“Goedenavond, met Marktplaats.nl Fraude Detectie. Spreek ik met de heer [achternaam]?”
“Ja, daar spreekt u mee.”
“Ik neem contact met u op omdat we normaal gesproken zien dat u inlogt vanuit [woonplaats in Nederland], maar er nu ingelogd wordt vanuit Frankrijk. Kan dat kloppen?”
“Nee, dat kan niet want ik ben niet in Frankrijk.”
“Ok, dat is precies waarom we contact met u opnemen. Waarschijnlijk gaat het hier om fraude. We kunnen het account voor u afsluiten en dan moet u een nieuw account openen of we resetten alleen uw e-mailadres. Ter verificatie: wat is uw e-mailadres?”
“[naam]@live.com Maar als het account afgesloten is, ben ik dan ook het geld voor mijn auto-advertentie kwijt?”
“Ja, dan is alles weg. Maar we kunnen dus ook het e-mailadres resetten.”
“Doe dat dan maar.”
“Ok. Dan reset ik nu en dan ontvangt u een SMS-bericht met daarin een code, als u die aan mij geeft passen we het aan en kan u weer bij uw account.”
Op dit punt in het gesprek kreeg de consument die zijn auto via Marktplaats wilde verkopen door dat er iets niet klopte. Hij ontving daadwerkelijk een SMS om z’n e-mail te resetten, maar deze was afkomstig van Microsoft. Het e-mailadres moest ook meerdere malen gespeld worden om deze te verifiëren wat natuurlijk opvallend is als “Marktplaats” het op zijn scherm heeft staan. Dat was dan ook niet het geval, het gaat hier natuurlijk om een scam.
De achternaam en woonplaats hoefde de scammer niet te gokken, die staan immers gewoon in de advertentie.
Een slinkse manier van social engineering om bij je e-mailaccount te komen in de hoop dat daar weer andere, waardevolle accounts aan hangen.
Als je een dergelijke SMS-code aan iemand doorgeeft raak je de controle over een account in ieder geval kwijt. Websites of een bank zullen nooit telefonisch om dergelijke gegevens vragen! En tenzij hackers het heel bewust specifiek op jou hebben voorzien* is het ook de enige manier om die controle kwijt te raken, want ik ga je nu vertellen hoe je ‘Verificatie in twee stappen’ instelt voor Gmail.
* Zoals in “Als hackers ook de controle SMS op je mobiel onderscheppen” gebeurde.
Lees verder