Ondernemers steeds vaker dupe van spoofing
Steeds meer ondernemers worden het slachtoffer van spoofing, ook wel bankhelpdeskfraude genoemd. Dat is online fraude waarbij internetcriminelen zich bijvoorbeeld voordoen als een bank- of verzekeringsmedewerker en op slinkse wijze bankrekeningen plunderen. ONL slaat alarm nadat meerdere ondernemers aan de bel trokken. “Deze oplichters kunnen zich heel overtuigend voordoen”, zegt voorzitter Hans Biesheuvel. Particulieren komen, als zij aan de criteria voldoen, in aanmerking voor compensatie, maar ondernemers niet. “Dat moet echt anders.”
De hele bankrekening van stichting Newest Art Organization werd leeggehaald door oplichters. Het gaat om een bedrag van 68.000 euro. Ook een zakelijke privérekening van de directeur werd leeggeroofd waar 3.000 euro op stond. Newest Art Organization ondersteunt gevluchte kunstenaars onder meer met exposities en werkruimte. “De oplichters sloegen in oktober vorig jaar toe en nog altijd zijn we bezig met compensatie. Het gebeurde in een onbewaakt ogenblik, maar de impact is enorm”, zegt bestuurslid Layana Mokoginta. Spoofing of bankhelpdeskfraude heeft vele vormen. Over het algemeen doet een crimineel zich voor als bankmedewerker die aangeeft dat er verdachte activiteiten op de rekening plaatsvinden. Klanten wordt vaak gevraagd om hun geld overmaken naar een zogenaamde veilige rekening om de dreiging af te wenden en zijn vervolgens het geld kwijt. Vaak lijkt het in het display van de telefoon alsof de bank zelf belt. “Hang op en bel de bank zelf in dit soort gevallen”, adviseert Biesheuvel. “Neem het zekere voor het onzekere.”
Onmacht
De nachtmerrie begon bij Newest Art Organization met een overduidelijke phishingmail die de directeur links liet liggen. “Hierin stond dat er verdachte inlogpogingen werden gedaan op onze bankrekening bij Bunq”, legt Mokoginta uit. “Meteen daarna werd zij gebeld door een bankmedewerker waardoor zij dacht dat het toch om een echte e-mail ging. De naam van Bunq verscheen in het display van haar telefoon. Ze moest klikken op de link uit de mail waardoor de oplichters meteen toegang kregen tot de rekening. We wisten pas dat het een nepbankmedewerker was nadat ze de rekening hadden geplunderd.”
Vierentwintig bankpasjes aangevraagd
Telefonisch kreeg zij te horen dat er een dag later nieuwe inloggegevens werden opgestuurd. Dat gebeurde niet. Toen ontstond er paniek, maar contact krijgen met de bank in deze noodsituatie kon alleen via een app en niet telefonisch. “Dan krijg je standaard reacties terug zoals ‘wat vervelend, we kijken ernaar’. “Hierdoor kon in tussentijd de hele rekening worden leeggehaald. Er werden zelfs vierentwintig bankpasjes aangevraagd. Ook waren er tweeënveertig overboekingen van negenhonderd euro per keer achter elkaar. En nergens gingen de alarmbellen af bij Bunq?! Wij stellen grote vraagtekens bij de controle en beveiliging van deze internetbank, die zich profileert zich als de Über van de financiële wereld. Een vernieuwer. Ze gedragen zich echter als een platform dat zich niet verantwoordelijk acht voor wat hun klanten op dat platform doen. Een bank die zich niet verantwoordelijk voelt voor het geld dat organisaties hun toevertrouwt is geen bank.” Uit onmacht ging de stichting zelfs naar het fysieke bankkantoor toe, omdat zij niemand te spreken kregen. “Dat liep ook op niks uit. Nog altijd heeft niemand ons te woord gestaan.” De stichting overweegt om met andere gedupeerden naar de rechter te stappen.
Zevenduizend euro ontvreemd
Ook zzp’er Sven van de Bergh van klusbedrijf Andeniva uit het Limburgse Brunssum werd het slachtoffer van spoofing. “Op het moment dat ik werd gebeld door ‘de bank’ was ik druk bezig met een wandje plaatsen. De bankmedewerker gaf aan dat er op mijn rekening was ingelogd met verdachte IP-adressen. Ik vertrouwde het niet helemaal, maar door de enorme angst die mij werd ingeboezemd, ging ik toch overstag. Bovendien kan je Bunq niet bellen ter controle.” Ook zijn rekening werd op een soortgelijke manier overgenomen door oplichters. Eenmaal thuis probeerde Van de Bergh in te loggen, maar dat lukte niet. “Dan weet je al dat je zwaar de klos bent. Niet alleen mijn zakelijke rekening bleek uiteindelijk leeggehaald te zijn, maar ook de btw-rekening waar ik nooit geld van pinde. Binnen 24 uur werden twintig bankpassen aangevraagd.” In totaal werd 7.000 euro ontvreemd. “Ik moest weer vanaf nul beginnen.”
Geen rode vlaggen
Hij is teleurgesteld zijn ex-bank. “Hebben banken geen zorgplicht? Ik snap best dat er misbruik wordt gemaakt van technologie, maar ik kan niet begrijpen dat er geen rode vlaggen afgaan bij dubieuze transacties.” Hij wijst erop dat zzp’ers en andere ondernemers ook nergens kunnen aankloppen, zoals het ministerie van Economische Zaken en Klimaat of de Ombudsman. “Toch gek dat je met een KvK-nummer geen compensatie krijgt, maar als particulier wel. Wat is het verschil?” Zowel Van den Bergh als de stichting deden aangifte bij de politie, maar verwachten het geld niet van de daders terug te krijgen.
Geen compensatie voor ondernemers
Naar compensatie kunnen Newest Art Organization en talloze andere gedupeerde ondernemers en stichtingen fluiten. De Nederlandse Vereniging van Banken (NVB) liet vorig jaar weten welke criteria (https://www.nvb.nl/nieuws/toetsingscriteria-voor-coulance-bij-bankhelpdesk-fraude-spoofing/) worden gehanteerd door banken voor compensatie na bankhelpdeskfraude. Eén van deze criteria is dat het slachtoffer een niet-zakelijke klant is en de fraude heeft plaatsgevonden op een particulier rekeningnummer. “Waarom? Voor een stichting, zzp’er of bedrijf heeft dit ook desastreuze gevolgen”, stelt Mokoginta, die zegt dat ondernemers nergens kunnen aankloppen voor compensatie.
‘Pakkans vergroten’
Biesheuvel maakt zich grote zorgen over deze ontwikkeling en maant ondernemers om extra alert te zijn op telefoontjes, appjes en mailtjes van banken. “Bel indien mogelijk altijd de bank op. Hang op en neem eerst zelf contact op om te checken of het verhaal klopt.” De schade als gevolg van online fraude is gigantisch. In de eerste zes weken van dit jaar is bij de Fraudehelpdesk al voor ruim 10,5 miljoen euro aan schade gemeld. Over diezelfde periode in 2021 was dat nog ruim 3 miljoen euro. De meeste schade wordt gemeld door misbruik van een bedrijfsnaam. Het gaat dan onder meer om CEO-fraude en neptelefoontjes namens de bank. Bij CEO-fraude als wordt een betaalverzoek verstuurd die van een manager of bestuurder van een bedrijf lijkt te komen. “Er moet wat ONL betreft veel meer worden gedaan om de pakkans van deze oplichters te vergroten”, aldus Biesheuvel, die wil dat er nog meer capaciteit wordt uitgetrokken door de politie om deze vorm van criminaliteit te bestrijden. Mokoginta heeft ook nog een persoonlijk advies voor ondernemers. “Laat je niet verleiden door gemak en mooie praatjes. Ga nooit in zee met een bank die je niet kunt bellen in geval van calamiteiten en vraag goed naar hun procedures met betrekking tot het detecteren van ongebruikelijke transacties op jouw rekening.”
Ondernemers met vragen of die melding willen doen van spoofing kunnen ook contact opnemen via info@onl.nl.
