Veel kerken ontvangen deze nepmail: Goedemiddag [naam], Heb je even? Ik heb je nodig om een taak voor me te doen. Ik kan niet praten aan de telefoon, ik heb een paar vergaderingen, dus schrijf gewoon terug hier. Hartelijke groeten, [bekende afzender]. En de afzender is dan een pastorale beroepskracht: dominee, priester, diaken uit de eigen gemeenschap. Ook gekregen? Deze 10 stappen kun je zetten:
Ik heb inmiddels vele voorbeelden voorbij zien komen van dominees, priesters of andere ambtsdragers uit protestantse gemeenten en katholieke parochies en hen kunnen bijstaan. Voorbeelden:
- een dominee op X.com (voorheen Twitter)
- een parochievicaris
- een parochie in het bisdom Rotterdam
- maar ook dominees in Gelderland, Overijssel en Drenthe, parochies in het bisdom Den Bosch en Roermond.
- Kortom: het komt op veel plekken voor.
De mail heeft altijd deze opzet:
- de échte naam van de échte dominee of échte priester.
- Een levensecht fake-mailadres, met de naam van de pastorale kracht, en gemaakt via Outlook.com, Hotmail.com of Gmail.com (of een andere grote maildienst). De opbouw van het emailadres is bijvoorbeeld:
[dominee].[naamdominee]@[gmail.com]
[voorletters].[echte-achternaam]@[hotmail.com]
[voorletters].[achternaam].[naamkerk]@[outlook.com] - De oproep om contact op te nemen, maar alleen via het opgegeven mailadres met een excuus erbij (ik zit in een vergadering, kan niet praten aan de telefoon).
- Er wordt aangedrongen op spoed (wat er niet is).
- De ondertekening is van de echte pastorale kracht, soms met voornaam, soms met de juiste titelatuur en juiste voorletters.
Zo zien ze eruit:
Onderwerpsregels die voorkomen zijn: Cadeaubonnen, Dringend, Contact. Of soortgelijke onderwerpen.
Een variant op het nepbericht is: Ik heb hulp nodig bij het online kopen van cadeaubonnen. Het is de bedoeling dat ik cadeaus naar drie mensen stuur. Kunt u helpen? U krijgt een vergoeding.
Er is hier sprake van meervoudige internetcriminaliteit:
1. Identiteitsfraude: iemands naam wordt misbruik met als doel oplichting.
2. Phishing: er wordt gehengeld om contact op te nemen, met als doel om gegevens en geld te verkrijgen via een “digitale babbeltruc”. Bekijk dit PDF-bestand van het Centrum voor Criminaliteitspreventie en veiligheid (CCV) met veel voorbeelden hoe je phishing mail kunt herkennen.
Wat doe je ermee? Trap er niet in!
1. Schrik niet en gooi de mail niet weg.
2. Reageer nooit op het bericht.
3. Neem zo snel mogelijk contact intern op met een ICT-coördinator, werkgroep communicatie, AVG-specialist en bestuur (kerkenraad, parochiebestuur). Uit de ‘headers’ van een mail kan belangrijke informatie worden gevonden, bijvoorbeeld over de plaats vanwaar de mail is verstuurd.
4. Breng de betreffende ambtsdrager op de hoogte. Niet door het mailtje door te sturen, wel bijvoorbeeld via een screenshot van de mail in een nieuw mailtje. Of eerst een telefoontje en daarna het bericht doorsturen.
5. Verzamel bewijzen. Neem contact op met je internetprovider waar je mail is ondergebracht met de vraag of zij aanvullende afzendergegevens kunnen vinden. Doe dat snel, want dit soort logfiles worden niet al te lang bewaard (soms slechts een week, 10 dagen of een maand).
Maar verzamel ook bewijs waaruit blijkt dat je op het moment van versturen van de phishing mail ergens anders was.
6. Breng de gemeenschap op de hoogte dat er nepmails worden verstuurd uit naam van de voorganger. Dat kan door een via appgroepen, facebook en andere kanalen die je gebruikt voor interne communicatie.
7. Zoek contact met de Fraudehelpdesk. Bekijk hun website naar actuele valse mails en stuur je eigen verdachte mail aan hen door via valse-email@fraudehelpdesk.nl. Op de website staat precies hoe je zo’n nepmail kunt doorsturen. Doorgaans ontvang je binnen 24 uur een mail terug met daarin informatie over de valse mail, plus tips hoe je er veilig mee om kunt gaan.
8. Doe als slachtoffer aangifte bij de politie. Dit kan door een afspraak te maken op het politiebureau. Bij oplichting via internet, kun je ook de oplichting melden op de website van de politie bij ‘Mijn politie’. De politie kan vragen om de ‘header-informatie’ die ik hierboven noemde.
9. Meld de identiteitsfraude bij het Centraal Meldpunt Identiteitsfraude (CMI). Zij hebben een eigen meldingsformulier identiteitsfraude. Op deze website vind je ook informatie om identiteitsfraude te voorkomen. (Denk aan kopie van je ID, nooit zomaar op links klikken naar inlogpagina’s en zoek het juiste webadres via een andere weg, wees alert op babbeltrucs, ook via mail, zorg voor dubbele beveiliging).
10. Toch gereageerd? Heb je toch al gereageerd op het eerste contactverzoek, dan zal een volgende mogelijk de vraag om financiële hulp zijn. Negeer het, en neem in de gemeenschap contact op om verder leed te voorkomen. In 2019 zijn meerdere parochies opgelicht door mensen die zich uitgaven namens de fiscus. Er werd betaald, met duizenden euro’s schade als gevolg.
Wat kun je nog meer doen?
Zorg dat mailadressen die je publiekelijk deelt (website, PDF) beschermd door deze te encoderen. Of verberg ze achter een link. Vermijd constructies als <a href=”mailto: > want deze zijn makkelijk op te vissen.
Je kunt ook mailadressen gebruiken die eindigen op de domeinnaam van je website. Maar let op: identiteitsfraude via mail kan ook met dergelijke bestaande mailadressen. Dankzij mailprotocollen rondom authentificatie van afzenders – als DMARC, DKIM en SPF – kunnen fraudepraktijken worden voorkomen. Zorg ervoor dat dit op orde is. Dan kan je webmaster, provider doen. Wij kunnen je daar ook bij helpen.
Alleen kerken?
Hier en daar lees ik dat deze internetcriminaliteit alleen gericht is op kerken. Dat is niet zo. In juni 2022 deed iemand zich voor als burgemeester van Arnhem, Marcouch, met dezelfde oproep: “Ik zou uw reactie graag per e-mail ontvangen omdat ik momenteel in een vergadering zit.” Een fractievoorzitter nam contact op, wetende dat het een nepmail was, en vervolgens ging de afzender vragen om geld om kadobonnen te kopen.
Identiteitsfraude en phishing is helaas van alledag. In 2022 waren volgens het CBS zo’n 2,2 miljoen mensen slachtoffer van online criminaliteit.
Het kan iedereen overkomen: blijf alert en trap er niet in!
