Vorig jaar kregen Nederlanders een valse e-mail van de belastingdienst met de vraag om 500 euro over te zetten van hun bank. Het ging om Rabobank, ING en ABN. De criminelen gebruikten e-mailadressen als [email protected] om mensen op te lichten. In eerste instantie ging het om phishingaanvallen om zo aan bankgegevens te komen. In tweede instantie werd men, wanneer men klikte op de link in de e-mail, doorverbonden naar een buitenlandse website die schadelijke software installeerde. Dergelijke frauduleuze mails en phishingpraktijken komen ook in ons land voor. De criminelen gaan zelfs nog een stapje verder. Zo circuleren er mails waarin de bank zogezegd meldt dat ze weet heeft van deze mails. Om de veiligheid te garanderen, wordt de klant gevraagd zijn gegevens bij te werken. Of zoals het verwoord wordt in de valse e-mail:

"Sommige klanten zijn het ontvangen van een e-mail beweert te zijn van bnpparibasfortis hen te adviseren om een link naar wat lijken te volgen een bnpparibasfortis website, waar ze wordt gevraagd in te voeren zijn hun persoonlijke online bankieren gegevens. bnpparibasfortis is geen wijze betrokken is bij dergelijke e-mail en de website is niet van ons. bnpparibasfortis wordt met trots aankondigen over onze nieuwe upgrading veilig systeem dat ons in staat stellen de bestrijding van fraude en bedreiging. We waardeerden onze nieuwe SSL servers om onze klanten een betere, snelle en veilige online banking-dienst. Als gevolg van de recente opwaardering van de servers, wordt u verzocht om uw account gegevens vriendelijk te upgraden door te klikken op onze website onder: [link]"

Het Nederlands is zodanig slecht dat het zeer goed mogelijk is dat het om buitenlandse oplichters gaat. De link die zogezegd naar de website van de bank leidt, ziet er ook zeer realistisch uit.

Graag had ik de minister volgende vragen gesteld:

1) Heeft hij weet van mails van banken met de vraag om bijvoorbeeld via een link de gegevens bij te werken? Heeft hij cijfermateriaal over klachten of meldingen omtrent phishing, en kan hij deze cijfers meedelen? Hoeveel mensen zijn al daadwerkelijk slachtoffer geworden? Kan hij deze cijfers opdelen voor de laatste vijf jaar?

2) Zijn er in ons land reeds mensen aangehouden die zich met zulke praktijken (phishing) bezighielden? Kan hij toelichten?

3) Gaat het volgens hem om een buitenlandse groep die zowel in België als in Nederland mails verstuurt om mensen op te lichten?

4) Heeft hij hierover al contact gehad met Nederland of andere landen, gezien zulke praktijken niet enkel tot ons land beperkt blijven? Kan hij toelichten?

5) Zijn volgens hem de oplichters, die dergelijke mails zoals het voorbeeld uit de toelichting versturen, dezelfde criminelen die eerder e-mails in naam van banken stuurden? Gaat het aldus om criminelen die hun tactiek aanpassen en nu net inspelen op de ongerustheid omtrent eerdere valse e-mails?

6) Circuleren er ook in België e-mails die zogezegd van de fiscus komen met de vraag om geld van een bank over te zetten? Kan hij toelichten? Heeft hij hierover klachten ontvangen, en hoeveel?

1) In regel contacteren banken hun cliënten niet via e-mail om gevoelige informatie op te vragen. De laatste 2 jaar is er in België een sterke toename merkbaar van het aantal fraudepogingen, waarbij criminelen phishing-e-mails - zogezegd afkomstig van banken- gebruiken om niets vermoedende cliënten er toe te brengen persoonlijke, gevoelige of geheime informatie mee te delen zoals kredietkaartgegevens, pincodes of e-bankingbeveiligingscodes. De De Nationale Bank van België (NBB) beschikt ter zake niet over statistieken.

Voor wat betreft de omvang van de bijbehorende fraudeproblematiek, wordt verwezen naar de op de website www.safeinternetbanking.be/nl/cijfers/fraudegevallen consulteerbare Febelfin-verklaringen en statistieken.

2) Deze vraag valt niet binnen mijn bevoegdheidsdomein, maar wel dat van mijn collegas bevoegd voor Binnenlandse zaken en Justitie.

3) Uit het periodiek overleg tussen de NBB en de sector, verricht in het kader van de Febefin-werkgroep inzake "e-bankingbeveiliging", wijzen een aantal indicaties op verschillende dadergroepen, waarbij de ene dadergroep al professioneler tewerk gaat dan de andere. De NBB beschikt niet over betrouwbare gegevens betreffende de precieze locatie en/of nationaliteit van deze verschillende dadergroepen.

4) Omdat phishing een internationeel fenomeen is, heeft de NBB hierover reeds overleg gepleegd met diverse buitenlandse instanties zoals bijvoorbeeld De Nederlandsche Bank.  Samen met Febelfin werd hierover ook reeds contact opgenomen met de Nederlandse Vereniging der Banken. De beveiligingsproblemen met betrekking tot het phishing-fenomeen lagen ook mee aan de basis van de begin 2013 door de ECB gepubliceerde richtlijnen betreffende de beveiliging van internetbetalingen, waaraan de NBB actief heeft meegewerkt.

5) Het is bijzonder moeilijk om bepaalde phishing-e-mails met een redelijke zekerheid te linken aan bepaalde dadergroepen. Bovendien sturen de verschillende dadergroepen hun opzet regelmatig bij om de effectiviteit van hun aanvallen te verhogen en/of de door de banken genomen veiligheidsmaatregelen te ontwijken.

6) De NBB is niet op de hoogte van dergelijke phishing-e-mails in België. Niettemin circuleerde er in 2012 in België een kwaadaardige software (ook Ransomware genoemd) die de computer van het slachtoffer blokkeerde en pretendeerde afkomstig te zijn van de Federale Computer Crime Unit. Pas nadat het slachtoffer een boete zou betalen, zou de PC zogezegd terug vrijgegeven worden. Volgens de pers werden in 2012 ter zake meer dan 1500 klachten bij de politie neergelegd.