Op 28 februari 2019 heeft de rechtbank Noord-Holland drie mannen veroordeeld wegens deelname aan een criminele organisatie die zich richtte op phishingfraude en daaruit voortvloeiend diefstal.[1] In dit artikel wordt besproken wat phishing precies inhoudt, wat de uitspraak van de rechtbank in deze zaak was en hoe je een phishingsmail kunt herkennen.
Phishing
Phishing is een vorm van oplichting waarbij criminelen proberen om (inlog)gegevens te achterhalen door valse e-mails te sturen.[2] Deze mails lijken afkomstig te zijn van een vertrouwde afzender, zoals een bank of een telecomprovider. Vaak bevatten de mails een linkje die leidt naar een nagebouwde website waar allerlei (inlog)gegevens worden gevraagd of een andere malafide website waarbij er malware wordt geïnstalleerd op de computer van het slachtoffer. Het openen van een phishingsmail en voornamelijk het klikken op een linkje in een dergelijke mail kan grote schade veroorzaken, bijvoorbeeld doordat er ransomware wordt geïnstalleerd waarbij alle gegevens van het slachtoffer worden versleuteld en deze alleen terug te krijgen zijn door het betalen van een geldbedrag. Om die reden treden het Openbaar Ministerie en de rechtspraak streng op tegen dit soort feiten.
Werkwijze
De mannen in kwestie stuurden aan rekeninghouders van de Rabobank en ABN AMRO bank e-mails, ogenschijnlijk afkomstig van hun bank, waarin stond dat vanwege veiligheidsredenen op korte termijn een nieuwe bankpas moest worden aangevraagd. Aan de slachtoffers werd meegedeeld dat hun huidige bankpas niet lang daarna automatisch zou verlopen. In de e-mails werd daarom verzocht de aanvraag van de nieuwe bankpas te voltooien en de oude bankpas(sen) op te sturen naar een inleverpunt van de desbetreffende bank voor recycling. De adressen van deze inleverpunten betroffen adressen van verschillende willekeurige woningen. De e-mails werden voorzien van een link, bijvoorbeeld genaamd ‘Nieuwe betaalpas aanvragen’. Via deze link werd men doorverwezen naar een nagebouwde, valse website van de bank, waar de rekeninghouders enkele bankgegevens, zoals hun bankrekeningnummer en pincode, moesten invullen. De opgestuurde bankpassen werden daarna weggenomen uit de brievenbussen van de zogenaamde inleverpunten. In enkele gevallen werden vervolgens de opnamelimieten van deze bankpassen verhoogd en grote geldbedragen gepind.
Oordeel van de rechtbank
De rechtbank overwoog dat door het handelen van de organisatie het vertrouwen van de slachtoffers in het betalingsverkeer en bankwezen ernstig is geschaad. Ook heeft de organisatie volgens de rechtbank met de begane misdrijven schade veroorzaakt. Volgens de rechtbank bestaat het risico van een ernstige ontwrichting van het maatschappelijk en economisch verkeer wanneer het vertrouwen in het betalingsverkeer en bankwezen bij consumenten in het algemeen niet meer aanwezig is. De rechtbank overwoog ten slotte dat aangenomen mag worden dat de organisatie erop uit is geweest geldelijk gewin te behalen, zonder na te denken over of zich te laten weerhouden door deze gevolgen.
Oplichting niet bewezen
De rechtbank vond dat er onvoldoende bewijs was om de mannen te veroordelen voor oplichting, aangezien niet uit de bewijsmiddelen bleek wie daadwerkelijk de phishingsmails had gestuurd en wie de nagemaakte site had gebouwd. De rechtbank heeft de mannen daarom niet kunnen veroordelen voor oplichting, maar wel voor diefstal en deelname aan een criminele organisatie. De diefstal vond plaats doordat de afhandig gemaakte pinpassen en bijbehorende pincodes gebruikt werden om grote geldbedragen te pinnen. De criminele organisatie bestond uit de samenwerking tussen de mannen om op bedrieglijke wijze pinpassen en pincodes afhandig te maken van slachtoffers en deze daarna voor eigen gewin te gebruiken.
Straffen
Alle drie mannen hebben een (deels voorwaardelijke) gevangenisstraf opgelegd gekregen, in combinatie met een forse taakstraf. Ook moeten ze een schadevergoeding betalen aan de slachtoffers.
Hoe herken je een phishingsmail?
Bron: https://jarnobaselier.nl/hoe-herken-je-een-hoax-of-phishing-e-mail/
Bovenstaande afbeelding is een voorbeeld van een phishingsmail die zogenaamd afkomstig is van een bank. Een phishingsmail is in veel gevallen herkenbaar aan (één van) de volgende elementen:
- Een onpersoonlijke aanhef, zoals ‘beste klant’ of ‘geachte meneer/mevrouw’;
- Spelfouten zoals ‘gister’ in plaats van ‘gisteren’;
- Vreemd taalgebruik of vreemde woordvolgorde, zoals ‘problemen hebben gehad’ en ‘aanmelden voor’;
- Inconsistent taalgebruik, zoals het door elkaar gebruiken van de woorden ‘knop’ en ‘button’;
- Een vreemde afzender: mails van een bank aan klanten worden normaal gesproken verstuurd door de afdeling klantenservice en niet door de ICT-afdeling.
Tevens is het goed om vóór het openen van de mail even de muis boven de naam van de afzender te houden. Op die manier kun je zien vanaf welk e-mailadres de afzender zijn bericht stuurt. Indien dit geen officieel mailadres is van de bank, is het vaak niet betrouwbaar.
[1] Rb. Noord-Holland 26 februari 2019, ECLI:NL:RBNHO:2019:1568, ECLI:NL:RBNHO:2019:1572 en ECLI:NL:RBNHO:2019:1600.