Phishing in 2020: de cijfers

24 maart 2021 - 9 min leestijd

In de loop van het crisisjaar 2020 is fraude via phishing wereldwijd enorm toegenomen. De fraudeurs hebben misbruik gemaakt van de coronacrisis en hebben zo meer dan anders ingespeeld op de emotie en de actualiteit om de mensen om de tuin te leiden.

  • Uit de verzamelde gegevens blijkt dat er zich in België ongeveer 67.000 frauduleuze transacties door phishing hebben voorgedaan, voor een bedrag van ongeveer 34 miljoen euro.
  • De Belgische banken leveren enorm veel inspanningen om frauduleuze transacties naar aanleiding van phishing te voorkomen (continue investeringen in veiligheid van online en mobiel bankieren, intensieve monitoring van transacties, sensibiliseringsacties, …). Meer dan 75% van alle frauduleuze overschrijvingen worden door de banken gedetecteerd en geblokkeerd of gerecupereerd.
  • Phishing is uitgegroeid tot een maatschappelijk probleem. De fraudeurs slaan alsmaar meer toe en door hun diverse manier van werken, blijft geen enkele sector gespaard. De banksector heeft al meerdere sensibiliseringscampagnes opgezet, maar werkt ook steeds meer samen met andere sectoren om fraudeurs een halt toe te roepen. Zo is er regelmatig en in toenemende mate overleg met de telecomsector, politie, parket, overheidsinstanties en justitie. Alleen samen kunnen we deze strijd succesvol voeren.
  • Ondanks de vindingrijkheid van de fraudeurs is phishing eenvoudig te vermijden door voldoende waakzaamheid en voorzichtigheid aan de dag te leggen:
    • geef nooit persoonlijke codes (pincode & response code) door naar aanleiding van een email, telefoongesprek, sms, sociale media of whatsappbericht. Als daarnaar wordt gevraagd, is er sprake van oplichting.
    • klik ook nooit op een ontvangen link, maar typ altijd zelf het adres van de gewenste bankwebsite in je browser of gebruik je eigen mobiele banking app.

De cijfers toegelicht

 

In 2020 hebben we een enorme opmars gezien van alle vormen van online fraude, en dus ook van phishing. Bij phishing geven slachtoffers hun persoonlijke bankcodes door aan fraudeurs – meestal door te klikken op een link die leidt naar een frauduleuze website – zodat zij in naam van het slachtoffer transacties kunnen uitvoeren. Uit onze statistiek blijkt dat in 2020 ongeveer 67 000 frauduleuze transacties via phishing hebben plaatsgevonden, voor een totaal nettobedrag van ongeveer 34 miljoen euro.

De effectief geleden schade. Het nettobedrag is niet meer terug te vorderen door de banken.

Meer dan 75%  van de frauduleuze – maar perfect ondertekende – overschrijvingen werd door de banken ongedaan gemaakt,  zowel door ze tijdig te detecteren en te blokkeren als door de buitgemaakte bedragen terug te vorderen. Deze door de banken verhinderde fraudegevallen zijn niet opgenomen in het nettobedrag.

De aantallen en bedragen zijn substantieel, maar kunnen niet vergeleken worden met voorgaande jaren, want Febelfin rapporteert voor het eerst over alle types van phishing (zonder onderscheid tussen bank en non-bank phishing) en alle betalingstypes (niet meer uitsluitend e-overschrijvingen maar ook e-betaalkaartverrichtingen).

Dit onderscheid is van belang: bij bank phishing doen oplichters zich voor als een financiële instelling  door het logo en de look & feel van de bank te kopiëren. Non-bank phishing gebeurt wanneer oplichters hun potentiële slachtoffers aanspreken in naam van andere organisaties zoals e-commercebedrijven, telecombedrijven of de overheid. Phishing is de laatste tijd uitgegroeid tot een maatschappelijk fenomeen waarmee alle sectoren - niet meer enkel financiële instellingen - te maken krijgen.

De fraudeurs maken ook steeds meer gebruik van e-betaalkaartbetalingen (d.i. wanneer een fraudeur in jouw naam online betaalt met jouw kaart) vandaar dat we deze fraudecijfers ook meenemen in onze statistieken.

De rapportering beperken tot bank phishing en e-overschrijvingen zoals we vroeger altijd hebben gedaan, was dus niet langer representatief.

Niet opgenomen in deze cijfers zijn vormen van online fraude waarbij de fraudeur niet hengelde naar persoonlijke codes van het slachtoffer. In deze gevallen werd het slachtoffer gemanipuleerd om zelf geld over te schrijven naar de rekening van de oplichter. Voorbeelden hiervan zijn hulpvraag-, factuur-  en CEO-fraude. 

Vermijd phishing: geef nooit je codes en klik niet door op een link

 

De coronacrisis en de vele digitale contacten zijn voor fraudeurs een opportuniteit om mensen op te lichten. De verschillende vormen van phishing zijn talrijk en complex. Fraudeurs maken niet alleen gebruik van verschillende kanalen - zoals email, brief, telefoon, sms, sociale media en whatsapp - maar ze plegen de fraude ook in naam van verschillende organisaties en instellingen zoals banken, overheidsadministraties, telecomoperatoren, nutsbedrijven, enzovoort. De lijst is lang. Daarom is dit ook een breed maatschappelijk fenomeen: verschillende sectoren zijn betrokken partij en ook door de grote verscheidenheid aan kanalen is iedereen potentieel slachtoffer.

De vindingrijkheid van fraudeurs mag dan indrukwekkend zijn, phishing is nog altijd eenvoudig te voorkomen:

  • Geef nooit persoonlijke codes (pincode & response code) door naar aanleiding van een email, telefoongesprek, sms, sociale media of whatsappbericht.
  • Klik ook nooit op een ontvangen link, maar typ altijd zelf het adres van de gewenste bankwebsite in je browser of gebruik je eigen mobiele banking app. Alleen dan ben je zeker dat er niks aan de hand is.

Kortom: digitaal betalen en bankieren is en blijft veilig, zolang je je persoonlijke codes voor jezelf houdt en waakzaam blijft.

Wat doet de bank om jou zo goed mogelijk te beschermen tegen phishing?

 

Banken hebben verschillende systemen ingebouwd om transacties veilig te laten verlopen en de fraude naar aanleiding van phishing zo veel mogelijk te voorkomen en/of  in te dijken. Zo is er sinds een tiental jaar tweestapsauthenticatie vereist bij online en mobiel bankieren. De klant identificeert zichzelf aan de hand van twee elementen – een kaart of telefoon, een pincode, een vingerafdruk of een gezichtsscan – om e-betalingen te initiëren.

De banken investeren in intensieve monitoring en maken op die manier veel schade ongedaan. Deze inspanningen leveren opmerkelijke resultaten: meer dan 75% van alle frauduleuze overschrijvingen (waarvoor een gephishte responsecode werd gebruikt) wordt door de banken gedetecteerd en geblokkeerd of teruggevorderd.

Het garanderen van vlot en snel betaalverkeer én efficiënte fraudedetectie is een moeilijk en delicaat evenwicht. Het vergt continue investeringen in personeel en infrastructuur vanuit de banksector, maar de resultaten zijn hoopgevend.

Ook wordt volop ingezet op sensibiliseringsacties, waarbij we iedereen willen oproepen om waakzaam te zijn voor phishing en online fraude. Campagnes met tips, zowel op sociale media als op tv en radio, bereikten een groot doelpubliek. Maar het aantal fraudegevallen blijft toenemen en dus is er nog werk aan de winkel. Sensibiliseringscampagnes zullen altijd belangrijk blijven, maar de financiële sector doet veel meer dan dat.

 

Samen voeren we de strijd op

 

Gezien de aard van het probleem zijn er niet alleen technische werkgroepen met financiële experten die informatie uitwisselen om zoveel mogelijk fraude te detecteren,  maar maken we ook werk van samenwerkingsverbanden met andere stakeholders. Zo lopen er initiatieven in samenwerking met telecomoperatoren, parket, politie, overheidsinstanties en justitie om phishing in al zijn dimensies en verschijningsvormen aan te pakken. Samen willen we ook de sensibiliseringsboodschap zo breed mogelijk verspreiden.

Phishing is uitgegroeid tot een maatschappelijk probleem. De fraudeurs slaan alsmaar meer toe en door hun diverse manier van werken, blijft geen enkele sector gespaard. Iedereen is betrokken partij en dat maakt van online veiligheid een gedeelde verantwoordelijkheid. Alleen samen kunnen we deze strijd aan.

 

3 manieren om phishing te voorkomen

 

Phishing kan voorkomen worden. Je bent fraudeurs altijd te snel af als je consequent onderstaande regels respecteert:

  • Geef nooit je pincode of codes gegenereerd door je kaartlezer naar aanleiding van een bericht via email, sms of sociale media of via de telefoon.
  • Negeer berichten die je via een link naar een (valse) betaalsite of een (nagemaakte) website van je bank brengen.
  • Voer alleen overschrijvingen uit in de vertrouwde app van de bank op je smartphone of typ zelf het adres van de gewenste bankwebsite in je browser. Let dus op met zoekmachines, want ook zo kunnen fraudeurs je naar valse websites leiden

Iets verdacht opgemerkt?

 

Een sms, e-mail of brief ontvangen waarvan je vermoedt dat het phishing is? Wees op je hoede en meld dit aan phishing@bankdomeinnnaam en aan verdacht@safeonweb.be. Stuur het phishingbericht door en verwijder het daarna.

 

Toch slachtoffer?

 

Ben je toch in de val gelopen, dan onderneem je best volgende stappen:

  • Bel Card Stop op 070 344 344 
  • Breng je bank op de hoogte.
  • Verzamel alle gegevens om de feiten en de geleden schade te bewijzen.
  • Doe meteen aangifte bij de politie.