WhatsApp-fraude: wat doen en wat niet?
Sinds een aantal weken wordt een toename waargenomen van WhatsApp-fraude, ook bij overheidsorganisaties. Het overnemen van WhatsApp-accounts kan gevolgen hebben voor informatiebeveiliging. Het aantal aangiftes bij de politie lag voor de coronacrisis op circa 120 tot 150 aangiftes per week.
Sinds april van dit jaar is het mogelijk om digitaal aangifte te doen bij de politie en kwamen tot augustus circa 700 aangiftes per week binnen. De politie wijdt deze toename deels aan het feit dat het makkelijker is om melding te doen, maar ook aan de feitelijke toename van deze vorm van fraude. De feitelijke toename kan volgens de politie mogelijk verklaard worden doordat mensen tijdens de coronacrisis meer online zijn gegaan om contact te hebben met hun familie en bekenden. Sinds augustus is het aantal aangiftes iets afgenomen.
Wat betekent dit?
- Oplichting via WhatsApp is een van de meeste toenemende vormen van online criminaliteit. Criminelen doen zich voor als een bekende en proberen het slachtoffer met een smoes geld afhandig te maken. Bekend is de strategie waarbij een slachtoffer wordt benaderd als een bekende met een ‘nieuw telefoonnummer’. De laatste tijd worden steeds vaker WhatsApp-accounts overgenomen voor het plegen van fraude. Hierdoor hebben slachtoffers minder snel argwaan.
- De intentie van de overnames lijkt gericht op financieel gewin, er zijn geen aanwijzingen dat de criminelen het bewust hebben gemunt op medewerkers van specifieke (overheids)organisaties. De toename van aangiftes uit deze hoek kan het gevolg zijn van het massaal thuiswerken. Berichtenapps worden veelal gebruikt vanwege de laagdrempeligheid en het gebruikersgemak.
- Wanneer een WhatsApp-account wordt overgenomen dat zakelijk is gebruikt kan dat betekenen dat (zeer) vertrouwelijke informatie in verkeerde handen terecht komt. Daarnaast kunnen contactgegevens van (belangrijke) contacten prijs worden gegeven. De Algemene Rekenkamer waarschuwde op 2 november voor de risico’s van het gebruik van berichtenapp’s en privé e-mail voor het versturen van vertrouwelijke informatie.
Handelingsperspectief
- Het NCSC raadt aan om een risico-afweging te maken voor het gebruik van berichtenapps voor zakelijke dienstverlening, zie hiervoor onze factsheet berichtenapps.
- Het is rijksbreed beleid om vertrouwelijke, gerubriceerde of privacygevoelige informatie nooit in openbare online diensten te delen of op te slaan. Het rijksbeleid is te vinden in de richtlijn app met beleid.
- Maak gebruik van de door uw organisatie daarvoor aangewezen kanalen om vertrouwelijke informatie te delen.
- Maak onderscheid in communicatie op zakelijke en privéapparatuur of -omgeving.
- Sla geen zakelijke contactgegevens op in uw privételefoon.
- Bescherm uw accounts met tweefactorauthenticatie. Zie hiervoor het factsheet 2FA.
In de dagelijkse praktijk
- Voor spam en phishing berichten geldt altijd: stuur geen bericht terug en klik niet op links of documenten. Als u het niet vertrouwt, doe dan niets. Of bel de afzender als het een bekende is.
- Waarschuw al uw contacten als u vermoedt dat uw account gehackt is.
- Doe aangifte bij de politie als er misbruik van uw account is gemaakt.