PlusAchtergrond

Al 150.000 meldingen van cybercrime: zo gaat de Belastingdienst dat tegen

Er zijn dit jaar al 150.000 meldingen binnengekomen van cybercrime bij de Belastingdienst, omdat mensen door de coronapandemie er vatbaarder voor zijn.Beeld Hollandse Hoogte / EPA

Cybercriminelen proberen steeds vaker uit naam van de Belastingdienst Nederlanders geld af te troggelen via phishingmails, appjes en sms’jes. Het aantal fraudemeldingen stijgt sinds de corona-uitbraak spectaculair, constateert het Security Operations Center (SOC) van de Belastingdienst in Apeldoorn.

Dit jaar kreeg de fiscus al 150.000 meldingen binnen over frauduleuze phishingmails en apps. “Dat is ruim vier keer zoveel als de 35.000 in 2019 en het is pas november,” vertelt Jan Polkerman, chief technology officer van de Belastingdienst. In 2017 kreeg de Belastingdienst nog slechts 7700 fraudemeldingen.

Het fors stijgende aantal meldingen correspondeert met wat het SOC waarneemt, zegt hoofd Karl Lovink. Met enkele tientallen experts probeert Lovink in Apeldoorn phishing-websites zo vroeg mogelijk offline te halen. “Phishing-berichten worden steeds geraffineerder. Cybercriminelen zijn tegenwoordig goed opgeleid en investeren vaak flink geld in dergelijke phishing-operaties.”

Gelekte e-mailadressen

Bovendien zijn de e-mailadressen van miljoenen Nederlanders inmiddels gelekt en op het dark web ‘voor een paar knaken’ verkrijgbaar. “In combinatie met andere gehackte persoonsgegevens kunnen cybercriminelen steeds persoonlijker mails sturen.”

De Betaalvereniging Nederland bevestigt het door de Belastingdienst geschetste beeld. “Nederlanders zijn inmiddels gewend aan phishing zogenaamd door banken, vandaar dat criminelen meer en meer de namen van andere organisaties gebruiken, waarvan de Belastingdienst een belangrijke is,” stelt woordvoerder Berend Jan Beugel. “Maar we zien ze ook vaker uit naam van het CJIB of incassobureaus.”

Ook de Fraudehelpdesk krijgt veel meldingen over emailfraude: sinds maart zijn het er al 200.000. In 2019 wisten digitale boeven circa 8 miljoen euro van bankrekeningen te plunderen. Cijfers over dit jaar heeft de Betaalvereniging Nederland pas komend voorjaar, zegt Beugel. “Wij verwachten zeker een verdubbeling.” Eerder waarschuwde de Betaalvereniging ook voor een sterke stijging van het aantal gevallen van spoofing, waarbij criminelen zich voordoen als medewerker van een bank.

Dreigen met deurwaarder

Een andere opkomende online fraudevorm is oplichting via malafide webshops of Marktplaats, meldt Interpolis. De verzekeraar noteerde dit jaar al 4500 oplichtingsgevallen, 12 procent meer dan vorig jaar. Marktplaatsverkopers vragen in zulke gevallen de koper ter verificatie een bedrag over te maken via een betaallink. Vervolgens wordt er geld afgeschreven zonder dat het product wordt geleverd.

De Belastingdienst beklemtoont nooit sms’jes, WhatsAppberichten of e-mails te zullen versturen waarin wordt gedreigd met inbeslagname of een deurwaarder als niet onmiddellijk via overboeking wordt betaald. “Ook zullen we nooit telefonisch vragen om te betalen,” vertelt directielid Jan Polkerman.

iDeal

‘Geachte meneer of mevrouw, uw openstaande schuld met kenmerk BJM9020 is na meerdere herinneringen nog niet voldaan. Op 19 oktober 2020 zal de gerechtsdeurwaarder overgaan tot executoriale beslaglegging. U kunt beslaglegging voorkomen door het gehele bedrag direct te voldoen.’ Dit mailtje met als header ‘Aanmaning van de Belastingdienst in uw Berichtendienst op Mijn Overheid’ troffen duizenden Nederlanders vorige maand in hun mailbox aan. Direct na de dreigende tekst volgde een iDeal-link waarmee in enkele klikken betaald kon worden.

In het Security Operations Center (SOC) aan de rand van de Apeldoornse bossen, op een steenworp van Het Loo, poogt een team van enkele tientallen knappe koppen te voorkomen dat dergelijke phishingmailtjes bij belastingplichtigen belanden. Ook worden de systemen van de Belastingdienst er veilig gehouden. De ict-helden van de fiscus huizen diep weggestopt in het enorme pand. Om het ommuurde zenuwcentrum te bereiken moet eerst een doolhof van steriele gangen worden doorgewandeld, met om de zoveel meter een afgesloten sluis of deur.

Eenmaal aangekomen zien we een grote zaal vol metershoge schermen met cijfers, grafieken en tabellen. We krijgen uitleg van Jan Polkerman, Chief Technology Officer (CTO) van de Belastingdienst en Karl Lovink, Lead van het SOC. Op één van de schermen worden indicatoren van een mogelijke DDoS-aanval getoond, die de systemen van de fiscus zou kunnen platleggen. “Groen is oké, oranje betekent dat er wat aan de hand is en bij rood is de drempelwaarde overschreden,” zegt hij.

DDoS-aanvallen

Het team bestudeert onder meer of het internetverkeer van de fiscus zo veel mogelijk netjes via Nederland wordt afgehandeld en niet ineens via landen als Pakistan of Iran. Momenteel is het beeld rustig. “Voorlopig maken we ons geen zorgen, maar bij rood schakelen we onmiddellijk KPN en Tele2 in, dat zijn onze providers.” Het SOC houdt ook regelmatig DDoS-oefeningen om echte aanvallen te voorkomen. 

Zijn DDoS-aanvallen pas te bestrijden als ze gebeuren, bij phishingpogingen uit naam van de Belastingdienst poogt het SOC in te grijpen vóór ze plaatsvinden. Een soort Minority Report avant la lettre. “De eerste twee uren na een phishingmail is cruciaal: dan klikken mensen het snelst,” stelt Lovink. “Daarom moet je verdachte sites meteen uit de lucht halen. Na drie dagen heeft het weinig zin meer.”

Polkerman wijst naar één van de andere schermen met daarop een lijst aan domeinnamen. “Via een speciale dienst van onder andere Google kunnen we live zien welke nieuwe certificaten worden aangevraagd voor pas geregistreerde websites met de naam ‘Belastingdienst’ erin of iets dat daarop lijkt.” Iedere site moet een dergelijk officieel certificaat bezitten.

Zo heeft net iemand de domeinnaam Belastingdienst-ideal.nl geregistreerd, valt op het scherm te zien. “Die is niet van ons, maar van cybercriminelen. De procedure is nu: aankloppen bij de betreffende provider en vragen of die de website uit de lucht haalt, voor dat deze online komt.”

Geraffineerd

Lovink en Polkerman zien computercriminelen steeds geraffineerder te werk gaan. “Phishing is een economie op zichzelf, waarbij groepen mensen samenwerken.” Er is een persoon die de software schrijft, plus een ander die de campagne daadwerkelijk uitvoert. 

Zo arresteerde de politie begin deze maand een 19-jarige man uit Almelo die zulke phishingsoftware schreef. Hij had daar 100.000 euro mee verdiend. Dan zijn er uiteraard e-mailadressen nodig. Lovink: “Inmiddels zijn miljoenen e-mailadressen gehackt of uit databases gelekt, je kunt ze op het dark web kopen voor een paar knaken.” Een waarschuwing aan de lezer: “Ga er vanuit dat ook jouw adres gelekt is.”

Gebrekkig Nederlands

Samen met andere gelekte persoonlijke gegevens - zoals geboortedatum - worden Nederlanders met steeds persoonlijkere phishingmailtjes bestookt. De tijd van gebrekkig Nederlands is daarbij al lang voorbij. Het verklaart waarom mensen blijven betalen. Neem het aan het begin beschreven phishingmailtje: bij een vergelijkbaar bericht maakten onlangs maar liefst 400 Nederlanders 46 euro over, in totaal ruim 18.000 euro, vertelt Lovink. Het gevraagde bedrag was overigens niet voor niets laag gekozen. “Criminelen wisten dat ze bij betalingsproviders tot maximaal 50 euro anoniem in bitcoins kunnen omzetten.”

Soms gebruiken criminelen zelfs heel brutaal een echt e-mailadres van de Belastingdienst. “Een aantal weken terug werden er ineens 10.000 mails van het adres ‘no-reply@belastingdienst.nl’ verzonden,” vertelt Polkerman. “Omdat wij echter zoveel maatregelen treffen, belanden die standaard in je spambox.”

‘Wegens corona’

Digitale boeven weten handig op de actualiteit in te spelen. Die actualiteit is normaliter de aangiftecampagne in het voorjaar, maar tegenwoordig uiteraard corona. “Vanaf maart-april zagen we ineens talloze coronagerelateerde phishingmails opduiken.” Aanvankelijk gebeurde dat nog weinig geraffineerd: aan de bestaande mailtjes werd simpelweg ‘wegens corona’ toegevoegd.

Die trend heeft zich na de eerste lockdown voortgezet. Cybercriminelen weten dat mensen veel meer achter hun pc zitten en versturen miljoenen phishingberichten via mail of - wat steeds vaker voorkomt - SMS en WhatsApp. Dat weet de Belastingdienst, omdat Nederlanders verdachte e-mails of appjes kunnen melden via het e-mailadres ‘valse-email@belastingdienst.nl’. Dat adres is inmiddels behoorlijk bekend. Kreeg de fiscus drie jaar geleden 7700 meldingen, in 2019 waren dat er al 35.000. En dit jaar kwamen er al 150.000 meldingen binnen. “En dat is alleen tot november.”

Het betekent dat de schade door phishing dit jaar dankzij corona flink zal oplopen, verwacht Betaalvereniging Nederland. In 2019 wisten cybercriminelen 8 miljoen euro van burgers af te troggelen. Om het bedrag zo laag mogelijk te houden werkt de Belastingdienst actief samen met internetproviders, OM, politie, toezichthouder ACM, banken en Betaalvereniging Nederland.

Inmiddels heeft het SOC dankzij zijn grote ervaring een goed beeld waar de cybercriminelen vandaan komen. Vaak is dat nog uit het buitenland, zoals Oost-Europa. “Een deel komt echter absoluut uit Nederland, weten we via de signalen die we uit ons informatienetwerk binnenkrijgen,” zegt Lovink.

Al met al lukt het de Belastingdienst steeds beter om computercriminelen voor te blijven. Het blijft echter een kat-en-muisspel. “Digitale boeven zijn steeds beter geschoold en investeren forse bedragen in hun illegale activiteiten,” zegt Polkerman. “Moeten ze een euro investeren om er twee te verdienen dan doen ze dat.” Daarbij blijft het aloude adagium gelden: massa is kassa. “Hoe meer mailtjes je verstuurt, hoe meer mensen zullen betalen. Ook wij moeten fors blijven investeren om dat te voorkomen.”

Meer over

Wilt u belangrijke informatie delen met Het Parool?

Tip hier onze journalisten


Op alle verhalen van Het Parool rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@parool .nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden