Hoogleraar Digital Security Bart Jacobs (Radboud Universiteit) is kritisch over hoe bedrijven als WhatsApp met hun verantwoordelijkheid omgaan om gebruikers te beschermen tegen oplichting. “Ze zetten marketing en profilering in voor hun eigen winst, maar niet om hun gebruikers te beschermen. Daar spreek ik ze op aan.” We spreken hem voor ons onderzoek naar online fraude.
Het aantal mensen dat opgelicht is via WhatsApp is vorig bijna verdubbeld ten opzichte van het jaar daarvoor. Online oplichters gaan dan ook steeds geraffineerder te werk en worden professioneler. Dat ziet ook hoogleraar Digital Security aan de Radboud Universiteit, Bart Jacobs. “Inmiddels zit er een crimineel businessmodel achter om mensen op platforms als WhatsApp geld afhandig te maken. En daar zijn mensen niet tegen opgewassen.”
Volgens Jacobs is het dan ook onmogelijk om van mensen te verwachten dat ze weten hoe gewiekst criminelen te werk gaan. “Als je eenmaal denkt: ‘dit komt allemaal van mijn lieve dochter die in de problemen zit’, dan ga je heel ver in het overmaken van geld. Dat zie je in de praktijk. (…) . Facebook (eigenaar van WhatsApp, red) en WhatsApp kunnen hun beveiligingsniveau omhoog schroeven. Maar je ziet dat ze die verantwoordelijkheid nu bij mensen zelf neerleggen.”
Beveiliging
Dat moet anders volgens Jacobs. WhatsApp kan volgens hem veel meer doen om de veiligheid voor gebruikers te verbeteren. Hij wijst op tweestapsverificatie, waarbij mensen een extra beveiligingscode moeten invoeren als ze WhatsApp willen installeren op een nieuwe telefoon. Dit zou het veel moeilijker maken voor criminelen om een account te hacken. “WhatsApp zou kunnen afdwingen dat mensen een extra beveiligingscode op hun account hebben. Dat maakt het gebruiksgemak wat minder, maar op een gegeven moment moet je deze beveiliging misschien wel opleggen aan gebruikers.”
Daarnaast denkt Jacobs dat WhatsApp veel meer technologie tot hun beschikking heeft die ze zouden kunnen inzetten voor het herkennen van fraudeurs: “WhatsApp en Facebook zijn gespecialiseerd om ons op allerlei manieren te profileren. Ik weet zeker dat ze dit soort criminelen kunnen herkennen als ze hun best ervoor doen. Ze kunnen het bijvoorbeeld zien als er op een bepaalde telefoon heel vaak met een nieuw WhatsApp-account ingelogd wordt. En ze kunnen nog veel meer op het gebied van patroonherkenning. Daar zouden ze werk van moeten maken.”
Opsporing
WhatsApp zou ook een actiever beleid moeten voeren op het zelf waarschuwen van de politie: “Nederlandse banken hebben ook een plicht om ongebruikelijke transacties te melden. Misschien moeten we aan dit soort dingen gaan denken met betrekking tot sociale media.” Jacobs vindt dat belangrijk omdat hij ziet dat de politie op dit moment weinig heeft aan WhatsApp als het gaat om de opsporing van verdachte fraudeurs.
Yoanne Spoormans van het cybercrimeteam van de politie erkent dat dit nu soms moeilijk is. “We werken samen met ze, maar het samenwerken met een internationale partij als WhatsApp is wel heel lastig. Ze leggen heel veel informatie vast van gebruikers, maar het moeilijke is dat zij een heleboel informatie niet mogen delen op basis van Amerikaanse wetgeving. Ze mogen wel wat informatie met ons uitwisselen, maar niet op de schaal zoals wij dat zouden willen om effectief te kunnen optreden.”
Zorplicht
Jacobs vindt dat juist Nederlandse of Europese wetgeving er strenger op moet toezien dat bedrijven als WhatsApp hun verantwoordelijkheid nemen om fraude te voorkomen. Omdat WhatsApp een dienst is waar zo veel mensen gebruik van maken pleit hij voor een zorgplicht.
“We kunnen van ze eisen dat ze ongebruikelijke dingen melden en dat ze hun beveiligingsniveau op een substantieel niveau inrichten. Je kan WhatsApp inmiddels wel beschouwen als een soort nutsbedrijf. Ik denk dat we ze net zo moeten reguleren als we dat doen bij bijvoorbeeld gas- en elektriciteitsbedrijven. Daar horen ook zorgplichten bij. Ze moeten zich op een nette manier gedragen en ze moeten mensen beschermen. Je ziet nog te sterk dat bedrijven in de techsector weglopen voor allerlei verantwoordelijkheden”, aldus Jacobs.
Waardering
We vragen WhatsApp om een reactie. Over het delen van informatie met de politie laten ze weten: “WhatsApp waardeert het werk van handhavers van de wet om mensen te beschermen. We zijn bereid om verzoeken van wetshandhavers zorgvuldig te beoordelen, valideren en beantwoorden op basis van de toepasselijke wetgeving en beleid.”
Op de vraag of ze aanvullende maatregelen willen nemen om de accounts van gebruikers beter te beschermen reageren ze: “De veiligheid en beveiliging van berichten is heel belangrijk voor ons. (…) We adviseren iedereen om nooit hun verificatiecode met anderen te delen, zelfs niet met vrienden of familie. We raden ook aan om een tweestapsverificatie in te stellen.” Voor meer informatie over online veiligheid verwijst WhatsApp naar zijn website. Op het verplichten van veiligheidsmaatregelen zoals een tweestapsverificatie gaat het bedrijf niet in.
Uitzending
Bart Jacobs is te zien in onze uitzending over WhatsApp-fraude op maandag 1 februari om 22.15 uur op NPO2.