Quishing: opgelet voor deze nieuwe vorm van phishing

De Economische Inspectie van de FOD Economie blijft meldingen over valse e-mails en sms’en ontvangen. Oplichters maken ook gebruik van quishing (valse QR-codes) en van artificiële intelligentie. De buitgemaakte gegevens  gebruiken ze vervolgens voor social engineering, een frauduleuze praktijk om je nog persoonlijker te benaderen en de kans op succes voor de fraudeur te verhogen.

Phishing, smishing en vishing maar nu ook quishing

“Phishing” is een ondertussen gekende vorm van oplichting per e-mail. Het enige doel is om je via allerlei listen op links te laten klikken en je zo geld afhandig te maken. Bij smishing gebeurt dat via sms’en en bij vishing bellen de oplichters je gewoon op.

Maar nu moeten we dus ook  quishing toevoegen aan die lijst. Daarbij worden QR-codes via e-mails, sms’en of WhatsApp-berichten verspreid waarachter URL-codes verborgen zitten. Die lijken van officiële instanties te komen en manen de slachtoffers aan om een (fictieve) boete of rekening te betalen.  

Wanneer slachtoffers de QR-code scannen, belanden ze op phishingwebsites of moeten ze een betaling uitvoeren. Ook worden QR-codes gebruikt om schadelijke software te installeren bij slachtoffers. Die software bevat vaak malware, gericht op het stelen van persoonlijke gegevens zoals inloggegevens voor internetbankieren.

Ik ontving een brief in naam van het Energiehuis van mijn gemeente voor het ontvangen van een energiepremie van 250 euro. Om die premie te ontvangen moest ik mijn rekening bevestigen via het scannen van de QR-code in de brief. Na het scannen van de QR-code verscheen een melding om de achterliggende site van de QR-code te openen. Ik tikte op de melding en kwam via een link op een website terecht. Ik gaf mijn gegevens en bevestigde mijn rekeningnummer. De volgende ochtend belde mijn bank me op om te melden dat er een verdachte transactie had plaatsgevonden. De bank blokkeerde mijn kaart onmiddellijk.

… en artificiële intelligentie in combinatie met social engineering

De oplichters gaan mee met de huidige trends en gebruiken ook artificiële intelligentie. Dat gebruiken ze bijvoorbeeld voor het opstellen van de misleidende berichten. Zo kunnen ze die nog beter en professioneler opstellen waardoor ze moeilijker te herkennen zijn. Die technologie combineren ze met zogenaamde “social engineering”-methoden.

Social engineering is een techniek waarbij eerst persoonlijke gegevens, vaak via phishing maar ook door hacking, worden verzameld. Oplichters gebruiken die gegevens daarna om je nog effectiever en persoonlijker aan te spreken om je te misleiden. Je krijgt dan bijvoorbeeld valse facturen, achterstallige betalingen of aanslagbiljetten voorgeschoteld die zeer realistisch lijken maar het niet zijn.

Die gegevens blijven in databanken behouden waardoor je zelfs jaren nadat je persoonlijke gegevens doorgaf, nog benaderd kan worden.

Daling van het aantal meldingen

In 2023 werd een daling genoteerd van het aantal meldingen van phishing waarbij een slachtoffer aangaf geld te hebben verloren. In 2023 ontving het meldpunt 597 meldingen tegenover 1.059 in 2022. Ook de gemiddelde schade die het slachtoffer meldde (niet noodzakelijk de effectieve geleden financiële schade) daalde van 4.678 euro naar 4.080 euro.

De daling kan verklaard worden door verschillende factoren. Allereerst zijn burgers waakzamer geworden dankzij sensibiliseringscampagnes van de FOD Economie en andere overheidsinstanties. Maar ook de gerichte aanpak van de Economische Inspectie van de FOD Economie in de bestrijding van phishing werpt zijn vruchten af. Ze probeert via gerichte acties de houders van de bankrekeningen waarnaar de gelden werden overgemaakt te identificeren bij de respectievelijke banken, die ook op de hoogte worden gebracht.

Het is bemoedigend om te zien dat het aantal meldingen van phishingaanvallen in 2023 met bijna de helft is gedaald en dat de effectief geleden financiële schade afneemt. Dit kan worden verklaard door de actieve bestrijding van phishing door de Economische Inspectie door middel van verschillende sensibiliseringscampagnes. Het probleem is echter niet verdwenen en blijft een prioriteit. Een nauwgezette opvolging door de FOD Economie geeft ons inzicht in de modus operandi en het aanpassingsvermogen van de fraudeurs achter phishing. Voor burgers blijft waakzaamheid geboden, als overheid moeten we blijven sensibiliseren voor de (nieuwe) vormen van phishing.

De jarenlange inzet op sensibilisering begint inderdaad vruchten af te werpen. Ik wil de FOD Economie daar bijzonder voor bedanken. Elk geval van phishing blijft er echter één teveel en fraudeurs zijn nog steeds bijzonder inventief. We moeten dus zeer alert blijven en mensen blijven waarschuwen. Tijdens het Europees Voorzitterschap zal ik mij daarom bijzonder inspannen rond dat thema. Wie geconfronteerd wordt met oplichters, moet dat bovendien gemakkelijk kunnen signaleren. Daarvoor lanceer ik binnenkort het uniek consumentenplatform ConsumerConnect.

6 februari is de 21ste Safer Internet Day! Het is een belangrijke dag die ons eraan herinnert dat we online waakzaam moeten zijn, en vooral hoe voorzichtig we moeten zijn met de verschillende advertenties die we tegenkomen. De laatste cijfers van de FOD Economie over het aantal meldingen van phishing scams zijn heel bemoedigend, en daar ben ik blij om. Het aantal meldingen met financieel verlies is met bijna de helft gedaald in vergelijking met vorig jaar. We kunnen de verschillende sensibiliseringscampagnes van de FOD Economie en anderen alleen maar toejuichen. Toch moeten we altijd waakzaam blijven, want online oplichting vermenigvuldigt en diversifieert zich voortdurend. Deze strijd moet onze prioriteit blijven, zodat gebruikers in veilige en optimale omstandigheden kunnen profiteren van dit ongelooflijke hulpmiddel dat het internet is. Daarom heb ik er een belangrijke prioriteit van gemaakt tijdens het Belgische voorzitterschap van de Raad van de Europese Unie, met het voorstel om een signaleringssysteem in te voeren om valse online profielen tegen te gaan. Deze signalisatie zou het mogelijk maken om de status van je profiel als verifieerbaar, geverifieerd of anoniem te zetten. Het is een instrument in de vorm van gestandaardiseerde signalisatie waarmee zowel gebruikers als platforms geïnformeerd kunnen worden of informatie kunnen verstrekken over de waarachtigheid van de profielen waarmee we in de digitale wereld interageren.

Minder toenadering via elektronische weg

Slachtoffers van phishing kunnen in het meldpunt aangeven op welke wijze ze benaderd werden. Opvallend is de grote daling van het phishen naar je gegevens via elektronische berichten (sms, messaging apps en e-mail). Waar het in 2020 en 2021 om het gros van de meldingen ging (97 % in 2020 en 89 % in 2021), was dat in 2022 nog maar 56 % en daalde het in 2023 verder naar 36 %. 15 % van de melders werd opgelicht via een website, een andere groep van 15 % werd telefonisch benaderd. Dat zijn ten opzichte van 2020 en 2021 zeer sterke stijgingen. In 2021 bedroegen zij respectievelijk 7 % en 3 %.

Geld verloren? Dan heb je in een aantal gevallen recht op terugbetaling

In bepaalde gevallen heb je als slachtoffer van phishing recht hebt op een terugbetaling door je financiële instelling. De belangrijkste voorwaarde is dat het gaat om een niet-toegestane betalingstransactie. Voerde je zelf een betaling uit (bijvoorbeeld door een vervalste factuur te betalen) of is er sprake van grove nalatigheid (zoals het geven van je pincode via telefoon), dan betaalt de bank niet terug.

Als slachtoffer moet je je bank onmiddellijk op de hoogte stellen van de vermeende fraude met je betaalinstrument. Beslist de bank om je niet te vergoeden, dan is ze verplicht om die beslissing schriftelijk mee te delen aan de FOD Economie.

Ga je niet akkoord? Dan kan je terecht bij de Ombudsdienst voor Financiële Geschillen.

Maar … voorkomen is beter dan genezen

Om er voor te zorgen dat je geen slachtoffer wordt van phishing, geven we je deze 5 tips

1. De gouden regel is: win informatie in over de identiteit van de persoon. Twijfel je? Neem dan zeker contact op met het bedrijf of de instelling die je een e-mail of sms gestuurd zou hebben.
2. Je bank of eender welke instelling vraagt nooit per e-mail, sms of telefoon om jouw gegevens te updaten. Ook vragen ze nooit zomaar naar paswoorden, gebruiksnamen, bankgegevens of persoonlijke codes. Deel dus nooit persoonlijke gegevens via e-mail, telefoon of sms en ga nooit via een link naar de betaalsite of mobiele app van je bank.
3. Komt de e-mail of sms onverwachts of is de boodschap vreemd? Een e-mail om 1 uur ’s nachts moet een alarmbel doen afgaan. Kijk ook na of het e-mailadres een ongewone domeinnaam heeft. Een e-mail van de overheid verstuurd vanuit een Gmail- of Hotmail-account is verdacht. Maar let tegelijk ook op voor "spoofing". Dat is het nabootsen van een bestaand e-mailadres waardoor het lijkt dat de mail die je krijgt ook echt van dat adres afkomstig is.
4. Klik nooit op een link of QR-code in een e-mail of sms die je niet vertrouwt en kijk of de link of QR-code verwijst naar de officiële website van de instantie. Beweeg je muis voor je klikt over de link of knop. Komt de URL/domeinnaam die tevoorschijn komt overeen met die van de overheidsinstantie?
5. Betaal zo vaak mogelijk met je kredietkaart of via beveiligde betalingsplatformen die je bankgegevens niet doorgeven aan de begunstigde.

Drie stappen die je moet zetten als er geld van je rekening ging

1. Licht zo snel mogelijk je bank in en bel Card Stop (078/170 170) om je bankkaart te laten blokkeren. Laat daarnaast ook je bankrekening blokkeren maar ook je account en bankapp (anders kunnen de oplichters geld blijven afhalen). Door snel je bank te contacteren kan die misschien ook eventuele bedragen die nog niet zijn overgeschreven tegenhouden of nog recupereren.
2. Betaalde je met een kredietkaart? Betwist de transactie dan via mijnkaart.be (Visa of Mastercard).
3. Doe aangifte bij de lokale politie in je buurt en meld de oplichting via het Meldpunt (scenario “Phishing met geldverlies”). De Economische Inspectie van de FOD Economie analyseert de melding en kan beslissen om een onderzoek in te stellen en zo een einde te maken aan die frauduleuze praktijken.

Weigert de bank je terug te betalen? Dan kan je dat ook melden via het Meldpunt (scenario “Terugbetaling door mijn bank in geval van phishing”).