Een bericht, een viercijferig bedrag en het gebruikelijke nummer om te bellen “om alles te blokkeren”. Deze drie ingrediënten zijn voldoende om een van de meest wijdverspreide oplichtingspraktijken van de afgelopen maanden te veroorzaken, waarbij de naam Nexi wordt gebruikt om de ontvanger ervan te overtuigen zelf zijn kaartcodes af te geven.
Hoe de boodschap is opgebouwd
De tekst volgt altijd hetzelfde patroon en communiceert dat er een uitgave is geautoriseerd, vaak een aankoop en/of hotelboeking, voor een bedrag van ongeveer honderden/duizenden euro’s. Er verschijnt een telefoonnummer in de wachtrij waarmee u contact kunt opnemen als de handeling niet door de eigenaar is uitgevoerd. Nexi beschrijft deze regeling op haar website als een van de meest voorkomende onder de ontvangen meldingen en plaatst het expliciet onder de fraudetechnieken die actief zijn op het sms-kanaal, samen met phishing, vishing, spoofing en SIM-swap. Door het aangegeven nummer te bellen, komt u in contact met een nepoperator (soms een persoon, soms een systeem dat zijn stem simuleert) die u vraagt om kaartgegevens, pincodes of codes te bevestigen om de veronderstelde betaling te blokkeren. In een meer uitgebreide variant wordt het slachtoffer zelfs begeleid om een app buiten de officiële platforms te downloaden en de fysieke kaart dicht bij de smartphone te houden voor een fantoomwijziging van de pincode, een stap waarmee fraudeurs zonder zijn medeweten een echte betaling kunnen autoriseren. Deze methode wordt ook door Nexi gedocumenteerd in de antifraudewaarschuwingen.
Waarom het werkt: De techniek heet smishing
Het mechanisme heet smishing, een samenvoeging van sms en phishing: hierbij verandert het kanaal ten opzichte van de klassieke frauduleuze e-mail, maar het doel blijft hetzelfde: het slachtoffer via misleiding tot een actie aanzetten. De postpolitie heeft haar werking gereconstrueerd in verschillende gevallen die zijn geanalyseerd door het Operations Center for Cyber Security, waarbij wordt benadrukt hoe de berichten vaak afkomstig zijn van nummers die, in de ogen van de smartphone, een gesprek lijken voort te zetten dat al met de bank of met de echte instelling is begonnen. Het hoge bedrag is niet toevallig: hoog genoeg om alarm te slaan, niet zozeer om vergezocht te zijn.
Hoe onderscheid je de echte sms van de neppe
Nexi geeft enkele criteria aan voor het herkennen van authentieke communicatie. Hij zal nooit vragen, noch per sms, noch telefonisch, om PIN-, Key6- of OTP-codes door te geven, en neemt in zijn berichten geen links op naar pagina’s buiten het nexi.it-domein of dat van de bank van de eigenaar. Elke link moet worden gecontroleerd zonder erop te klikken, waarbij wordt gecontroleerd of deze daadwerkelijk verwijst naar de officiële website (nexi.it). Het bedrijf herinnert ons eraan dat het telefoonnummer dat we moeten contacteren in geval van twijfel alleen het nummer is dat op de website of op de achterkant van de kaart staat, en nooit het nummer dat in het verdachte bericht staat.
Wat te doen als het bericht daadwerkelijk aankomt
De eerste stap, hoe eenvoudig ook die over het hoofd wordt gezien, is om het nummer dat in de sms wordt vermeld, niet terug te bellen. Als u vermoedt dat u al gevoelige gegevens heeft verstrekt, biedt Nexi een dubbel kanaal: onmiddellijke blokkering van de kaart via de Nexi Pay-app of het persoonlijke gedeelte van de site, of een oproep naar de Blokkeerservice op het gratis nummer 800.15.16.16. Hetzelfde portaal verzamelt meldingen van verdachte sms’jes en e-mails op het adres ordini.phishing@nexigroup.com, handig voor het monitoren van lopende campagnes, zelfs als u niet in de val bent gelopen. Dan blijft er nog het pad van de rapportage over. We herinneren ons hoe de postpolitie het PS Online Commissariat-portaal beschikbaar stelt om pogingen tot computerfraude online te melden, een stap die er in verschillende gevallen toe heeft geleid dat de bedragen op de rekeningen van de begunstigden werden bevroren voordat ze werden opgenomen.
