Er is geen "onmiddellijke bankfraude", het is nepnieuws!

Een "instant bankfraude" hoax op sociale media is onlangs opnieuw opgedoken in het VK. Er lijkt geen bepaald snode plan achter te zitten. Het enige waarneembare doel van de hoax is om mensen bang te maken en hun tijd te verspillen. De boodschap is verspreid via sociale media en teksten. Zoals gebruikelijk bij hoaxes, proberen de mensen erachter legitimiteit te veinzen door een beroep te doen op autoriteit. In dit geval verwijzen ze naar het Twitter-account van de Londense politie. Deze verhuizing mislukte in zekere zin toen de politie van de City of London de hoax vrijwel onmiddellijk aan de orde stelde.

We zijn op de hoogte van een gerucht dat circuleert via WhatsApp, sms en sociale media waarin wordt verwezen naar @CityPoliceFraud en beweert dat bankklanten het doelwit zijn van de #smishing- zwendel hieronder.

De inhoud van dit bericht is vals. pic.twitter.com/eLVM4tnYEi

- Actiefraude (@actionfrauduk) 10 november 2020

Zoals vermeld in de tweet, is dit niet de eerste keer dat een dergelijke hoax zich verspreidt. Een vergelijkbaar bericht deed de ronde in maart. De beweringen van toen waren net zo onwaar als nu.

Er is echter een smishing-campagne (phishing via sms) die waarschijnlijk op het idee voor de hoax heeft geleid. Onderzoekers van Sophos hebben de campagne opgemerkt en hebben verschillende redenen doorgenomen waarom de "instant bankfraude" een hoax is. De smishing-campagne maakt gebruik van berichten die zijn vermomd als meldingen van mobiele providers voor problemen met de laatste betaling van de ontvanger. Naar verluidt zien ze er legitiem uit, behalve het tweede deel van de URL.

"(O2): We hebben uw recente factuurbetaling niet ontvangen. Werk uw gegevens bij op https://o2.uk.xxxxxxx.com/?o2=2 om extra kosten te vermijden"

Sophos-onderzoekers verklaarden dat de link naar een neppagina leidt die eruitziet als een legitieme inlogpagina voor de bijbehorende provider. Iedereen die de link heeft gevolgd en zijn echte gebruikersnaam en wachtwoord heeft ingevoerd, heeft zijn inloggegevens naar de criminelen gestuurd die de smishing-campagne uitvoeren. Zelfs in dergelijke gevallen hebben de slachtoffers alleen hun inloggegevens voor de website van de vervoerder weggegeven. Tenzij de potentiële slachtoffers hetzelfde wachtwoord gebruiken voor meerdere accounts, inclusief kritieke accounts zoals bankieren, is er geen gevaar dat hun bankrekeningen worden leeggemaakt of zelfs maar toegankelijk voor de criminelen. Toch kunnen de gevolgen van een dergelijk grove wanbeheer van accounts en wachtwoorden verschrikkelijk zijn.

Zelfs het worstcasescenario voor de ontvangers van een smishing-tekst komt niet in de buurt van de beweringen van het hoaxbericht. Er is geen gevaar voor degenen die het bericht net hebben bekeken, zelfs als ze het daarna niet hebben verwijderd. Als iemand de tekst heeft geopend en de link heeft gevolgd, maar zijn inloggegevens niet heeft ingevoerd, kunnen de criminelen er maximaal uitkomen als ze weten dat de persoon de pagina heeft geopend.

Ook al is er geen "onmiddellijke bankfraude", iedereen zou moeten proberen om de beste praktijken te gebruiken bij het beheren van hun rekeningen. Het gebruik van hetzelfde wachtwoord voor meerdere accounts wordt niet aanbevolen. Evenmin is het invoeren van iemands inloggegevens op websites die ze hebben bereikt via een link in een sms of een e-mail. Iedereen zou waar mogelijk 2FA (two factor authentication) moeten gebruiken. Het verspreiden van valse informatie over niet-bestaande bedreigingen is geen best practice.