Ons oog viel op een Facebookpost van enkele dagen oud die onderhand al meer dan 22.000 keer is gedeeld. Het gaat om een fysieke brief van MyGiftCard-Supply.com. In de brief staat dat ze je namensje werkgever een giftcard mogen aanbieden. Op de brief staat een QR-code én een unieke code waarmee je de cadeaukaart kunt verzilveren. Dat klinkt als een buitengewoon sympathiek gebaar. Toch leidt deze post tot de nodige consternatie: verschillende signalen wijzen erop dat de brief van oplichters afkomstig is. Wat zou hier achter kunnen zitten?
Om te beginnen even het volgende: in onze afbeelding hebben wij de naam en de profielfoto van de Facebookgebruiker onherkenbaar gemaakt uit privacyoverwegingen.Mocht diegene later om wat voor reden dan ookbesluiten om zijn post terug te trekken, dan is 'ie hier vast onherkenbaar.
De afbeelding is niet heel goed leesbaar, daarom zetten we de integrale tekst - inclusief eventuele spel- en stijlfouten - hieronder even neer.
3 feb 2021, 15:05
Tekst uit de brief van MyGiftCard-Supply
Bedankt voor je inzet.
Namens je werkgever mogen we je een giftcard aanbieden!
Gewaardeerde medewerker,
We leven in een turbulente tijd waarin we als bedrijf een hoop uitdagingen het hoofd moeten bieden. In andere communicatie is hier al uitgebreid over bericht. In deze brief willen we de nadruk graag op iets positiefs leggen. We willen graag alle medewerkers een hart onder de riem steken als waardering voor de getoonde inzet en flexibiliteit van de afgelopen periode.
Hoe werkt het?
Stap 1. Scan de QR code in deze brief met je telefoon.
Stap 2. Kies de gewenste cadeaukaart. Ze hebben allemaal dezelfde waarde.
Stap 3. Om te valideren of je een medewerker bent, moet je inloggen met je bedrijfsaccount. Dit gebeurt op een veilige manier.
Stap 4. De cadeaubon wordt binnen enkele dagen digitaal geleverd op je werk email.
Mocht het scannen niet lukken kun je ook handmatig naar de volgende website gaan:mygiftcard-supply.com. En gebruik de volgende code: [XXXXXXXX]
Let op dat je de code exact overtypt. Deze is hoofdletter gevoelig. Namens je werkgever wensen we je veel plezier met deze cadeaubon!
Hierboven zie je de oorspronkelijke Facebookpost.
Wat valt er te zien op de website als je de QR-code scant?
Daar kunnen we kort over zijn: de websiteMyGiftCard-Supply.comis inmiddels niet meer online. Een korte blik op de site behoort dus niet meer tot de mogelijkheden. Daarmee is echter niet gezegd dat de domeinnaam ons geen nuttige inzichten kan verschaffen.
Het domein bestaat sinds 6 januari 2021 en is op de dag van publicatie 28 dagen oud. Vrijwel alle informatie over de domeinnaamhouder is uit privacyoverwegingen verborgen, oftewel 'Redacted for privacy'. Een bona fide, betrouwbare ondernemingzou dit in het kader van openheid en transparantie niet zo snel doen. Dit is dan ook een verdacht signaal, niet in de laatste plaats vanwege de korte levensduur van het domein.
Het IP-adres verwijst naar de Noord-Brabantse gemeente Helmond, maarvoor de rest loopt het spoor hier dood.
Maar er is nóg iets om rekening mee te houden. Er isbovendieneen bona fide Amerikaanse onderneming die bekend is onder de handelsnaam MyGiftCardSupply enzich van de domeinaam MyGiftCardSupply.com bedient. Inderdaad: het streepje tussen 'Card' en 'Supply' is wat de website betreft het enige verschil, en dat is natuurlijk een detail dat je eenvoudig over het hoofd ziet. In internetterminologie noemen we dit ook weltyposquatting: door hele minimale wijzigingen in de domeinnaam hopen kwaadwillenden je op het verkeerde been te zetten.
Als je bovendien zoekt op "My Giftcard Supply" of iets dergelijks, dan zul je al snel bij de bona fide onderneming uit komen, ennietbij de kopie met het streepje in de domeinnaam. Daardoor kun je onterecht het idee krijgen dat het in de haak is.
Er zijn tot slot geen signalen die erop wijzen dat deze onderneming een Nederlandse dochtermaatschappij heeft en zich op de Nederlandse markt richt, en dat maakt deze brief extra verdacht. Reden genoeg om eens met een kritische blik naar deze gang van zaken te kijken.
Wat zit hier mogelijk achter?
Werpen we een blik op de fysieke brief,dat zien we dat de afzender het logo van het Amerikaanse bedrijf een-op-eenheeft gekopieerd. In die zin lijkt hier dus sprake te zijn van een soort identiteitsfraude: de naam van een bona fide onderneming wordtmisbruikt door een derde partij waarvan de weinige signalen er vooralsnog op wijzen dat het niet helemaal zuivere koffie is.
Stap 3 uit de brief is in deze context eigenlijk de meest zorgwekkende stap. Samengevat: je krijgt een fysieke brief van iemand die andermans logo steelt en daarbij niet schroomt om een bona fide domeinnaam min of meer te kapenom je op het verkeerde been te zetten.Op deze uitnodiging staat bovendienhet uitdrukkelijke verzoek om naar een website te gaan die nog geen maand online is en waar geen enkele informatie over te vinden is. Klinkt dat verdacht? Dat dachten wij ook.
Er staat in deze stap letterlijk 'dat je met je bedrijfsaccount moet inloggen om te verifiëren of je een medewerker bent'. Dat is een alarmerend signaal, wantals jouw werkgever je een digitalegiftcard wenst te geven, dan kan dat moeiteloos zonder deze stap.
Het enige dat de leverancier van de giftcard nodig heeft, is de technische infrastructuur om jou een cadeaukaart te kunnen laten verzilveren én jouw mailadres om je de instructies toe te sturen. In deze context beginnen over de noodzaak van het 'inloggen met je bedrijfsaccount' isgeen goed signaalen komt op onsuiterst onbetrouwbaarover.
Zoals gezegd is de website reeds offline: de exacte motieven, beweegredenen en doeleinden kunnen we om die reden dan ook niet meer met honderd procent zekerheid achterhalen. Maar de signalen wijzen erop dat hier naar gevoelige bedrijfsinformatie wordt gehengeld.
Het lijkt dan ook helemaal niet ondenkbaar dat iemand zich toegang tot bedrijfssystemen wenst te verschaffen. Dat kan om verschillende doeleinden: het zou kunnen gaan om het verspreiden vanransomware, het zoukunnen gaan omfactuurfraudeen het zou zelfs kunnen gaan om het willen bemachtigen vaninloggegevensvoorsystemen met persoonsgegevens. Wat het ook is, er is één rode draad: de signalen zijn uitermate verdacht en het verdient om die reden geen aanbeveling om op de uitnodiging in te gaan.
Hoe herken je of dit soort brieven betrouwbaar zijn?
Mocht je werkgever je een cadeaukaart willen geven, dan ligt het voor de hand om te veronderstellen dat deze aankondiging in enigszins gepersonaliseerde vorm komt en dat je met je naam wordt aangesproken in plaats van met de algemene aanhef 'gewaardeerde medewerker'. Dit biedt echter geen volledige zekerheid en is afhankelijk van de wijze waarop een eventuele aanbieder van een cadeaukaart de systemen heeft ingericht. Desalniettemin neemt dekans dat een brief of mail onbetrouwbaar is wel toe als je met een generieke aanhef wordt aangesproken, zeker met alle bovenstaande signalen in het achterhoofd.
Ook zou je vanuit je werkgever een signaal moeten krijgen in termen van 'Jullie hebben het wellicht gezien, maar in de mailbox of de brievenbusligt een attentie voor jullie klaar'. Is dat niet het geval, en twijfel je om de één of andere reden aan de betrouwbaarheid? Vraag het dan na bij je werkgever: je directe leidinggevende of de afdeling P&O zal daar ongetwijfeld binnen de kortste keren helderheid in kunnen verschaffen.
Op deze brief wordt bovendien nergens de naam van de betreffende werkgever genoemd, en ook dat is reden zat om je eens even achter de oren te krabben. Je zou verwachten dat er expliciet en uitdrukkelijk een bedrijf, een afdeling, een team en/of een leidinggevende wordt genoemd namens wie de cadeaukaart wordt aangeboden.
Het ligt daarnaast niet voor de hand om naar eenmailadreste informeren via eenfysieke brief: een werkgever die een cadeaukaart uitdeelt, zal dat in een dergelijke constructie eerder via de mail doen, zodat de verdachte derde stap ('ter verificatie inloggen met je bedrijfsaccount') niet noodzakelijk is: deze contactgegevens heeft de afzender dan immers al. Wederom een signaal waar je alert op moet zijn.
De timing is bovendien een beetje ongebruikelijk: het staat werkgevers uiteraard te allen tijde vrij om een gebaar van waardering te tonen, maar een meer voor de hand liggend moment zou rond de feestdagenperiode zijn, en laten we die nu net achter de rug hebben.
Trek de domeinnaam in geval van twijfel altijd even na. Dat kan via deWhois LookupvanDomainToolsen voor domeinnamen eindigend op .nl bij SIDN. Valt daar in het geheel geen informatie te vinden, en is de website pas kort online? Dan is dat reden genoeg om eens ernstig te twijfelen.
En wordt er gehengeld naar persoonlijke gegevens of inloginformatie voor (bedrijfs)systemen, zoals in dit voorbeeld het geval is? Dan kun je het allerbeste het zekere voor het onzekere nemen en moet je het écht even navragen bij je werkgever voordat je iets besluit te ondernemen.
