Let op: nieuwe phishingtruc geeft oplichters toegang tot je digitale pinpas
Een vrouw (35) uit Udenhout dacht een rekening van haar creditcardmaatschappij te betalen, maar hielp ongemerkt criminelen om haar bankpas op een andere telefoon te installeren. Volgens fraude-expert Pepijn Slappendel komt deze relatief nieuwe vorm van phishing steeds vaker voor. "Vroeger haalden oplichters je pinpas weg, nu zetten ze hem gewoon op hun eigen telefoon."
De zaak kwam deze week aan bod in Bureau Brabant. Na de aankoop van een nieuwe telefoon kreeg de vrouw een e-mail die afkomstig leek van haar creditcardmaatschappij. Ze klikte op een link, vulde haar gegevens in en doorliep verschillende stappen om zich online te identificeren.
Toen ze vervolgens een melding kreeg dat haar wallet was geactiveerd, vertrouwde ze het niet en nam ze direct contact op met haar creditcardmaatschappij en bank. Maar toen was het al te laat. Zonder dat ze het wist, hadden criminelen haar digitale betaalpas op een andere telefoon geïnstalleerd. Met die telefoon werd vervolgens geld opgenomen bij een geldautomaat in Amsterdam.
Criminelen hebben geen fysieke pinpas meer nodig
Volgens Pepijn Slappendel, directeur Fraud Prevention bij DataExpert, is dit een vorm van phishing die de afgelopen jaren steeds vaker opduikt. "Vroeger probeerden fraudeurs fysieke pinpassen te stelen om daarmee te betalen of geld op te nemen. Sinds digitale betaalpassen via Apple Pay en Google Pay veel worden gebruikt, hebben criminelen een veel makkelijkere route gevonden."
De vernieuwing zit volgens Slappendel niet zozeer in de phishing zelf, maar in wat criminelen ermee doen. "De methode is eigenlijk hetzelfde gebleven. Alleen waar vroeger een fysieke pas nodig was, installeren fraudeurs nu een digitale betaalpas op hun eigen telefoon."
Dat gebeurt vaak zonder dat slachtoffers doorhebben wat er aan de hand is. "Terwijl iemand denkt een rekening te betalen of zich te identificeren, zijn fraudeurs op de achtergrond bezig om hun eigen telefoon te koppelen aan het bankaccount van het slachtoffer."
Mails en websites lijken steeds echter door AI
Dat mensen hierin trappen, is volgens Slappendel niet vreemd. Nepmails en phishingwebsites worden steeds overtuigender. “Vroeger moesten criminelen echt goed hun best doen om een e-mail of website van een bank na te maken. Tegenwoordig is dat veel eenvoudiger geworden”, zegt hij.
Volgens hem spelen AI-tools daarin een grote rol. “Mails bevatten nauwelijks nog taal- of spelfouten en klinken precies zoals een bank of creditcardmaatschappij zou communiceren.”
Dit maakt het voor fraudeurs ook makkelijker om websites na te maken. “Vroeger werd vaak een algemene phishingwebsite gemaakt namens bijvoorbeeld de Belastingdienst, omdat daar veel mensen mee te maken hebben”, legt Slappendel uit. “Tegenwoordig als fraudeurs eenmaal zo’n website in handen hebben, kunnen ze ChatGPT bijvoorbeeld vragen om die ook geschikt te maken voor Rabobank, ING of andere banken.”
Wees alert op betaalverzoeken via de mail
De belangrijkste waarschuwing van Slappendel is simpel: "Als je onverwacht via e-mail wordt gevraagd om te betalen of gegevens te controleren, moet er direct een alarmbel gaan rinkelen." Zijn advies: "Klik niet op linkjes in zo'n bericht en gebruik geen telefoonnummers uit de e-mail. Neem zelf contact op met je bank of creditcardmaatschappij."
Heb je toch gegevens ingevuld? Dan is snel handelen belangrijk. Neem direct contact op met je bank of creditcardmaatschappij, zodat zij je rekening kunnen blokkeren. Daarna kun je aangifte doen bij de politie en eventueel terecht bij de Fraudehelpdesk.
