Er gaan valse mails rond namens 'MijnOverheid' en in het verlengde daarvan ook 'DigiD'. Dat hebben we wel vaker gezien, maar in deze mail passen de oplichters een oplichtingstruc toe in de vorm van een QR-code. In valse mails is dat een relatief nieuwe vorm van oplichting: het idee is dat consumenten wél beducht zijn voor verdachte linkjes, maar nog niet direct op hun hoede zijn indien er een QR-code in de mail staat.
In deze valse mail – volledig in de huisstijl van MijnOverheid gegoten – staat dat er een bericht voor je klaarstaat met betrekking tot een belastingteruggave onder het (verzonnen) kenmerk WZ02123C. Het verzoek is dan ook of je dit bericht tijdig even kunt lezen, want je moet vermoedelijk actie ondernemen.
En juist dat is in deze nepmail in een iets ander vorm gegoten, en wel in de vorm van een QR-code:
Open gemakkelijk uw beveiligde berichten door middel van het scannen van de QR-code aan de rechterzijde van de pagina met de camera van uw smartphone.
Tekst in valse mail namens 'MijnOverheid'
Waarom moet je niet zomaar een QR-code scannen?
We zeiden het al, maar de achterliggende gedachte is dat ontvangers minder argwanend zijn bij het zien van een QR-code dan bij het zien van een valse link. Toch kun je niet blind op een QR-code vertrouwen: vermoedelijk denken velen dat dat technisch allemaal heel ingewikkeld is en dat alleen officiële instanties een QR-code kunnen maken, maar dat is niet het geval.
Op internet vind je zonder al te veel moeite talloze gratis tools om in een handomdraai een QR-code te kunnen genereren, dus ook voor oplichters is dat een koud kunstje. Consumenten zijn echter nog niet zo van het gevaar doordrongen, en sinds enige tijd duiken er dan ook steeds vaker valse mails op met daarin QR-codes in plaats van verdachte linkjes, iets waar Opgelicht?! eerder al uitgebreid voor heeft gewaarschuwd.
Overigens kun je het op een iPhone (iOS) al in de preview zien als je via de camerafunctie van je toestel een QR-code scant. Datzelfde geldt voor de 'eigen' QR-scanner op de meeste Android-toestellen, al is het in dat geval iets lastiger om er in één regel iets over te zeggen: het hangt er namelijk maar net vanaf wat de fabrikant van jouw toestel heeft bedacht. Op AndroidPlanet lees je meer over het scannen van QR-codes op Android-toestellen.
Ook als je QR-scanners van derden installeert en gebruikt, kan het zijn dat je de preview niet standaard op je scherm ziet, en in dat geval is het risico net ietsje groter. Dit gebeurt er op een iPhone, in ieder geval:
Je ziet een waarschuwing op je scherm die aanduidt dat je op het punt staat om een website te bezoeken op het domein s.id, in dit geval een door oplichters veelgebruikte 'url shortener' waar in werkelijkheid een heel andere link achter zit. Maar dat het niet van MijnOverheid is, staat op deze manier wel vast.
Wat zit hier precies achter?
In dit geval weten we het niet zeker: de link in dit voorbeeld is al uit de lucht. We hebben echter vaker met dit spreekwoordelijke bijltje gehakt, dus durven we ons zonder al te veel moeite aan een voorspelling te wagen.
Het zal vermoedelijk gaan om een nepsite in de huisstijl van 'DigiD' met daarop nagemaakte inlogomgevingen van verschillende banken. Jij denkt in te loggen bij jouw bank om de belastingteruggave te regelen, maar in werkelijkheid gaan oplichters met je geld aan de haal.
Doe dit dus niet: dit is namelijk toch al niet de officiële werkwijze van MijnOverheid, DigiD of de Belastingdienst.
Lees ook:
- Oplichters sturen valse mails namens MijnOverheid: 'U zult een belastingteruggave ontvangen van € 1161,51'
- Weer valse mails namens de 'MijnOverheid Berichtenbox' over belastingteruggave in omloop
- Oplichters sturen valse mails namens 'MijnOverheid' om je DigiD én bankgegevens buit te maken
- Phishing: weer valse sms'jes namens 'DigiD' in omloop, oplichters willen je rekening plunderen
- Mail van 'DigiD' over koppelen van je bankrekening? Die is natuurlijk vals!
- Valse mail namens 'DigiD' is van oplichters: 'U ontvangt nog 703,79 euro'