Marktplaats oplichters aan het werk

Vorige week ontving John, de vader van een van mijn beste vrienden, plotseling een berichtje op zijn mobiele telefoon: “…via jouw adres is net mijn zoon via zijn bankrekening beroofd. Als je hier iets van weet vraag ik je dringend het geld terug te storten. Anders ben ik genoodzaakt aangifte te doen.“. Euhm, pardon? John is zelfstandig ondernemer en heeft een simpele website met daarop vermeldt zijn adresgegevens, e-mailadres en KvK nummer, en is zich uiteraard van geen kwaad bewust.

Aangezien zijn website op mijn server draait, toch maar even kijken of ik daar wat raars zie in de logs. De logs laten geen bijzonderheden zien, en aangezien zijn domein 100% scoort voor zowel de web- als e-mailtest op internet.nl lijkt spoofing niet voor de hand te liggen. In de dagen die volgen worden regelmatig pakketjes aangeboden door PostNL met daarop een vreemde achternaam (John Pluk) als geadresseerde. John weigert de pakketjes aan te nemen, maar de onduidelijkheid groeit. Wat is hier aan de hand?

In eerste instantie dachten we dat iemand op korte termijn voor de deur zou staan met de boodschap dat “een pakketje voor hem/haar verkeerd was bezorgd”. Dit is een bekende vorm van fraude waarbij je later alsnog rekeningen en aanmaning krijgt op jouw adres, maar er verscheen niemand. Omdat John regelmatig werd gebeld door onbekende nummers besloot zijn zoon om een van deze gesprekken aan te nemen. Dat was een slimme zet, want de dame in kwestie was bijna opgelicht door een koper op marktplaats, en had via Google het mobiele nummer van John achterhaald omdat ze dacht dat John de oplichter was. Het gesprek leverende genoeg informatie op om uit te zoeken wat hier nu echt aan de hand was.

Marktplaats oplichter

Op Marktplaats is een oplichter actief die zich voordoet als een nep-John (“J vn Pluk”), maar daarbij de adresgegevens van de echte John gebruikte. De oplichter toonde interesse in producten die door anderen te koop aan werden geboden, en probeerde zijn slachtoffers vervolgens over te halen tot het bezoeken van de phishing website: verzenden-via-marktplaats.nl. De reden die de oplichter hiervoor gaf: “Om zeker te zijn dat ik hem echt ontvang van jou zou je even via marktplaats alvast een verzendlabel willen kopen? Dan ontvang ik de track and trace direct. En weet ik zeker dat ik hem ontvang.”. De oplichter maakt hier dus gebruik van het feit dat Marktplaats zelf de mogelijkheid biedt om PostNL verzendlabels aan te maken, maar probeert dus om verkopers op Marktplaats gebruik te laten maken van een nep website die door de oplichter zelf is opgezet: verzenden-via-marktplaats.nl. En het is best interessant om te zien hoe dit in zijn werk gaat.

De link die door de oplichter naar de verkoper op Marktplaats wordt gestuurd ziet er zo uit: https://verzending-via-marktplaats.nl/postnl/pakket-versturen.html. Wanneer deze link door de verkoper wordt geopend in de browser komt de volgende webpagina tevoorschijn (uit privacy overwegingen heb ik de adresgegevens onleesbaar gemaakt):

De verkoper vult dit formulier in, kiest een bank naar keuze (in dit geval de Rabobank) en klikt vervolgens op de knop “naar jouw bank”:

Daarna verschijnt het volgende nagebouwde nep inlogvenster van de Rabobank (binnen hetzelfde domein versturen-via-marktplaats.nl):

Interessant is dat er onder de motorkap van de website (dus onzichtbaar voor de verkoper) nog iets anders gebeurt. Vanaf het moment dat de verkoper het nep inlogvenster van de Rabobank voor zich ziet, wordt er een extra signaal naar de server van de oplichters gestuurd. Door dit signaal weten de oplichters dat de verkoper het nep verzendformulier heeft ingevuld en nu dus het nep inlogvenster van de Rabobank voor zich heeft.

Dit signaal wordt daarna standaard iedere 5 seconden verstuurd waarbij de variabele met de naam “_” telkens met 1 wordt opgehoogd, van 1591645669411 naar 1591645669412, naar 1591645669413, enzovoorts. Wanneer de verkoper vervolgens het rekeningnummer en pasnummer invoert (in dit geval heb ik willekeurige cijfers ingevoerd), wordt dit automatisch gedetecteerd door de website en verschijnt het onderstaande venster. De verkoper denkt nu dat de transactie is gestart, maar in werkelijkheid wordt er helemaal niks naar de bank gestuurd, maar gaat alles naar de server van de oplichter.

Dit is ook zichtbaar in een nieuw signaal dat naar de server van de oplichter wordt verstuurd. In dit nieuwe signaal wordt het door de verkoper ingevoerde rekeningnummer en het pasnummer naar de server van de oplichter verzonden (terwijl de verkoper denkt dat dit naar de Rabobank gaat).

Dit is een belangrijk stap in het technische oplichtingsproces, want met behulp van deze ingevoerde gegevens probeert de oplichter geld te stelen van het rekeningnummer van de verkoper. De software op de server van de oplichter zal namelijk proberen om op dat specifieke moment (volledig buiten het zicht van de verkoper) een echte transactie (de zogenaamde schaduwtransactie) op te zetten met behulp van de ingevoerde gegevens door de verkoper. Het idee achter deze schaduwtransactie is uiteraard dat er daadwerkelijk geld van de verkoper wordt overgemaakt op een rekening van de oplichter. Aangezien het even tijd kost om deze schaduwtransactie achter de schermen op te zetten, bleef het scherm met “een ogenblik geduld…” best wel een poosje staan. In mijn geval zo rond de 30 seconden. Veel langer in ieder geval dan de gemiddelde reactiesnelheid van de echte Rabobank website.

Wanneer de schaduwtransactie klaar staat, vraagt verzenden-via-marktplaats.nl aan de verkoper om de verificatiecode in te voeren:

Wanneer de verkoper niets vermoedend de beveiligingscode intoetst die verschijnt op zijn random reader, zal de oplichter dit gebruiken om de schaduwtransactie te laten slagen. Dit is ook zichtbaar in het nieuwe signaal wat na het invoeren van de beveiligingscode naar de server van de oplichter wordt verstuurd. Hierin is namelijk naast het rekeningnummer en het pasnummer, ook de beveiligingscode zichtbaar.

Daarna is de oplichting een feit. De verkoper is zijn geld kwijt, John wordt gebeld door mensen die denken dat ze door hem zijn opgelicht, en de oplichter… tja, kleine kans dat die door de mand valt.

Takedown request

Om te voorkomen dat de oplichters nog meer slachtoffers maken, heb ik een melding van misbruik gemaakt bij de organisatie waar de oplichters het domein verzenden-via-marktplaats.nl hebben geregistreerd. Via de website van SIDN kun je verschillende gegevens van een .nl domein opvragen. Dat heb ik ook voor dit domein gedaan en dan zie je dat Name.com uit de Verenigde Staten de registrar is. Op Name.com kun je vervolgens een abuse melding invullen. In de meeste gevallen worden domeinen / website offline gehaald wanneer naar aanleiding van een abuse melding blijkt dat zaken niet pluis zijn. Vang je bot bij de registrar? Dan kun je ook proberen om bij het SIDN een notice-and-take-down verzoek indienen.

Tot slot

Een aantal uren nadat ik verschillende dingen heb zitten testen, was de website niet meer bereikbaar (no route to host). Mogelijk heeft de oplichter mijn afwijkende gedrag op de website opgemerkt, want mijn abuse melding was toen nog niet verwerkt aangezien de status van het domein nog steeds “actief” was. Op een bepaalde manier vond ik dat jammer, want een aantal dingen had ik graag (beter) willen testen.

  • Op basis van het geanalyseerde verkeer is mijn sterke vermoeden dat de oplichter gebruik maakt van het phishing panel uAdmin (Universal Admin). Ik had graag wat meer tijd gehad om te ontdekken of ik hier meer mee had kunnen doen. Overigens zag ik wel dat de security specialisten van Zolder nog niet zo lang geleden de broncode van uAdmin hebben weten te bemachtigen. In een filmpje van 34 minuten leggen ze uit hoe het framework werkt, en hoe oplichters dit gebruiken. Zeker wanneer je interesse is gewekt, een absolute aanrader!
  • Ik vraag me af of de Rabobank module in uAdmin wel goed werkt aangezien ik geen kleurcode te zien kreeg die gescand moest worden met een Rabo Scanner, of een cijfercode die moest worden ingevuld op de oudere Random Reader. Voor zover ik weet is dit namelijk wel een noodzakelijke stap voor het genereren van een geldige verificatiecode die nodig is om de schaduwtransactie te laten slagen. Het is in ieder geval zeker dat de oplichter minimaal 1x succes heeft gehad, maar wellicht was dat in combinatie met een andere bank.

Het viel overigens op de oplichter gebruik maakte van een Marktplaats account dat al 9 jaar actief was. Dit schept waarschijnlijk vertrouwen bij andere Marktplaats gebruikers, maar realiseer je dat oplichters vaak accounts hacken of stelen zodat ze de goede reputatie van het zulke accounts kunnen misbruiken.

Ben je zelf opgelicht of ken je iemand die dit is overkomen, zorg dan altijd dat er aangifte wordt gedaan bij de politie. Dit levert in eerste instantie misschien niet direct iets op, maar details uit verschillende aangiftes kunnen de politie wel op een goed spoor zetten om oplichters te ontmaskeren en hun criminele activiteiten een halt toe te roepen.

Update: overzicht valse domeinnamen (30-09-2020)

Inmiddels is gebleken dat de oplichters steeds nieuwe domeinnamen registreren. Mede met behulp van de onderstaande reacties, hou ik hier een overzicht bij met tot dit moment bekende domeinnamen waarmee de oplichters hun slag proberen te slaan:

  • verzending-via-marktplaats.nl
  • verzendlabel-via-marktplaats.nl
  • marktplaats-verzendlabel.nl
  • postnl-via-marktplaats.nl
  • pakketten-ontvangen-postnl.nl
  • persoonlijk-verzending-postnl.nl
  • mijn-postnl.top
  • web-postnl.top
  • mijnverzendingpostnl.info

Oh ja, ook op de website van het TV-programma Opgelicht?! wordt melding gemaakt van deze (nieuwe) vorm van oplichting: https://opgelicht.avrotros.nl/alerts/artikel/nieuwe-manier-van-oplichting-op-marktplaats-door-valse-postnl-verzoeken-via-whatsapp-phishing/.

Update 2: in het nieuws (01-09-2020)

Op 19 augustus maakte Fraudehelpdesk melding van deze nieuwe vorm van oplichting: https://www.fraudehelpdesk.nl/alert/nieuwe-variant-phishing-via-marktplaats/. Verschillende andere online nieuwsmedia hebben dit vervolgens ook opgepikt en hier aandacht aanbesteed. Hopelijk maakt dit mensen meer alert zodat ze er niet in trappen!

47 antwoorden
  1. Avatar
    melanie zegt:

    Ik had ook een pakketje naar John gestuurd. Gelukkig had ik -zonder zijn label- een pakket gestuurd. Het pakket word retour naar mijn huis gestuurd. Ben zo blij om te horen dat ik niet op de -door hem gestuurde- link heb gedrukt.

    Beantwoorden
    • Avatar
      Léon zegt:

      Melanie,

      In dit verhaal maakt de oplichter gebruik van iemand anders zijn adres en niet zijn eigen adres. Diegene waar dat adres van is, is niet de oplichter zelf.
      Vervelende hieraan is dat gedupeerden denken dat de ontvanger van de pakketten ook de oplichter is, maar in feite is deze ook een slachtoffer. Zijn adres word ongevraagd gebruikt.
      Het feit dat jij je pakket retour hebt ontvangen is onder diegene waarschijnlijk jou pakket niet aangenomen heeft.

      Beantwoorden
      • Avatar
        Melanie zegt:

        Ja klopt, dat had ik al in de gaten. Zo vervelend voor de echte bewoners dat zijn naam en adres gebruikt worden. Ik zag via mijn orginele post.nl code dat mijn pakket retour kwam. Dat was ook de reden waarom Google mij naar je site heeft gestuurd. Fijne uitleg heb jij gemaakt. Het was voor mij een wijze les van 6.75 ipv een lege bankrekening….

        Beantwoorden
  2. Avatar
    Monique zegt:

    Goedemorgen,

    Ik ben héél blij om terug te lezen dat het nu opgelost is.
    En natuurlijk een beetje trots dat mijn speurwerk mede hiertoe geleid heeft 😊
    Super Léon dat je dit voor je vader hebt gedaan!

    Beantwoorden
    • Avatar
      Léon zegt:

      Wat vervelend dat ze je hebben weten op te lichten. Ze gaan ook erg sneaky te werk. Maar wat is er gebeurd nadat ze je opgelicht hebben? Rekening geplunderd? Niet verklaarbare afschrijvingen? Ik ben wel eens benieuwd.

      Beantwoorden
  3. Avatar
    Jeroen stevens zegt:

    Momenteel word er onder de naam van rene van beek deze truc toegepast. Ze gebruiken de gegevens van mijn bedrijf cabooter facility in venlo. Ze appen met het volgende tel nr 0657679595 .

    Beantwoorden
  4. Dennis Baaten
    Dennis Baaten zegt:

    Bedankt voor de reacties allemaal! Het lijkt me verstandig om zoveel mogelijk informatie met elkaar te delen. Hiermee kunnen we de oplichters zoveel als mogelijk tegenwerken.
    Ik ontving deze avond nog een e-mail van iemand die ook bijna slachtoffer was geworden. In dit geval werd het volgende domein gebruikt: marktplaats-verzendlabel.nl. Ook dit domein is dus nep.

    Op basis van de reacties op deze blog:
    === Overzicht van NEP WEBSITES tot heden ===
    * verzending-via-marktplaats.nl
    * verzendlabel-via-marktplaats.nl
    * marktplaats-verzendlabel.nl
    * postnl-via-marktplaats.nl

    Beantwoorden
  5. Avatar
    Anoniem zegt:

    Ik heb zojuist ook een koper die het zelfde linkje stuurde! Zag meteen wel dat het vreemd was, en heb het opgezocht. Dank voor jullie verhaal! Heb wel een vraag, is het klikken op het linkje en gelijk weg klikken gevaarlijk?

    Beantwoorden
    • Dennis Baaten
      Dennis Baaten zegt:

      Hoewel het onder bepaalde omstandigheden mogelijk is dat het openen van een website (zonder verdere klikacties op die site) aanvallers per direct (gedeeltelijke) toegang geeft tot jouw systeem, is het onwaarschijnlijk dat dit hier het geval is.

      Het doel van de oplichters is niet om zoveel mogelijk mensen op de link te laten klikken om systemen te infiltreren of gijzelen, maar om geld te verdienen aan mensen die tot handmatige betaling overgaan omdat ze niet doorhebben dat ze genept worden.

      Kortom, het openen van de site en daarna weer sluiten kan niet zoveel kwaad. De voorbeelden van oplichtingswebsite die ik onder ogen kreeg, waren in dat opzicht in ieder geval ongevaarlijk.

      Weet je nog welke domeinnaam de oplichters gebruikten? Zou je dat hier willen delen? Dank je.

      Beantwoorden
  6. Avatar
    Browneyegirl zegt:

    Vandaag meldde Michel ( met 1 L) Miedema zich en toonde interesse in 1 van mijn Marktplaats advertenties:
    Hey Goedenmiddag! Hij ziet er echt goed uit! Ik wil hem graag vandaag komen ophalen als u hier tijd voor heeft. Ik moet straks weer aan het werk en kan zijn dat ik uw mailtje mis loop, zou u mij kunnen bellen of een bericht willen sturen via whatsapp? Dan kunnen wij even een ophaal afspraak maken. Mijn nummer is: 0623688759. Groetjes Mitchel Miedema

    Ik heb hem gebeld, kreeg voicemail, niks ingesproken.

    Kreeg zojuist een bericht van MP dat dit waarschijnlijk een frauduleuze koper is. Ik heb hem inmiddels geblockt. Ik heb geen link ontvangen.

    Beantwoorden
  7. Avatar
    M Huijs zegt:

    Ook hier vandaag contact gehad met die Mitchel Miedema. Ook ik kreeg een link toegestuurd. Deze heb ik wel geopend maar verder niets mee gedaan. Ik vertrouwde het niet.

    Ik heb uiteindelijk zelf een verzendlabel aangemaakt en hiervan als bewijs hem een printscreen gestuurd. Nu geen reactie meer ontvangen.

    Grr wat kan ik hier kwaad om worden!

    Beantwoorden
  8. Avatar
    Geert zwartjes zegt:

    Ook benaderd door mitchel miedema, wilde iets van mij kopen via marrktplaats, maar ik kon hem ook appen of bellen, heb hem geappt, reageerde op een gegeven moment niet meer, toen rook ik onraad, geblokt op whatsapp en uit de lijst van contacten gehaald. Hij heeft niets gestuurd van een link ofzo.
    Heel vervelend zulke mensen.

    Beantwoorden
  9. Avatar
    Anoniem zegt:

    Ik heb hetzelfde gehad met Michiel Miedema. Hij stuurde mij ook een link om me via marktplaats bij PostNL te registreren. Ik heb wel handmatig mijn gebruikersnaam ingevuld maar met een verkeerd wachtwoord (gelukkig), want ik wist mijn wachtwoord niet meer, omdat deze automatisch is gegenereerd. Moet ik me nu zorgen maken over mijn digitale veiligheid, of is het pas wanneer je je volledige banksgegevens invoert?
    Ik heb aangifte gedaan bij de politie en bij marktplaats.

    Beantwoorden
    • Dennis Baaten
      Dennis Baaten zegt:

      wanneer je het opgegeven wachtwoord (of een wachtwoord wat hier sterk op lijkt) op andere plekken gebruikt, dan adviseer ik om dit wachtwoord overal aan te passen. En dan ook echt iets heel anders kiezen. Dus niet van Paddestoel03 naar Paddestoel04. :-)

      Beantwoorden
  10. Avatar
    Anoniem zegt:

    Ik herken deze verhalen, dit maal met Patrick Veenhoven. Wat gek is, is dat hij al 4 jaar gebruiker is op marktplaats. De link die hij deze keer gebruikte voor de track en trace is: persoonlijk-verzending-postnl.nl/marktplaats.nl/pakket-versturen.html

    Beantwoorden
    • Dennis Baaten
      Dennis Baaten zegt:

      Dank voor het delen.
      Over die 4 jaar, schrijf ik in mijn blog het volgende:

      Het viel overigens op de oplichter gebruik maakte van een Marktplaats account dat al 9 jaar actief was. Dit schept waarschijnlijk vertrouwen bij andere Marktplaats gebruikers, maar realiseer je dat oplichters vaak accounts hacken of stelen zodat ze de goede reputatie van het zulke accounts kunnen misbruiken

      Beantwoorden
  11. Avatar
    Siebrand zegt:

    Hier ook contact gehad met Patrick Veenhoven, wilde graag dat ik een verzendlabel aan maakte via
    mijn-postnl.top/marktplaats.nl/pakket-versturen.html
    Niet op ingegaan en site ff bekeken, duidelijk phishing.
    Gebruiker bij Marktplaats gemeld.

    Beantwoorden
  12. Avatar
    Raymond zegt:

    Goeiemorgen. ook ik ben gisteren (12 sept) in contact geweest met “Patrick Veenhoven’ via de account van Bert van Weert (Maastricht, 11 jaar actief). Link die gedeeld werd is: https://mijn-postnl.top/marktplaats.nl/pakket-versturen.html. ’s avonds was de website in Google al als onbetrouwbaar gekenmerkt. Heb de gebruikte account gemeld bij Marktplaats. Viel me op trouwens dat marktplaats vooral gefocust is op malafide advertenties en minder op gehackte accounts. Anyway, ik heb in de dialoog – ik zag eerlijk gezegd pas laat (maar wel op tijd) in het proces dat echt niet klopte – hem uit z’n tent gelokt – hij werd boos op me, begon te vloeken en wilde me gaan bedreigen (ik noemde hem amateur omdat hij zoveel fouten maakte in z’n verhaal) net voordat ik hem geblokt had. Benieuwd of dit nog een staartje gaat krijgen. Was het echter waard ;-)

    Beantwoorden
  13. Avatar
    Tamara zegt:

    Ik heb gister ook contact gehad met “Patrick Veenhoven” en stuurde mij dezelfde link als hierboven beschreven
    Mijn bankinlog heb ik geblokkeerd want ik rook onraad…..toen ik dit allemaal las vanmorgen, bevestigde dat mijn vermoedens

    Beantwoorden
    • Dennis Baaten
      Dennis Baaten zegt:

      Hi Wendy, dit wordt smishing (SMS phishing) genoemd. Geen idee of dezelfde oplichters hierachter zitten. Dat zou kunnen, maar het systeem wat ze gebruik op de website (uAdmin) is makkelijk verkrijgbaar en wordt door meerdere (groepen) oplichters gebruikt. Ik voeg de URL wel even toe aan het overzicht. Dank!

      Beantwoorden
  14. Avatar
    Andre zegt:

    Zelfde soort verhaal. marktplaats – ik kom halen. dit is mijn whatsapp nummer. Helaas mijn adres gegeven. Dan oeps een beetje ver. Kan je sturen met dhl.

    Oh ja veel fraude. Aub eerst label maken zodat ik weet dat het echt is etc..

    Vervolgens niet op ingegaan en bedreigd.

    Gebruikte nr:
    +31 6 20936664

    Beantwoorden
  15. Avatar
    David zegt:

    Hallo Papa Vayèn, Een hele goedenavond! Ik wil graag langs komen op hem op te halen mits hij nog beschikbaar is. Ik heb tot Maandag vrij, mocht vandaag niet goed uit komen voor u kunnen wij tot Maandag een afhaal afspraak maken. Ik moet nu de deur uit kan zijn dat ik uw bericht mis loop. Zou u mij kunnen bellen of een bericht kunnen sturen via whatsapp? Mijn nummer is +31620936664. Ik kijk graag uit naar uw bericht! Tot snel!

    Beantwoorden
  16. Avatar
    David zegt:

    Onze adres gegevens zijn:
    Bart Visser
    Brikkenstraat 26
    6051 ET Maasbracht

    Eenmaal gegoogled op dit adres, staat dit huis te koop. Eenmaal gegoogled op dit adres. Geen Visser woonachtig.

    Beantwoorden
  17. Avatar
    Anoniem zegt:

    Ben ook benaderd door Bart Visser (tel.nummer 0620936664; e-mail bart@visser.nl). Zelfde verhaal. Stuurde ook de DHL link. Heb deze geprobeerd maar lukte niet. Heb daarna via de dus officiële site van DHL pakje aangemeld. Ondertussen had hij mijn bankrekeningnummer gekregen en mijn telefoonnummer. Werd even later gebeld door “mijn” bank dat mijn geld in gevaar was. Het leek op het officiële nummer van de bank. Had uitzending hierover op tv gezien. Mijnreactie was dat ikzelf de bank zou gaan terugbellen. Dat was niet helemaal het plan zoals het zou moeten lopen. Ik moest vooral aan de lijn blijven. Heb toen dus maar opgehangen.

    Beantwoorden
    • Dennis Baaten
      Dennis Baaten zegt:

      Heel verstandig. Gebruik nooit de contactgegevens uit een mogelijke phishing e-mail, en vertrouw er ook niet zomaar op dat een beller is wie hij zegt dat hij is. Wordt er contact me je opgenomen (via telefoon of per e-mail) en gaat het om geld of andere vertrouwelijke gegevens? Zoek dan zelf de contactgegevens op van de partij die men claimt te zijn, en zoek via deze weg naar bevestiging.

      Beantwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.