Eerste scam- en phishingberichten na Odido-hack een feit

Nu vrijwel alle gegevens van klanten van Odido en Ben op straat liggen, beginnen de berichten met scams en phishing langzaamaan binnen te druppelen bij gedupeerden van de hack. Omdat er steeds meer gegevens zijn gelekt, kunnen scammers geraffineerde berichten schrijven die in sommige gevallen ook echt persoonlijke informatie kunnen bevatten.

Zo kan het zijn dat je een bericht ontvangt waarbij je met je voor- en/of achternaam wordt aangesproken en je daarbij bijvoorbeeld een vraag krijgt om op een link te klikken om gegevens aan te passen.

Andere mensen krijgen berichten met een wat dreigendere toon. Zo kregen wij melding van een e-mailbericht waarin werd verteld dat er allerlei inloggegevens bekend zijn, zoals wachtwoorden van verschillende diensten, ook van verschillende apparaten. Ook staan er persoonlijke gegevens in, en is als afzender hetzelfde e-mailadres gebruikt als de ontvanger.

In het bewuste bericht wordt de ontvanger bedreigd: als er niet binnen afzienbare tijd een bepaald bedrag wordt overgemaakt in bitcoin - in dit specifieke geval ging het om 600 dollar - dan zouden alle gegevens bekend worden gemaakt. Feit is natuurlijk dat die gegevens al naar buiten zijn gebracht, maar het riekt natuurlijk wel naar chantage.

Wat kun je zelf nu doen? Het belangrijkste: wees op je hoede. Zodra je een mailtje ontvangt met het verzoek om je gegevens aan te passen, controleer dan goed de link: gaat deze wel echt naar de omgeving van het bedrijf dat zegt wie ze zijn?

Word je gebeld door een anoniem nummer? Neem dan in eerste instantie de telefoon gewoon niet op, hoe gek dat misschien voor sommige mensen ook klinkt. Ja, het kan een belangrijk gesprek zijn, maar als het zo belangrijk is dat ze jou willen bereiken, dan spreekt diegene of het bedrijf dat jou probeert te bellen, heus wel een voicemailbericht in of bellen ze vrij snel weer opnieuw. Een hacker die in het bezit is van jouw telefoonnummer zal doorgaans niet snel achter elkaar bellen, of een voicemailbericht achterlaten.

Wordt er wèl een bericht achtergelaten? Luister deze dan goed af en bepaal voor jezelf of de voicemail overtuigend klinkt, geen buitenlandse taal of -accent bevat en of je niet wordt gevraagd terug te bellen naar een in het voicemailbericht genoemd telefoonnummer, tenzij je dat telefoonnummer hebt herkend als zijnde van bijvoorbeeld een familie of bekende, of van een instantie zoals een ziekenhuis.

Niet helemaal zeker van de herkomst? Google het telefoonnummer en je ziet al snel genoeg of dit een legitiem telefoonnummer is. Pas extra goed op bij nummers beginnend met 0900, 0906 of 0909: hier kan het zijn dat je extra kosten moet betalen die zomaar kunnen oplopen tot enkele euro's per minuut. Pas al helemaal op met buitenlandse nummers.

Wanneer telefoonnummers zijn gelekt - en dat komt vaker voor - is er ook een grote kans dat je sms-berichten ontvangt met een inhoud die enige urgentie vereist. Bijvoorbeeld een melding over een mislukte incasso (met als afzender Odido, de Belastingdienst of CJIB) en een link waar je op moet tikken voor meer informatie. Klik nooit op zo'n link: vaak wordt er een afgekorte url getoond, waardoor het erg lastig is om te achterhalen waar deze naartoe leidt zonder deze te openen.

De Belastingdienst of het CJIB sturen nooit e-mailberichten of sms'jes met een betaalverzoek voor een openstaande rekening of boete; die overheidsdiensten doen dat alleen via de post, Mijn Overheid of het digitaal loket van het CJIB zelf.