Foto: PixelBiss/Shutterstock
De cryptowereld is soms net een jungle. Om te overleven moet je met allerlei zaken rekening houden. Bovendien is een foutje zo gemaakt en liggen oplichters op de loer. Cryptocriminelen gaan steeds geraffineerder te werk. Zo is het oppassen geblazen voor phishing mails van de ‘Belastingdienst’. Deze oplichterstruc maakt slachtoffers in verschillende Europese landen, waaronder Nederland.
Wil je nu altijd op de hoogte zijn – volg ons net als duizenden anderen gratis op Whatsapp.
Phishing via Belastingdienst en MijnOverheid
Cybercriminelen misbruiken de officiële websites van de Belastingdienst en MijnOverheid om hun e-mails geloofwaardig te laten lijken. Dit blijkt uit een onderzoek van IB-Group. Ze kopiëren letterlijk stukken tekst of lay-out van deze sites om legitiem over te komen. In principe maken ze misbruik van het vertrouwen van mensen in overheidswebsites.
In een e-mail gebruiken de oplichters een veelvoorkomende phishing-truc. De cybercriminelen zetten mensen onder druk met dreigementen over hoge boetes en strakke deadlines. Ze willen dat hun slachtoffers in paniek raken en zonder nadenken handelen. Bovendien kennen veel mensen nog niet alle regels op het gebied van crypto en belastingen. Daardoor lopen ze een hoger risico om het slachtoffer te worden van fraude.
Op dit moment moet je zelf jouw cryptobezit opgeven in je belastingaangifte. De Belastingdienst vraagt daar (nog) niet actief om. Ontvang je plotseling wel een e-mail of bericht met de vraag om jouw cryptogegevens te delen? Dan moeten direct alarmbellen gaan rinkelen.
Nagemaakt website
Zodra iemand op een foute link in een e-mail heeft geklikt, komt hij of zij op een nagemaakte website terecht. De site lijkt sprekend op die van de Belastingdienst of MijnOverheid, alleen het webadres verraadt dat er iets niet klopt. Zelfs de inlog via DigiD is nagemaakt om alles nog echter te laten lijken.
Bezoekers van de nepwebsite krijgen de vraag om hun persoonlijke gegevens in te vullen, zoals naam, adres, geboortedatum, e-mailadres en telefoonnummer. Ook moet men soms een IBAN bankrekeningnummer of wallet leverancier delen. Soms is er sprake van een invulregel waar mensen kunnen aangeven hoeveel crypto er in hun wallet(s) zit.
Seed phrase invullen
Nadat het invullen van jouw persoonlijke gegevens ben je nog niet klaar. Mogelijk krijg je de vraag om de seed phrase in te vullen van je wallets. Dit is een reeks van 12 tot 24 veel voorkomende woorden in het Engels. Ze geven toegang tot alle digitale valuta in een cryptowallet. Cybercriminelen die de seed phrase weten te achterhalen, krijgen dus toegang tot het digitale geld van een investeerder.
Oplichters suggereren dat het geven van een seed phrase een normale stap is om een wallet te koppelen. Ze vertellen onwetende cryptobeleggers bijvoorbeeld dat ze op die manier hun cryptobezittingen kunnen opgeven.
De ingevulde seed phrase wordt die direct doorgestuurd naar een Telegram-bot of een adminPanel V2.0. Deze zijn in handen van de aanvaller(s). De kans is groot dat jouw cryptomunten binnen enkele minuten uit de wallet verdwenen zijn.
Sommige criminelen gebruiken scripts. Daardoor kunnen gebruikers een pagina niet opslaan, niet terugklikken, de URL niet aanpassen of inspecteren, en zelfs het venster niet verkleinen. Probeer je toch iets te achterhalen? Dan wordt de hele inhoud direct gewist. Zo maken aanvallers het vrijwel onmogelijk om hun werkwijze te analyseren of te achterhalen hoe de oplichting werkt.
Cybercriminelen roven smart contracts wallets leeg
Sommige varianten van de phishing0software gaan nog een stap verder. Ze leiden mensen bijvoorbeeld naar een nagemaakte website van het Centraal Justitieel Incassobureau (CJB). Vervolgens moet men een betaling doen via WalletConnect. Dit een methode waarmee criminelen ook toegang krijgen tot andere wallets waarvoor geen seed phrase nodig is.
Het Centraal Justitieel Incassobureau (CJIB) int inderdaad boetes, maar gebruikt WalletConnect daar nooit voor. Toch word je op deze nepsite onder druk gezet om zogenaamd een boete te betalen. Om dat te doen, moet je je eigen wallet verbinden met die van de oplichters. En dat is precies waar ze op uit zijn.
Het probleem ontstaat wanneer een nietsvermoedende gebruiker zijn wallet koppelt en de QR-code op de nepsite scant, Zijn of haar wallet is dan verbonden met die van de oplichters, via een kwaadaardige dApp die alles leegtrekt. Vervolgens begint er een script te draaien. Aanvallers vragen om transacties te verrichten die zogenaamd nodig zijn om in te loggen en crypto op te geven bij de Belastingdienst.
Sommige mensen kennen dit type script onder de naam ‘Inferno Drainer’. De technische naam is ‘wallet-connect-v4.js.’ Het script doet zich voor als iets onschuldigs, zoals een simpele verificatie om te bevestigen dat digitale valuta van jou zijn of om je wallet zogenaamd te koppelen. Na goedkeuring halen cybercriminelen jouw wallet echter helemaal leeg.
Na het stelen van cryptomunten en het buitmaken van persoonlijke gegevens, krijg je een neppe ‘succes’ melding te zien. Daarna word je automatisch doorgestuurd naar Google, alsof er niets is gebeurd. Behalve dan dat jouw digitale valuta is verdwenen als sneeuw voor de zon.
Zo word jij nooit slachtoffer van crypto-oplichting
Crypto-oplichters zitten nooit stil. Ze zijn altijd op zoek naar de volgende manier om je te misleiden. Zodra mensen doorhebben dat ze kunnen worden opgelicht met nep-airdrops, loze beloftes of ‘gouden bergen’, schakelen criminelen moeiteloos over naar nieuwe trucs.
De Belastingdienst zal je nooit vragen om gevoelige gegevens zoals je seed phrase of inloggegevens. De instantie probeert ook nooit verbinding te maken met jouw wallets, niet voor boetes en niet voor het innen van belasting.
Laat je niet bang maken en controleer altijd goed hoe de URL eruit ziet. Een website is na te maken maar een url niet. Let ook heel goed op de afzender van een e-mail. De meeste e-mailadressen van oplichters zien er onlogisch ut, bijvoorbeeld [email protected].
Heb je ergens twijfels over? Controleer dan eerst of je te maken hebt met een officieel e-mailadres van de overheid. Klopt het niet, klik dan op de ‘delete’ knop. Laat je vooral niet onder druk zetten en klik nooit op een link in een e-mail voordat je de zaak honderd procent vertrouwt.
Alle Nederlanders & Belgen ontvangen €20 bitcoin gratis
Klaar om stappen in crypto te zetten? Of het nou Bitcoin, Ethereum of PEPE is, als lezer van Crypto Insiders ontvang jij een welkomstbonus tot 20 euro gratis in bitcoin op OKX.
Meld je vandaag aan voor een gratis OKX-account en ontvang jouw gratis bitcoin bonus.
- Meld je aan bij OKX
- Doe de eerste storting
- Ontvang 20 euro gratis bitcoin
Deze aanbieding is voor een beperkte tijd beschikbaar.
🎧 Luistertip: In onze podcast De Cryptotafel ontrafelen we de waarheid achter Ripple en XRP – bankmunt van de toekomst of dure illusie?
