Hoe het begint…
Één van onze collega’s werd onlangs opgebeld door een vriendelijke man van de Federal Computer Crime Unit van de Belgische Federale Politie. Hij stelde zich voor als onderzoeker Marc Desmet met badgenummer “w982145”. Hij legde uit dat hij internationaal samenwerkte in een grootschalig onderzoek naar trafiek van tonnen cocaïne en dat in dit onderzoek de identiteit van de opbelde collega werd gebruikt. De politie trof namelijk in het zuiden van Brussel een wagen aan gebruikt door criminelen en gehuurd op naam van onze collega. Deze informatie zou om 1 of andere reden zijn overgemaakt door de Nederlandse politie. Het gesprek verloopt in het Engels en de beller gebruikt een Indisch-klinkend accent. Hij verklaart – in het Engels – dat hij ook Nederlands spreekt maar dat het gesprek opgenomen wordt en in de context van het internationaal onderzoek in het Engels moet verlopen. We hebben al van bij het opnemen van de telefoon door dat dit een oplichtingspoging betreft, maar trachten het spel zo goed mogelijk mee te spelen om de modus operandi van de oplichters in kaart te brengen.
De “onderzoeker” vraagt de identiteitsgegevens (voor-, achternaam, woonplaats en laatste 3 cijfers van het identiteitskaartnummer) van de collega om deze te verifiëren. Hierna vraagt hij om pen en papier bij de hand te nemen en een gedicteerd case number te noteren. Hij waarschuwt dat het belangrijk is goed te luisteren en te volgen om zelf niet verdacht te worden in het onderzoek.
De onderzoeker vraagt na of onze collega in de laatste jaren een identiteitsdocument, mobiele computer of telefoon is kwijtgeraakt, wat aan de oorzaak kan liggen. Hij vertelt dat op naam van de collega valselijk 11 bankrekeningen werden geopend waarmee grote sommen geld werden overgemaakt en vraag bij welke banken onze collega klant is en welke producten hier worden gebruikt (spaarrekeningen, beleggingen) en in welke grootteorde er gelden worden gehouden.
Nvdr: Was het overdereven van onze collega om over een recente erfenis te spreken van meerdere honderdduizenden euro’s op een simpele spaarrekening? De gesprekspartner is alleszins zeer bereid verder te helpen.
De onderzoeker vraagt of er daags nadien een afspraak thuis gemaakt kan worden waarbij een politie-agent nieuwe identiteitsdocumenten zal aanmaken. Na het maken van de afspraak, zegt de onderzoeker dat er nog 1 belangrijk iets dient te gebeuren, waarna de huidige identiteitsdocumenten kunnen worden gedeactiveerd: het veiligstellen van de gelden van de collega. Hiervoor schakelt hij het gesprek door naar een andere onderzoeker die hierbij zal begeleiden.
Door gebruik te maken van de smartphone van de gebruiker, met de gebruiker zelf aan de lijn, is het zeer eenvoudig de verschillende beveilingsmethodieken te omzeilen. Het zal namelijk de gebruiker zelf zijn die zich aanmeldt op de banktoepassing, met diens gewoonlijke toestel, aan de hand van z’n eigen pincodes, wachtwoorden en zelfs biometrische kenmerken. Geen enkele beveiligingsoplossing zal deze aanmelding als verdacht opmerken.
De collega werd geholpen om “AnyDesk” te installeren. Dit is een remote access tool, die het mogelijk maakt een computer (inclusief smartphones) te bekijken en/of bedienen vanop afstand. We beginnen te begrijpen hoe de oplichters tewerk gaan.
Na een uitgekiend social engineering-traject met doel het vertrouwen te winnen van de opgebelde en de buit in kaart te brengen, werd het tijd om te cashen. En dat is de verantwoordelijkheid van de tweedelijnszorg in de criminele bende, zo blijkt.
De tweedelijnszorg
De tweede gesprekspartner wijst er onze collega op dat er spijtig genoeg slechts drie kwartier tijd rest om de tegoeden van onze collega veilig te stellen, of ze worden verbeurdverklaard. Hij legt uit dat hij hem zal begeleiden bij het overmaken van het geld naar een speciale beveiligde rekening van de federale overheid. Hiervoor dient op de smartphone een toepassing geïnstalleerd te worden; hij vraagt welk type smartphone we gebruiken en helpt ons met het vinden van de app in de store.
We zijn nog geïnteresseerd eventuele sporen te verkrijgen die leiden naar de oplichters, dus laten we hen verbinden op een systeem van ons. De inkomende verbinding identificeert de andere zijde als “INTERNATIONAL CRIMINAL COURT”. De oplichter is niet tevreden met ons “per ongeluk” enkel toestaan van het zien van een scherm dat bovendien geen enkele software toont en is het noorden kwijt. Hij frustreert zich in het niet kunnen verder afspelen van z’n scenario. Wij weten voldoende en beëindigen het gesprek. De oplichter probeert verschillende keren terug te bellen, maar heeft pas na enkele pogingen door dat hij met een vooraf opgenomen bericht praat.
AnyDesk is op de hoogte van de oplichtingsmethoden die gebruik maken van hun software en trachten hun gebruikers hier attent op te maken.
“Wat hebben we geleerd vandaag?”
We zien keer op keer dat oplichters er in slagen nieuwe methodes te ontwikkelen die geavanceerde beveiligingsmethoden omzeilen. Ook in tijden van “MFA” en “XDR” moet de eindgebruiker op z’n hoede blijven.