Datalekvergoeding
News 20 januari 2020

Nieuwe vorm van cyberfraude: datalekvergoeding

In de categorie cyberfraude verdiepen we ons bij FERM voornamelijk in tank storage spoofing, omdat deze vorm van oplichting specifiek is gericht op ondernemers in het havengebied, en omdat er recent opnieuw enkele voorvallen hebben plaatsgevonden waarbij gedupeerden voor grote bedragen zijn opgelicht. Maar er is ook een nieuwe, veel algemenere variant van oplichting opgedoken, die zich op particulieren richt: datalekvergoeding.

Datalekvergoeding

Dankzij onderzoek van Kaspersky is er een nieuwe truc voor online fraude ontdekt waarbij mensen onterecht kunnen denken dat ze recht hebben op een vergoeding voor gelekte persoonlijke gegevens. Om die 'vergoeding' te ontvangen, verlangen scammers dat je een tijdelijk Amerikaans social security-nummer koopt voor ongeveer 9 dollar per stuk. Er zijn al mensen gedupeerd in Rusland, Algerije, Egypte, de VAE en andere landen. Voor zover bekend, zijn er nog geen Nederlandse slachtoffers.

De scam die door Kaspersky werd geïdentificeerd betreft een website die zogenaamd eigendom is van het Personal Data Protection Fund, dat is opgericht door de US Trading Commission. Zoals gezegd betaalt het fonds een vergoeding aan degenen die mogelijk het slachtoffer zijn geworden van gelekte persoonlijke gegevens en het is beschikbaar voor inwoners uit alle landen van de wereld.

Als je geïnteresseerd bent, biedt de site aan om te controleren of er ooit gebruikersgegevens van jou zijn gelekt. Hiervoor moet je je achternaam, voornaam, telefoonnummer en socialmedia-accounts invullen. Als je dat hebt gedaan, wordt een waarschuwing getoond die aangeeft dat er gegevens, zoals foto's, video's en contactgegevens, zijn gelekt waardoor je recht hebt op een vergoeding van duizenden dollars. Je wordt vervolgens niet gevraagd om alleen je rekeningnummer in te voeren en te wachten tot je de betaling ontvangt; gebruikers moeten hun eigen social security-nummer opgeven (SSN – een negencijferig nummer dat wordt toegekend aan Amerikaanse staatsburgers en permanente en tijdelijke ingezetenen met een baan).

Wat je ook doet - of je nu geen SSN hebt of het juiste bestaande SSN invoert - de website zal melden dat er fouten zijn opgetreden en er wordt tegen een betaling van 9 dollar een tijdelijk SSN aangeboden. Na akkoord wordt het slachtoffer doorgestuurd naar een betalingsformulier in het Russisch of Engels met de aankoopprijs in respectievelijk roebel of dollar. Het specifieke formulier is afhankelijk van het IP-adres van het slachtoffer.

“De scammers zijn waarschijnlijk Russisch, wat blijkt uit het verzoek om betaling in roebel. Ook zijn er de verdachte overeenkomsten van de scam met andere aanbiedingen om gemakkelijk geld te verdienen, waar inwoners van Rusland en het GOS al regelmatig zijn ingetuind. De e-bait in die scams varieert, maar de scams zijn meestal in het Russisch. Toen sommige organisaties gebruikers eenmaal gingen uitbetalen, zagen oplichters kans om hier ook munt uit te slaan”, aldus Jornt van der Wiel, beveiligingsexpert bij Kaspersky.

Om jezelf te beschermen tegen de potentiële risico's van online fraude, adviseren de experts van Kaspersky het volgende:

  • Vertrouw aangeboden betalingen niet. Als iemand een grote uitbetaling belooft voor zoiets eenvoudigs als deelname aan een enquête, is dit vrijwel zeker een scam. En als je gevraagd wordt om een bedrag te betalen om de vergoeding te kunnen ontvangen, kun je er helemaal zeker van zijn dat je wordt opgelicht.
  • Gebruik betrouwbare informatiebronnen. Zoek naar de organisatie om te zien of deze daadwerkelijk bestaat. Is dit het geval, bekijk de website dan goed. Let op het taalgebruik: een gerenommeerde organisatie publiceert geen tekst die barst van de (type)fouten.
  • Gebruik een betrouwbare beveiligingsoplossing voor uitgebreide bescherming tegen diverse soorten dreigingen.

Lees hier meer over de datalekscam.