Gegevenslekken verschijnen op allerlei manieren in het nieuws, en sinds kort ook de boetes ervoor, waarvan sommige mogelijk tot in de miljarden lopen voor de verantwoordelijke bedrijven. Als bedrijven moeten betalen voor gegevenslekken, dan zal een gedeelte van dat geld toch wel bij de slachtoffers terechtkomen, nietwaar?
Verrassing van de US Trading Commission
Onlangs werd onze aandacht getrokken door een eigenaardige website. Op de hoofdpagina van de website, ogenschijnlijk eigendom van een zeker Personal Data Protection Fund (Fonds voor Bescherming van Persoonlijke Gegevens), staat dat het fonds is opgericht door de “US Trading Commission”.
Op het eerste oog ziet de website er prima uit, met een ingetogen design en een fors bedrag aan de rechterkant. Een grote banner bovenaan de pagina kondigt aan dat het fonds een compensatie toekent voor lekken van persoonlijke gegevens, waar burgers van elk land over de hele wereld voor in aanmerking kunnen komen.
Voor de geïnteresseerden biedt de site een check om te kijken of uw gegevens ooit gelekt zijn. Hiervoor moet u uw voor- en achternaam, telefoonnummer en social media-accounts opgeven. Boven het invulveld ziet u een waarschuwing dat het invoeren van de gegevens van ander persoon stevig bestraft kan worden.
Maar dan blijkt echter dat de website elk soort informatie accepteert, ook als dit volledige abracadabra is. We probeerden het zelf uit met de persoonlijke gegevens van een burger met de naam fghfgh fghfgh. De site dacht er even over na en maakte zogenaamd verbinding met een database met informatie over gegevenslekken…
…en kijk eens aan: het blijkt dat ons fictieve personage met een onuitspreekbare naam inderdaad slachtoffer is geweest van een gegevenslek. Bovendien kwamen we erachter dat iemand de foto’s, video’s en contactinformatie van deze persoon al gebruikt had, dus fghfgh had recht op een compensatie ter waarde van $ 2.500!
Koop een tijdelijk SSN
Men zou denken dat het voldoende is om een rekeningnummer te verstrekken en te wachten tot de betaling wordt gestort, maar dat is niet het geval. Deze liefdadigheidsinstelling kan geen geld overmaken zonder uw SSN te kennen, een negencijferig nummer dat wordt uitgegeven aan Amerikaanse staatsburgers, evenals permanente en tijdelijke inwoners die er werken.
Dit unieke nummer wordt voor bijna alles gebruikt in de V.S., inclusief het betalen van belastingen, het solliciteren voor een baan, een huis huren, enzovoorts.
Maar als u er geen heeft, vrees dan niet: u kunt simpelweg het vakje naast de regel “I’am don’t have SSN” aanvinken (Engelse grammatica lijkt niet de sterkste kant van deze scammers te zijn).
Als u geen SSN heeft, biedt de site u de mogelijkheid om dit probleem te omzeilen door u een tijdelijk nummer te verkopen! In vergelijking met het bedrag dat u ter compensatie wordt aangeboden, is het prijskaartje van $ 9 voor dat nummer een koopje.
Als u probeert de transactie te voltooien zonder een SSN te kopen, krijgt u een foutmelding van de website en wordt u nogmaals verzocht een tijdelijk nummer te verstrekken. En als u toevallig een geldig SSN verstrekt in het frauduleuze formulier, wordt u alsnog gevraagd om een tijdelijke te kopen.
Mensen die wel besluiten een tijdelijk SSN aan te schaffen, worden doorverwezen naar een betalingsformulier. Als u dat bijvoorbeeld vanaf een Russisch IP-adres doet, verschijnt dit betalingsformulier in het Russisch, en wordt de prijs voor de aanschaf ervan weergegeven in roebels. Dit is vreemd. Waarom zou een instelling van de Amerikaanse regering om een betaling in een buitenlandse munteenheid vragen?
Inwoners van andere landen worden waarschijnlijk doorverwezen naar een minder verdacht uitziend formulier in het Engels, waarin om een betaling in dollars wordt gevraagd.
Gaan Russische online scammers de internationale markt op?
Dit is natuurlijk een scam. Het Personal Data Protection Fund bestaat niet, noch bestaat de US Trading Commission, zoals u al kon raden. De naam van de echte organisatie die de scammers blijkbaar proberen te imiteren is de Federal Trade Commission, maar de FTC biedt niet zomaar zonder aanzien des persoons compensaties aan.
De scammers zelf zijn waarschijnlijke Russischtaligen, zoals blijkt uit het betalingsformulier met roebels, en er zijn verdachte overeenkomsten van deze scam met andere aanbiedingen om eenvoudig geld te krijgen, die vaak zijn gericht op inwoners van Rusland en Gemenebest van Onafhankelijke Staten.
Het lokaas in die verschillende vormen van oplichting varieert — weggevertjes, enquêtes, geheime pensioenspaarregelingen, zelfs een parttime baan bij een taxicentrale — maar die zijn normaal gesproken in het Russisch (zoals een aantal van de voorgaande links), en ze komen altijd op hetzelfde neer: de aantrekkelijke belofte van makkelijk te verkrijgen geld, gevolgd door een verzoek tot het betalen voor een goedkope dienst, of dat nu een toeslag, een betaling “ter bevestiging” of een tijdelijk SSN is.
Deze scam gebruikt dezelfde betalingssystemen als de vorige voorbeelden. Ook dit laat een bekend spoor achter dat wijst op de betrokkenheid van Russische cybercriminelen. Het enige verschil met de compensatie-scam is de uitgebreidere geografische doelgroep. Dit keer bevonden de slachtoffers zich niet alleen in Rusland en aangrenzende landen, maar ook in Algerije, Egypte, de Verenigde Arabische Emiraten en andere landen.
Hoe zorgt u ervoor dat u niet in deze val trapt
Dit soort scams zijn gericht op hoopvolle slachtoffers die zo’n aanbod niet verdacht zouden vinden. Daarom is onze belangrijkste tip om waakzaam te blijven:
- Vertrouw niets zomaar. Als iemand belooft een flink bedrag uit te betalen voor iets eenvoudigs als het deelnemen aan een enquête, is dat hoogstwaarschijnlijk een truc. En als u wordt gevraagd om een betaling te doen om het bedrag te ontvangen, kunt u er helemaal zeker van zijn dat dit oplichting betreft.
- Verifieer. Google de organisatie om te zien of ze echt bestaan, en als dat het geval is, bekijk de website dan aandachtig. Let goed op de taal: een betrouwbare organisatie publiceert geen teksten vol spel- en typfouten.
- Gebruik betrouwbare bronnen. Als u zich zorgen maakt over de veiligheid van uw gegevens, vooral wachtwoorden, kunt u op haveibeenpwned.com nagaan of u inderdaad bent getroffen door een lek. Deze hulpbron voor het zoeken naar gegevenslekken van expert in informatiebeveiliging Troy Hunt biedt de meest bijgewerkte informatie over gegevenslekken.
- Bescherm uzelf. Gebruik een betrouwbaar antivirussysteem met bescherming tegen phishing en online fraude, zoals bijvoorbeeld Kaspersky Internet Security.