Oplichters winnen: € 41,3 ($ 47,8) miljard verloren door oplichting, een stijging van 15%.

Met de COVID-19 pandemie heeft de oplichtingsindustrie wereldwijd een hoge vlucht genomen. In ons 3e Global State of Scams Report zijn 42 landen geanalyseerd op het aantal mensen dat is opgelicht, de hoeveelheid geld die is verloren en de manieren waarop nationale overheden, consumentenautoriteiten en wetshandhavers oplichting bestrijden.

Aantal zwendelpraktijken explosief gestegen

Het aantal gerapporteerde scams steeg van 139 in 2019 naar 266 miljoen in 2020. De enorme groei wordt voornamelijk veroorzaakt door de COVID-pandemie en deels doordat meer landen zijn begonnen met het melden van online fraude.

Hoewel de definities en rapportagemethoden die de verschillende landen gebruiken voor oplichting sterk verschillen, hebben bijna alle landen een grote toename van het aantal gerapporteerde oplichtingen gemeld. Egypte (190%) en Nigeria (186%) rapporteerden de meest dramatische toename in het aantal oplichtingen. Andere ontwikkelingslanden zoals Iran, India en Pakistan meldden ook een sterke groei van het aantal zwendelpraktijken met ongeveer 90%, omdat de bevolking massaal overstapte op internet. Slechts een paar landen meldden kleine dalingen, waaronder België, Japan en Zweden.

Figuur: Groei in gerapporteerd aantal oplichtingen per land

Het verloren bedrag groeide van € 36 ($ 41,7) naar € 41 miljard ($ 47,8). Het aantal oplichtingen en het verloren geld vormen waarschijnlijk slechts een klein deel van de werkelijke omvang van online fraude. Afhankelijk van het land rapporteert minder dan 3% tot 15% van de consumenten een zwendel. Volgens een eerder onderzoek van ScamAdviser ligt de oorzaak van deze cijfers in het feit dat 23% van de consumenten niet weet waar ze oplichting kunnen melden en 11% denkt dat het geen verschil zal maken.

Beleggingszwendel neemt toe

Het geld dat per slachtoffer verloren gaat en het soort oplichting verschillen sterk per land. Van minder dan € 10 voor nepwinkels, namakers en abonnementsvallen tot enkele honderdduizenden voor ransomware, Business Email Compromise (BEC) en beleggings-/cryptozwendel.

Hoewel phishing wereldwijd nog steeds de meest voorkomende vorm van oplichting is, heeft de pandemie nieuwe wendingen gegeven aan oude zwendelpraktijken. In 2020 richtten oplichters zich eerst op maskers, beademingsapparatuur en ontsmettingsmiddelen. Daarna introduceerden ze 'COVID-19 goede doelen', 'voorregistratie van vaccins' en 'krijg je Corona overheidssubsidie'.

Er doken ook nieuwe zwendelpraktijken op. Omdat gezinnen tijdens de opsluiting op zoek waren naar een huisdier, werd de oplichting van huisdieren, waarbij een bestelde puppy nooit aankwam, steeds populairder. Oplichters werden ook beter in 'up-selling'. Leveringszwendel waarbij het slachtoffer eerst een product koopt dat nooit wordt verzonden, en vervolgens "aangepaste kosten" in rekening wordt gebracht door dezelfde oplichter, nam een hoge vlucht. Oplichters lijken de nieuwste ontwikkelingen binnen enkele uren te kunnen vertalen naar oplichterspraktijken. Ze gebruikten bijvoorbeeld de bosbranden in Australië voor liefdadigheidsfraude en de crisis rond het Evergreen containerschip voor investeringsfraude.

Sommige zwendelpraktijken lijken regiospecifiek te zijn. Australië meldde een toename van 140% in op bedreiging gebaseerde zwendelpraktijken, waarbij zwendelaars hun slachtoffers bedreigen met arrestatie, deportatie of gerechtelijke stappen tenzij er geld wordt betaald. Ook Maleisië meldde een toename van 450% in "Macau"-zwendel waarbij een nepbank, -overheid of -politieagent het slachtoffer benadert met een bedrag dat binnen enkele uren moet worden betaald of waarvan de gevolgen moeten worden afgewend. Zwitserland heeft bewezen extreem kwetsbaar te zijn voor zwendel met investeringen en meldde het hoogste gestolen bedrag per melding van meer dan € 25.000.

Er is ook een duidelijke trend om oplichting te personaliseren op basis van gegevens uit hacks en het gebruik van lokale talen. Finland meldde bijvoorbeeld een toename van 15% in online fraude waarbij phishing-zwendel steeds vaker wordt vertaald naar het Fins.

COVID-19 introduceerde ook een schijnbaar ongerelateerde toename van "zwendel met rijbewijzen" en "afpersing bij het schrijven van scripties". Enorme wachtrijen voor het afleggen van een rijbewijs examen in Duitsland en Ierland maakten mensen meer geneigd om online een vals rijbewijs te bestellen. Hetzelfde geldt voor studenten wereldwijd die op zoek zijn naar ondersteuning bij het schrijven van een academisch werkstuk of scriptie. In beide gevallen komt het document nooit aan en is het onwaarschijnlijk dat het slachtoffer de zwendel meldt bij de autoriteiten.

Met de "zero-interest" economie en verveling bleken velen - vooral mannen - gewillige slachtoffers te zijn van "investeringsmogelijkheden". Deze zwendel, ook wel 'varkensslachting' genoemd, kan 3, 6 of zelfs 12 maanden duren. De oplichter bouwt een vertrouwde en soms romantische relatie op met het slachtoffer voordat hij hem uitnodigt om te investeren in een 'ongelooflijke kans'.

Landen worden creatief

Om oplichting tegen te gaan, hebben veel landen hun toevlucht genomen tot agressievere jaarlijkse bewustmakingscampagnes. De resultaten lijken echter gemengd. Terwijl de thema's van de zwendel veranderen (bijv. zwendel met huisdieren, COVID-subsidies), lijken burgers wereldwijd er nog steeds in te trappen, ondanks eerdere waarschuwingen.

Een strategie van de Ierse politie lijkt goedkoper en effectiever. Elke week wordt een nieuw soort zwendel gepubliceerd op sociale media en naar zowel lokale als nationale media gestuurd. Deze strategie helpt om cybercriminaliteit onder de aandacht te houden van consumenten die het slachtoffer kunnen worden van verschillende vormen van oplichting.

Simpele veranderingen kunnen soms grote gevolgen hebben. De regering van Iran heeft bijvoorbeeld tweefactorauthenticatie verplicht gesteld voor bankapps. Als gevolg daarvan daalde het aantal phishing-zwendelpogingen met 90% in een jaar tijd.

Het Centrum voor Cyberveiligheid België (CCB) lanceerde een e-mailadres om phishingmails te melden. Het is een groot succes gebleken. In 2020 ontving het CCB 3,2 miljoen e-mails. De verzamelde gegevens worden gebruikt om internetfilters te voeden, waardoor Belgische burgers worden beschermd tegen kwaadaardige domeinen.

Ook de regering van Taiwan heeft een Open Data Initiative gelanceerd, waarbij gegevens over cybercriminaliteit worden gedeeld met overheidsorganisaties, non-profits en commerciële organisaties om online fraude te bestrijden.

Sommige landen proberen nieuwe benaderingen. Pakistan traint bijvoorbeeld CyberScouts, dat kunnen zowel politieagenten als studenten en jongeren zijn. Doel: lokale gemeenschappen bewust maken van cybercriminaliteit.

Het Japanse Minami Precinct lanceerde de operatie "Doen alsof je voor de gek wordt gehouden". Dit nieuwe misdaadbestrijdingsprogramma vraagt mensen die zijn benaderd door iemand die beweert een familielid of vriend te zijn die geld nodig heeft, dit aan de politie te melden. Het potentiële slachtoffer en de politie werken dan samen om de oplichter te pakken. Het beoogde slachtoffer ontvangt een beloning van 10.000 yen (€ 77,-).

Te weinig, te laat?

De afgelopen jaren ging de aandacht van overheden vooral uit naar "grotere cybercriminaliteit", hacks, DDOS-aanvallen, BEC en ransomware. Dit is echter snel aan het veranderen, in sommige gevallen omdat een (premier) minister publiekelijk in een phishing scam trapte, zoals in Pakistan en Zuid-Afrika.

Wat betreft het geld dat verloren gaat, vormt oplichting nu 5% van de totale cybercriminaliteit, die door McAfee wordt geschat op € 815 miljard ($ 945) miljard in 2020. Qua volume is online zwendel een veel groter onderdeel van cybercriminaliteit. Volgens Group-IB zijn scam en phishing goed voor 73% van alle cyberaanvallen.

Vanwege de sterke toename van scams zijn online beveiligingsbedrijven zich aan het opschalen. Trend Micro investeert bijvoorbeeld fors in nieuwe anti-scamdiensten, zoals de realtime scamdetectietool Trend Micro Check. In 2021 hebben ze al meer dan 2,4 miljard phishing e-mails en bezoeken aan scamsites geblokkeerd.

Het beleid van landen om scams te bestrijden verschilt sterk. Engelstalige landen lijken het voortouw te nemen met intensieve bewustmakingscampagnes, gecentraliseerde online rapportage op sites als Fraud UK en ScamWatch Australia en gecentraliseerde speciale cybercrime-eenheden zoals de FBI IC3 en het Canadese Anti-Fraud Center.

In andere landen is het melden van oplichting versnipperd over goedwillende overheidsinitiatieven, publiek-private partnerschappen en lokale politie-eenheden met weinig tot geen ervaring op het gebied van cyberbeveiliging. In ontwikkelingslanden, zoals Kenia en Pakistan, moeten slachtoffers soms honderden kilometers reizen om een zwendel fysiek aan te geven op een plaatselijk politiebureau, om vervolgens te worden afgewezen door een politieagent die zegt dat het slachtoffer "beter had moeten weten".

Hoe kunnen we het tij keren?

In veel landen is oplichting nu de meest gerapporteerde vorm van criminaliteit. In Zweden vormde oplichting 5% van alle gerapporteerde misdaadgevallen in 2000. Nu is dat 17%. In het VK en de VS is oplichting in 2021 de meest gemelde vorm van criminaliteit. Tot slot stelt Singapore dat 44% van alle gerapporteerde misdrijven verband houdt met online oplichting.

Het World Economic Forum schat dat 0,05% van alle cybercriminaliteit wordt vervolgd. Dit maakt oplichting, waarover nog minder wordt gerapporteerd dan over "grote cyberdelicten", tot een zeer lucratieve business.

Terwijl veel ontwikkelingslanden zich nu richten op het creëren van bewustzijn over cybercriminaliteit onder hun bevolking, hebben meer geïndustrialiseerde landen geleerd dat onderwijs alleen niet genoeg is.

Spanje, met zijn 017-initiatief dat toegankelijk is via telefoon, WhatsApp en Telegram, en Nederland, met eenvoudigere online rapportage, hebben een sterke groei gezien in gerapporteerde cybercriminaliteit. Hoewel dit er misschien niet goed uitziet in de politiestatistieken, zijn betere gegevens de eerste stap in de strijd tegen cybercriminaliteit.

De volgende stap is meer nationale uitwisseling van gegevens. In de VS neemt de Federal Trade Commission een leidende rol op zich bij het verzamelen van alle gegevens over oplichting, door gegevens te verzamelen en te delen met 3.000 federale, staats- en lokale wetshandhavers in het hele land. Op dezelfde manier intensiveert ScamWatch Australië de samenwerking met de Australische rechtshandhavingsinstanties, de Financial Regulation Commission, banken, telecomoperators en sociale mediabedrijven.

In Europa en Australië worden banken door nieuwe wetgeving verantwoordelijker voor phishing en beleggingszwendel. Als de zwendel door de bank voorkomen had kunnen worden, moeten de slachtoffers gecompenseerd worden voor hun verlies. Dit heeft bankenorganisaties aangespoord om anti-phishing campagnes te financieren. Volgens verschillende landen zou de volgende actie moeten zijn dat techgiganten meer verantwoordelijkheid nemen en hun eigen gegevens gebruiken om oplichting beter te identificeren en te voorkomen.

Hoewel de VS, Canada en Australië zijn begonnen met het onderling delen van gegevens over oplichting, zijn de meeste landen nog niet zo ver. Toch is het wereldwijd delen van online fraudegegevens de enige echte oplossing om het tij te keren van de wereldwijde epidemie van oplichting, omdat het snellere identificatie, preventie, onderzoek en vervolging mogelijk maakt. Er is nog veel werk te doen.

Het volledige rapport zal worden gepresenteerd op de Global Online Scam Summit.