Hoe bescherm je je tegen de bank en de daders na ontvangst van een nep-sms?
Een onopvallende sedan rijdt door het stadscentrum – in de kofferbak zoemt een apparaatje ter grootte van een schoenendoos. Terwijl de auto rondjes rijdt, trillen de smartphones van voorbijgangers massaal, gealarmeerd door een zogenaamde betalingsherinnering of parkeerboete. Wie op de link klikt, verliest vaak binnen enkele minuten geld van zijn bankrekening. Deze zogenaamde sms-blasters opereren vanuit rijdende auto's en hebben in sommige grote steden al miljoenen euro's aan schade veroorzaakt. Iedereen die hierdoor getroffen is, moet snel actie ondernemen om zijn recht op schadevergoeding en juridische stappen veilig te stellen.
Wat is een SMS-blaster en hoe werkt deze nieuwe oplichtingstruc?
Een sms-blaster is een mobiel apparaat ter grootte van een schoenendoos dat een legitieme mobiele telefoonantenne nabootst. Het is aangesloten op een autoaccu, ligt in de kofferbak en wordt op afstand bediend via een app. De daders rijden ermee door dichtbevolkte gebieden – stadscentra, treinstations of stadions. Binnen een straal van maximaal 1000 meter maken alle smartphones van voorbijgangers automatisch verbinding met het rijdende apparaat. Met één rit kunnen tienduizenden ontvangers worden bereikt zonder dat de daders ook maar één telefoonnummer kennen – en het apparaat kan korte tijd later in een andere stad worden ingezet.
Zodra de verbinding tot stand is gebracht, dwingt de blaster de telefoons over naar het verouderde 2G-netwerk. De beveiligingsnormen zijn daar aanzienlijk lager, waardoor berichten zonder verificatie kunnen worden verzonden. Slachtoffers ontvangen vervolgens een sms-bericht dat afkomstig lijkt te zijn van hun bank, een overheidsinstantie, de postdienst of een bekend bedrijf. Deze berichten bedreigen de ontvangers vaak met een zogenaamde betalingsherinnering, een parkeerboete of een ongebruikelijke inlogpoging, allemaal bedoeld om hen onder druk te zetten direct actie te ondernemen.
Wie op de link klikt, komt terecht op een nepwebsite die er visueel hetzelfde uitziet als het originele platform. Daar worden gebruikers gevraagd om inloggegevens voor internetbankieren, creditcardgegevens of bevestigingscodes voor TAN-procedures. Zodra de gegevens zijn ingevoerd, kunnen de daders overboekingen uitvoeren of de rekening leeghalen. In Genève heeft het openbaar ministerie inmiddels 154 slachtoffers geregistreerd met een totale schade van bijna twee miljoen Zwitserse frank.
Deze methode is bijzonder gevaarlijk omdat de sms-blaster de officiële spamfilters van mobiele netwerkproviders omzeilt. De nepberichten komen rechtstreeks van de apparaten van de daders, niet via het reguliere netwerk. Filtertechnologieën zijn daardoor niet effectief. Bovendien worden reguliere radioverbindingen tijdens de aanval verstoord – in Toronto blokkeerde één enkele blaster zelfs tijdelijk noodoproepen.
Voordat u ingaat op een sms-verzoek om onmiddellijke betaling of gegevensverstrekking, dient u de afzender rechtstreeks bij de officiële instantie te controleren en de verstrekte link niet te gebruiken.
Vorderingen tot terugbetaling aan de bank: Artikel 675u van het Duitse Burgerlijk Wetboek (BGB) in geval van phishing.
Wie geld is kwijtgeraakt door een phishing-sms, heeft vaak recht op terugbetaling van de bank. Volgens artikel 675u van het Duitse Burgerlijk Wetboek (BGB) moet de bank in geval van een ongeautoriseerde betalingstransactie het bedrag onmiddellijk terugbetalen en het saldo op de rekening herstellen naar het niveau dat het zou hebben gehad zonder de transactie. Dit geldt op voorwaarde dat de betalingstransactie niet door de rekeninghouder is geautoriseerd.
De doorslaggevende factor is of de bank grove nalatigheid van de klant kan bewijzen op grond van artikel 675v lid 3 van het Duitse Burgerlijk Wetboek (BGB). Indien grove nalatigheid wordt bewezen, kan de bank de vordering tot terugbetaling weigeren of verlagen. De bewijslast ligt echter bij de bank, niet bij de klant. Het enkele feit dat iemand op een phishing-sms heeft gereageerd, vormt op zich geen grove nalatigheid. De specifieke omstandigheden zijn cruciaal – bijvoorbeeld hoe overtuigend het valse bericht overkwam, of er waarschuwingssignalen aanwezig waren en welke informatie daadwerkelijk werd vrijgegeven.
In de praktijk wijzen banken terugbetalingsverzoeken vaak zonder meer af. Ze beroepen zich op vermeende grove nalatigheid zonder specifieke onderbouwing. Dergelijke afwijzingen houden vaak geen stand bij een juridische toetsing. Degenen die vroegtijdig actie ondernemen en de gebeurtenissen documenteren, versterken hun positie aanzienlijk. In gevallen van bijzonder geavanceerde aanvallen, zoals sms-aanvallen waarbij de berichten voor consumenten vrijwel niet te onderscheiden zijn van echte berichten, kan de beschuldiging van grove nalatigheid vaak worden weerlegd.
Laat een afwijzing van de bank niet onbeantwoord, maar laat deze in een vroeg stadium juridisch toetsen – de kans op succes hangt in belangrijke mate af van de inhoud van het argument van de bank.
Strafrechtelijke aanklachten en bewijsvergaring na SMS-blasteraanval
Naast het aanspannen van een civiele procedure tegen de bank, is het indienen van een strafrechtelijke klacht een belangrijke stap. Fraude met sms-blasters levert regelmatig meerdere strafbare feiten op, waaronder computerfraude volgens artikel 263a van het Duitse Wetboek van Strafrecht (StGB), ongeoorloofde toegang tot gegevens volgens artikel 202a StGB en vervalsing van bewijsmateriaal volgens artikel 269 StGB. Bovendien is het in strijd met de Telecommunicatiewet, aangezien het exploiteren van een pseudo-antenne zonder frequentietoewijzing illegaal is.
Het indienen van een melding opent de deur naar een onderzoek door de autoriteiten en kan de claim voor terugbetaling bij de bank versterken. Om het bewijsmateriaal effectief te bewaren, dienen de betrokkenen de volgende stappen te ondernemen:
- Bewaar het originele sms-bericht: Verwijder het nepbericht niet. Maak schermafbeeldingen waarop de afzender, de datum en het tijdstip te zien zijn en bewaar deze apart.
- Bewaar bankafschriften: Print alle ongeautoriseerde boekingen uit of sla ze op als pdf-bestanden, inclusief de betaaldatum en de gegevens van de ontvanger.
- Pogingen tot contact met het document: Leg alle telefoongesprekken, e-mails en chats met de bank schriftelijk vast – inclusief datum, tijd en inhoud van het gesprek.
- Let op de apparaatcontext: Locatie, tijdstip en exacte volgorde van gebeurtenissen na ontvangst van het sms-bericht – deze informatie helpt onderzoekers de dader te lokaliseren.
- Je account wordt direct geblokkeerd: Als u vermoedt dat er sprake is van misbruik van gegevens, bel dan onmiddellijk de blokkeerhotline 116 116 en blokkeer alle betreffende kaarten en toegang.
Een strafrechtelijke klacht kan worden ingediend bij elk politiebureau of online via de internetportalen van de recherche van de betreffende staat. Daarnaast is het raadzaam het incident te melden bij het Federaal Agentschap voor Netwerken, aangezien het gebruik van een sms-blaster een ernstige overtreding van de telecommunicatiewetgeving vormt.
Leg het bewijsmateriaal direct vast nadat u de schade hebt ontdekt, voordat gegevens worden overschreven of verbindingen worden verbroken.
Wie is aansprakelijk voor de schade? Een vergelijking tussen de bank, de dader en externe dienstverleners.
Bij de beoordeling van de aansprakelijkheid moeten verschillende actoren worden onderscheiden. In de eerste plaats zijn de daders verantwoordelijk die de sms-campagne opzetten en de gegevens misbruiken. In de praktijk worden zij echter zelden gepakt, omdat ze vaak opereren binnen internationale netwerken en hun identiteit verbergen. In de Geneefse golf en vergelijkbare gevallen gaan politie en openbaar ministerie ervan uit dat georganiseerde cybercriminele netwerken erachter zitten. Civiele vervolging tegen onbekende daders of daders in het buitenland is doorgaans zinloos.
Het tweede en in de praktijk belangrijkste contactpunt is de bank waar de rekening wordt aangehouden. Hier is de terugbetalingsregeling van toepassing volgens de artikelen 675u en 675v van het Duitse Burgerlijk Wetboek (BGB). Of de bank het volledige bedrag, een gedeeltelijk bedrag of helemaal niets moet terugbetalen, hangt af van de mate van schuld van de klant. Ook de beveiligingsnormen van internetbankieren spelen een rol: instellingen moeten actuele authenticatieprocedures hanteren en verdachte betaalpatronen kunnen herkennen.
Aanbieders van betaaldiensten en externe partijen, zoals aanbieders van directe bankoverschrijvingen, zijn slechts in uitzonderlijke gevallen aansprakelijk – bijvoorbeeld bij schending van beveiligingsverplichtingen of het over het hoofd zien van verdachte betalingspatronen. Mobiele netwerkoperators zijn doorgaans niet aansprakelijk, omdat hun filtersystemen technisch niet in staat zijn om sms-campagnes te detecteren.
Laat alle potentiële verdachten onderzoeken voordat u zich op één contactpersoon richt.
Hoe bescherm je je smartphone tegen sms-aanvallen en smishing?
Technische beveiligingsmaatregelen zijn de meest effectieve vorm van bescherming. Op veel Android-apparaten kan de verbinding met het 2G-netwerk volledig worden uitgeschakeld in de netwerkinstellingen. Omdat SMS Blaster uitsluitend via dit verouderde netwerk werkt, is de aanval niet effectief als 2G is uitgeschakeld. Deze instelling is meestal te vinden onder 'Mobiel' of 'Netwerkinstellingen' en 'Toegestane netwerktypen'.
Het is niet mogelijk om het 2G-netwerk op een iPhone direct uit te schakelen. Apple biedt echter een 'Vergrendelingsmodus' in de privacyinstellingen. Deze modus blokkeert ook de 2G-verbinding, maar beperkt andere functies en moet daarom alleen worden geactiveerd wanneer er een verhoogd dreigingsniveau is.
Wie regelmatig naar het buitenland reist, moet er rekening mee houden dat het 2G-netwerk in veel landen nog steeds actief is. In dergelijke gevallen moet de 2G-instelling tijdelijk worden uitgeschakeld om een goede verbinding te garanderen. Zelfs in Duitsland zijn sommige 2G-netwerken nog actief, waardoor het uitschakelen ervan in sommige gevallen tot ontvangstproblemen kan leiden.
Ongeacht technische maatregelen is het raadzaam om in het algemeen wantrouwend te staan tegenover sms-berichten waarin om onmiddellijke betaling of het verstrekken van gegevens wordt gevraagd. Overheidsinstanties en gerenommeerde bedrijven versturen geen betalingsherinneringen of -verzoeken via sms-berichten met klikbare links. Bij twijfel kunt u de bewering het beste rechtstreeks bij de betreffende instantie controleren zonder op de link in het bericht te klikken.
Geef nooit bankgegevens, TAN-nummers of creditcardinformatie door via een sms-bericht wanneer daarom wordt gevraagd.
Wanneer is juridisch advies nuttig in gevallen van SMS Blaster-fraude?
Juridisch advies is altijd aan te raden als de bank een terugbetalingsverzoek afwijst, verlaagt of aarzelend verwerkt. Vooral in geschillen over vermeende grove nalatigheid op grond van artikel 675v lid 3 van het Duitse Burgerlijk Wetboek (BGB) onderschatten veel gedupeerden hun juridische positie. Banken maken misbruik van de complexiteit van de juridische situatie om standaardafwijzingen door te voeren die juridisch gezien geen standhouden.
Zelfs bij grotere schades of meerdere boekingen is vroegtijdig juridisch advies aan te raden. Advocaten ondervragen de tegenpartijen, verzamelen bewijsmateriaal en zorgen ervoor dat termijnen worden nageleefd – de verjaringstermijn voor vorderingen die voortvloeien uit ongeoorloofde transacties kent eigen regels, waardoor een snelle reactie vereist is. In strafzaken kan de advocaat ook de benadeelde partij vertegenwoordigen, het dossier beoordelen en de daaropvolgende civiele procedure voorbereiden.
Conclusie: Fraude met SMS Blaster vereist snelle en gestructureerde actie.
De SMS-blaster-oplichting zal zich blijven verspreiden omdat deze technisch eenvoudig uit te voeren is en zeer winstgevend voor de daders. Gevallen uit Genève, Basel, Toronto en nu ook uit grote Duitse steden tonen aan dat geen enkele netwerkoperator en geen enkel spamfilter deze nepantennes betrouwbaar kan detecteren. Slachtoffers moeten de moed niet opgeven.
Vorderingen tot terugbetaling van de bank zijn in veel gevallen afdwingbaar, vooral als de beschuldiging van grove nalatigheid inhoudelijk kan worden weerlegd. Cruciaal voor succes zijn het snel en grondig verzamelen van bewijsmateriaal, een tijdige reactie op afwijzingen van de bank en de inschakeling van een advocaat in complexe zaken. Wie systematisch te werk gaat, heeft een realistische kans om een groot deel van de schadevergoeding te verhalen en de strafrechtelijke vervolging van de daders te ondersteunen.
