaar'
In dit geval sturen de oplichters een sms met daarin de volgende tekst:
Tekst uit de valse sms van de 'Geldmaat'
Geldmaat: Beste klant, er staat een nieuw bericht voor u klaar. Klik op de link om verder te gaan: s.id/geldmaatbv
Een telefoonnummer dat bij ons bekend is, is +31 6 28 25 84 93, al zegt dat voor de rest niet zo gek veel: ook nu zal het ongetwijfeld gaan om een prepaid simkaart die over enkele dagen wordt afgedankt.
Link in sms verwijst naar valse 'Geldmaat'-website
De link in de sms verwijst naar een valse website in de huisstijl van de Geldmaat, gehost op het domein zap792734-1.plesk06.zap-webspace.com.
Niet alleen is dat natuurlijk in de verste verte geen officiële website van de Geldmaat of van één van de drie banken achter de Geldmaat, er is bovendien iets opvallends mee aan de hand: de website lijkt te zijn geoptimaliseerd voor weergave op een telefoonscherm. Bekijken we deze website in een webbrowser, dan krijgen we vertekende resultaten te zien in de vorm van onscherpe beelden, buttons die over delen van de tekst vallen én beeldmateriaal dat soms volledig uit proportie lijkt te zijn getrokken.
Screenshots van onze telefoon krijgen we wat lastig geoptimaliseerd binnen de toegestane dimensies: van de leesbaarheid blijft er dan weinig over. De 'mobiele weergave'-functionaliteit van de browser bood echter uitkomst, dus die screenshots delen we hieronder.
Belangrijk om te weten: vergeleken met onderstaand beeldmateriaal ziet het er op je telefoon allemaal nét wat strakker en gelikter uit. En daarmee neemt ook de geloofwaardigheid toe.
Valse website 'Geldmaat'
Wat willen de oplichters precies van je?
Op de landingspagina staat een heel verhaal over dat het voor klanten van de Rabobank, ING en ABN AMRO verplicht is om een nieuwe bankpas 'met EMV-chip' aan te vragen. Uit de administratie zou zijn gebleken dat jij nog een verouderde bankpas hebt, en je kunt nog nét een nieuw exemplaar aanvragen zonder dat er kosten in rekening worden gebracht.
Dit verhaal klopt al niet. EMV-technologie bestaat weliswaar en is gewoon een standaard voor chipbetaalkaarten, nieuw is het allerminst. De techniek werd al vanaf 2005 uitgerold en dat proces is in Nederland in 2013 voltooid. De kans dat jij nog een bruikbare bankpas hebt zonder deze technologie, is dan ook nihil: de maximale levensduur van bankpassen is vijf jaar, daarna worden deze automatisch vervangen. Anno 2021 is dat een excuus dat geen hout snijdt, in ieder geval.
Het is daarentegen goed denkbaar dat je niet op de hoogte bent van alle ins en outs rondom beveiligingstechnologie van bankpassen. Dan kan zo'n verhaal al snel indruk maken. Als je besluit de zogenaamde aanvraag door te zetten, moet je op de volgende pagina een aantal gegevens invullen:
Je rekeningnummer
Je pasnummer
Vervolgens krijg je nóg een aantal invoervelden te zien, want de oplichters willen meer van je weten:
Je voorletters
Je achternaam
Je straatnaam
Je huisnummer
Je geboortedatum
Je postcode
Je woonplaats
Je e-mailadres
Daarna zijn we nóg niet klaar, want in wéér een nieuw scherm moet je de volgende informatie overhandigen:
Je huidige pincode
Je nieuwe pincode
Een bevestiging van je nieuwe pincode
Ook deze gegevens ingevuld (iets dat je sowieso nooit moet doen: banken vragen hier nooit naar)? Dan krijg je instructies te zien met betrekking tot het verzenden van je oude betaalpas. Deze moet je doorknippen (wel door het midden, dus zonder de chip te beschadigen: oplichters kunnen een doorgeknipte pas eenvoudig gebruiksklaar maken) en naar het 'Geldmaat inleverpunt' sturen.
Voor de duidelijkheid: dat 'inleverpunt' is volledig verzonnen. De bankpas mag naar het volgende adres:
Het huisnummer en de postcode hebben we gecensureerd, al is deze informatie op de vijfde en laatste schermafbeelding hierboven wel te zien.
Dat heeft te maken met vindbaarheid via Google: de woning staat momenteel namelijk te koop en aan de foto's op Funda te zien, staat 'ie al geruime tijd leeg: het pand is vrijwel volledig gestript, kan sowieso wel een onderhoudsbeurt gebruiken en ook de tuin ligt er enigszins verwilderd bij.
Dat weten de oplichters vermoedelijk ook maar al te goed: het adres van een leegstaande woning wordt misbruikt zodat zij daar ongemerkt en ongezien de brievenbus leeg kunnen hengelen.
Je moet in dit stadium ook aangeven of je de pas vandaag voor 17.00 uur opstuurt, of morgen voor 17.00 uur. Door deze informatie te delen, weten de boeven wanneer ze de postbode kunnen verwachten, wat het makkelijker maakt om een geschikt tijdstip te bepalen waarop de brievenbus wordt leeggevist.
En met alle persoonlijke informatie die ze van je hebben, is het een koud kunstje om je doorgeknipte bankpas gebruiksklaar te maken en je rekening bij de dichtstbijzijnde pinautomaat te plunderen. Overigens maak je je met het delen van alle overige persoonsgegevens ook kwetsbaar voor identiteitsfraude, dus ook om die reden is het buitengewoon onverstandig om gegevens in te vullen.
De échte bank gaat immers nooit op deze manier te werk, en als je pincodes moet doorgeven en/of bankpassen moet opsturen, gaat dat altijd om oplichting. Gewoon negeren dus.