woensdag 21 december 2011

Belasting-phishers hengelen naar DigiD-inlog


De Belastingdienst waarschuwt voor phishingmails aan toeslaggerechtigden, waarmee wordt gepoogd DigiD-inlogdata buit te maken. De FIOD doet onderzoek.

Fraudeurs misbruiken de recente publiciteit over de nieuwe toeslagensite van de fiscus om te hengelen naar Digid-logins. Er zijn verschillende e-mails in omloop waarin toeslaggerechtigden om hun DigiD-gegevens wordt gevraagd.

Lokken of dreigen

Soms bevat de mail een lokkertje, soms een dreigement. In de ene mail wordt beloofd dat met het afgeven van de data de toeslag binnen 24 uur gestort wordt. In de andere wordt echter gedreigd met de deurwaarder, vertelt de woordvoerder van de Belastingdienst.

De phishers hebben echter niet de moeite genomen om een nepsite op te tuigen, maar vragen simpelweg om de mail te beantwoorden. Meestal bevatten phishingmails een link naar een authentiek ogende site, waar vervolgens de inloggegevens worden geoogst.

Mijntoeslagen.nl niet van fiscus

Dat scenario wordt wel steeds aantrekkelijker, nu de Belastingdienst stapsgewijs migreert van invoer met software naar invoer online. Vorige week introduceerde de fiscus mijn.toeslagen.nl, dat de toeslagensoftware overbodig maakt. Op termijn zal ook de software voor de belastingaangifte worden uitgefaseerd ten faveure van een webdienst.

Security experts wijzen er echter op dat deze strategie phishers in de kaart kan spelen. Het is immers relatief eenvoudig om de code van een site kopiƫren en een nepsite optuigen, om daar persoonsgegevens en DigiD-logins te kunnen afvangen.

Feit is dat phishers niet ver hoeven te zoeken voor een geschikt domein: mijntoeslagen.nl is een geparkeerd domein, in handen van een particulier. De zegsman van de Belastingdienst kon niet meteen aangeven of de fiscus rekening houdt met dergelijke scenario's.

Bonanza voor phishers

Dit jaar werden al diverse gevallen bekend van criminelen die duizenden euro's aan toeslagen hadden binnengeharkt. Kwaadwillenden bleken met andermans DigiD in te loggen bij de Belastingdienst. Daar hebben zij vervolgens het bankrekeningnummer voor uitkeringen of teruggave veranderd, zodat dat geld niet bij de eigenlijke begunstigde terechtkwam.

Eerder bleek dat het met andermans Burgerservicenummer (BSN) kinderspel was om een nieuw DigiD-account aan te maken.

Bron: Webwereld

Geen opmerkingen:

Een reactie posten