De Franciscaanse pater Roland Putman is deze week getroffen door identiteitsfraude. Een op zijn e-mailadres gelijkend Gmail-account werd gebruikt om parochianen te vragen om geld. Al snel spraken drie bisdommen en de parochie over phishing, maar dat lijkt onwaarschijnlijk. Nepmails, phishing en identiteitsfraude. Ik zet de verschillen op een rij, en geef een gedetailleerde reconstructie van dit opmerkelijke nieuws.

Het begon met een simpel mailtje: Hallo Wim, goedemorgen en hoe ben je? Ik heb een gunst van je nodig, stuur me een e-mail terug. Ondertekend ‘Pastoor Roland Putman’. Maar het was niet de pastoor en het was niet zijn e-mailadres.

Nepmail Putman komt uit het buitenland

De nepmail die pater Putman kreeg, kwam uit het buitenland. In januari 2019 werd een Amerikaanse parochie met exact dezelfde verzoeken benaderd. De Saint Mary of the Assumption parochie in Lancaster, Ohio waarschuwde dat zeker 12 tot 15 neppriesters actief waren. Ook hier werd via een nep-Gmail-account iTunes gift cards of Google Play cards gevraagd voor kankerpatiënten en gevangenen. Soortgelijke berichten kwamen begin dit jaar en vorig jaar ook bijvoorbeeld uit Washington, Mississippi, Maine, Zuid-Florida, Rhode Island en Peterborough. In 2018 werden parochies in Canada benaderd. Ook was een nepaccount van een aartsbisschop actief.

Hoe herken je een nepmail?

Voor eén van de parochianen was direct duidelijk dat het om
een nepmail ging. Hoe herken je een nepmail?

  • Onduidelijk e-mailadres
    In dit geval was het een Gmail-adres. Maar het kan nog vager.
    Zorg liever voor gevalideerde, zakelijke e-mailadressen, eindigend op de domeinnaam van kerk, parochie of organisatie. Gebruik bij voorkeur geen mailadressen van Gmail, Hotmail voor het (kerkelijk) werk.
  • Vage, of afwijkende aanhef.
    Als het van een bekend iemand is, herken je haar of zijn stijl. Wordt het ‘Beste meneer’, of ‘Geachte heer/mevrouw’, wees dan alert.
  • Taal
    Er is een tijd geweest dat nepmails opvielen door belachelijk veel taal- en spelfouten, neplogo’s en nepfoto’s. Dat wordt minder, maar blijf alert op onregelmatigheden.
    Check bij de minste twijfel het e-mailadres door erop te Googelen en bekijk eerdere mail.
  • Vormgeving
    Mails van organisaties hebben een eigen huisstijl. Ontbreekt er een logo, is er een afwijkend lettertype, laat dan een belletje rinkelen bij jezelf. En controleer voordat je verder gaat.
    Heb je als parochie of organisatie geen huisstijl? Zorg ervoor dat deze er komt en wordt gebruikt in al je communicatie-uitingen zodat mensen er vertrouwd mee raken.
  • Onverwachte vraag
    Internetoplichters komen met opmerkelijke verzoeken. Neem op een andere manier contact met de afzender op. Switch van kanaal. (Dus krijg je een mail, bel of app dan met meneer pastoor).
  • Urgentie
    Er wordt in de mail benadrukt dat je snel actie moet ondernemen. Vraag je af of die urgentie terecht is (antwoord: nee, natuurlijk niet). Verifieer contactverzoeken via een ander kanaal.
  • Bijlagen
    Open geen bijlagen bij een mail die twijfel oproept. Er kunnen virussen of malware in verstopt zitten. (Zorg dus voor antivirussoftware dat up to date is)
  • Links
    Klik nooit zomaar op links in mailtjes, in SMS-jes of appjes.
    Check eerst of het een veilige link is. Dat doe je met mails zo: klik op je pc met je rechtermuisknop op de link, kopieer de koppeling en plak deze in een tekstbestand (NotePad, Kladblok, Word) om te zien waar de link heen gaat. Op je tablet of telefoon houd je de link lang ingedrukt zodat je meer opties krijgt.
  • Namens officiële instanties
    Sommige oplichters doen zich voor als een officiële instantie. Een bank, de overheid, het CJIB, een energiebedrijf zijn favoriet. Let op dat dit soort instanties richtlijnen heeft hoe ze je benaderen. Check hun website voordat je verder gaat.
    En nu dus ook de kerk. Tip: plaats richtlijnen hoe je je parochianen of leden benadert, en wat je niet doet.
  • Chantage
    Het komt ook voor dat een mail chantage beoogt. Bijvoorbeeld door een bepaalde actie of gedrag van je te eisen. Veelal wordt gedreigd een foto of video van jou te publiceren, je pc te hacken, je persoonsgegevens te verspreiden, bekenden van jou te benaderen. Doe in dat geval altijd aangifte.

Het moeilijke aan een nepmail met het doel je op te lichten, is te traceren wie de mail heeft gestuurd. Technisch onderlegde professionals kunnen soms ver komen door de header van een e-mail uit te lezen. Kijk bijvoorbeeld hoe internetprovider Strato de echte afzender vindt. Als je eenmaal de server hebt ontdekt, kun je naar het abuse-adres mailen.

Betreft het een gmail-adres, dan heb je weinig geluk want Gmail niet meewerkt in ‘mediation’ bij identiteitsdiefstal. Je kunt wel een melding doen dat een gmail-gebruiker ingaat tegen hun gebruiksvoorwaarden.

Hoe herken je phishing?

Phishing is te vertalen als ‘hengelen’ of ‘vissen’. Er
wordt niet gehengeld naar contact, zoals het bisdom Breda suggereerde, maar
naar je bankgegevens, geld of creditcardgegevens. Een phishing mail wil jou
lokken via een linkje naar een valse website waar die gegevens kunnen worden
onderschept. Klik je op de link, dan ben je het haasje.

Van phishing was in dit geval waarschijnlijk geen sprake. Wel werd – zie de reconstructie hieronder – gevraagd om een gunst om dat iTunes giftcard of geld over te maken naar een buitenlands bankrekeningnummer.

Een specifieke vorm van phishing is ‘spear phishing‘. Dat is een scam via e-mail of andere manier, vaak met het doel om gegevens te stelen voor kwaadwillende doeleinden. Maar het kan het zijn zijn dat cybercriminelen malware willen installeren op de computer van het slachtoffer.

Mogelijk is hier sprake van ‘whaling‘. Afhankelijk met welke expert je spreekt wordt dit als een bijzondere vorm van ‘spear phishing’ of als nieuwe scam-techniek gezien. Bij ‘whaling’ wordt gebruik gemaakt van aangepaste en gepersonaliseerde accounts. Juist de ‘grote vissen’ (dus accounts van directeuren, notabelen, priesters, bisschoppen, …) wekken ogenschijnlijk meer vertrouwen op zodat de daders een hoger (schadelijk) rendement behalen. Door het niveau van personalisatie is het moeilijk de ‘aanvaller(s)’ te detecteren. Deze ‘whaling’-aanvallen kunnen slachtoffers voor de gek houden omdat aanvallers bereid zijn om meer tijd en moeite te spenderen aan het bouwen vanwege hun potentieel hoge rendement. Aanvallers gebruiken vaak sociale media, zoals Facebook, Twitter en LinkedIn, om persoonlijke informatie over hun slachtoffer(s) te verzamelen om de aanval aannemelijker te maken.

Check daarom of je vrienden op Facebook wel echt bestaan. Er circuleren genoeg echt lijkende nepaccounts rond. Neem niet ieder connectieverzoek klakkeloos aan.

Hoe herken/voorkom je identiteitsfraude?

Identiteitsfraude komt op vele manieren voor. Check deze signalen die de rijksoverheid geeft. Je herkent identiteitsdiefstal bijvoorbeeld doordat je ineens brieven krijgt van incassobureaus waarvan je niets weet, op je bankrekening uitgaven staan die je niet herkent, of – zoals bij pater Putman – dat er mails of profielen de ronde doen die je niet zelf hebt aangemaakt.

Het probleem van identiteitsfraude komt omdat we steeds
vaker alleen digitaal contact hebben. Je kunt digitaal van alles kopen of
afsluiten. Daarbij deel je persoonsgegevens: je NAW-gegevens, een DigID, een
kopie van je paspoort of rijbewijs, en ga zo maar door. Identiteitsfraude kan
ver gaan: er kunnen huizen worden gekocht of leningen worden afgesloten zonder
dat je er weet van hebt. Totdat de politie voor de deur staat…

Wees alert op:

  • Verkoopplaatsen als Marktplaats voor telefoons en tickets. Deel nooit een kopie van je ID.
  • Niet-bestaande vacatures op vacaturesites. Deel nooit een loonstrookje.
  • Inbraak op je accounts. Vervang geregeld je wachtwoord van e-mail, pc’s en social media-accounts. Gebruik een wachtwoordanager. Bewaar daarom geen paspoorten of andere documenten met persoonsgegevens op onbeveiligde digitale plaatsen.
  • Als je wel een kopie van je ID moet verstrekken, gebruik dande KopieID-app van de overheid. Daarmee maak je een kopie onbruikbaar voor misbruik. De KopieID app gemaakt door de Rijksdienst voor Identiteitsgegevens kun je downloaden in de Apple App Store of Google Play Store.  Meer info vind je bij de Rijksoverheid.

Internetoplichting: wat kun je doen?

Oplichting is strafbaar. Dus je kunt aangifte doen bij de politie.  Internetoplichting is heel breed, zegt de politie. Doel is altijd geld vangen onder valse voorwendselen. Je kunt aangifte doen:

  • Via internet:
    politie.nl
  • Telefonisch:
    0900-8844
  • Bezoek
    een politiebureau

De politie geeft de voorkeur aan aangifte via internet omdat er één centraal punt is waar internetoplichting wordt onderzocht. Bij je digitale aangifte heb je je ID nodig. Je hoort binnen 10 weken of de politie een onderzoek is gestart. Indien dat niet zo is, hoor je na zes maanden dat je zaak is gesloten.

Check, check. En nog eens check.

Check altijd mails en verzoeken. Bezoek daarnaast geregeld websites als https://www.fraudehelpdesk.nl/, virusalert.nl en dergelijke om te zien wat actuele oplichtingspraktijken zijn.

Tot slot: Reconstructie neppastoors

Het nieuws van de neppastoors komt op maandag 19 augustus naar buiten nadat webmaster Wim Koopman van de Franciscusparochie in de Bommelerwaard een waarschuwend bericht op de parochiewebsite plaatst.

Koopman kreeg een mail (datum niet bekend gemaakt) op zijn zakelijk account afkomstig van ‘Pastoor Roland Putman’ met het e-mailadres pastoor.roland.putman@gmail.com. Hallo Wim Goedemorgen en hoe ben je? Ik heb een gunst van je nodig, stuur me een e-mail terug wanneer je dit bericht krijgt. Vrede en zegeningen,

Het bericht was ondertekend door ‘Pastoor Roland Putman’ met een verkeerd gespeld parochienaam op hun adres in Kerkdriel. Ook andere parochianen, zoals ene Pim, krijgen dergelijke mail. ’s Middags plaatst Roland Putman een waarschuwing op Facebook:

(Blijkbaar is het niet de eerste keer dat de pater digitaal werd lastig gevallen.)

Persberichten 3 bisdommen

Op 22 augustus rolt het balletje verder. Het bisdom Den Bosch, vlak daarna het bisdom Breda en weer wat later het bisdom Haarlem-Amsterdam plaatsen waarschuwingsberichten:

Bij mij roepen de berichten vragen op, zoals:

  • Hoe wisten de bisdommen dat het om meerdere daders (‘oplichters’)
    gaat?
  • Hoeveel mensen hebben zo’n nepmailtje
    gekregen?
  • Zijn er meerdere nepaccounts in omloop?
  • Wat wordt er precies gevraagd?
  • Worden rekeningnummers genoemd?
  • Om welke beroepskrachten gaat het?

Ik vraag kort daarop Hendro Munsterman van het Nederlands Dagblad of hij meer weet. Niet veel later komt het ND met een bericht met meer informatie

  • Er zijn 2 pastoors slachtoffer van deze identiteitsfraude
  • Er komt meer info over de inhoud en aard van de nepmails

In het artikel doet pater Putman zijn verhaal. Zowel zijn
naam als een foto worden gebruikt: ‘Mijn jongere collega reageerde als test op
de e-mail en in een antwoord werd gevraagd geld over te maken’, vertelt Putman.
Toen hij de anonieme afzender confronteerde met de fraude, gooide deze het over
een andere boeg: ‘Excuses vader, voor wat ik gedaan heb, want ik heb alleen
maar geld nodig. Kunt u mij helpen?’. De pater heeft inmiddels aangifte gedaan.

Het bisdom Breda houdt de identiteit van een tweede slachtoffer geheim. Er zou worden ‘gehengeld naar contact’. Een dag later, vrijdag 23 augustus 2019, pakken landelijke media het bericht van Hendro Munsterman/Nederlands Dagblad op. En hoe…

Putman en het bisdom hebben aangifte gedaan. Dat zal niet zoveel nut hebben, omdat dit een algemene scam is die is komen overwaaien uit de Verenigde Staten. Wel zeer goed dat iedereen nu alert is. De oproep van Roland Putman op BNR is terecht: “Hopelijk zijn veel mensen allert, dat juist de goed gevige mensen niet het vertrouwen verliezen om te geven als er échte nood is!”