De Nederlandse startupscene is niet zo braaf als ze lijkt. Het Amstelveense online ‘marketingbedrijf’ FreshBack Media speelde zichzelf in de kijker door voormalig premier Jan Peter Balkenende op frauduleuze wijze in te zetten voor een campagne. Het spoor van digitale list en bedrog leidt verder naar de Bulgaarse hoofdstad Sofia... en weer terug naar Amstelveen.

    Wat hebben filmster Angelina Jolie, oud-premier Jan Peter Balkenende, oud-minister André Rouvoet en ondernemend techtalent Fabian Dudek met elkaar gemeen? Hun identiteit is misbruikt door het Nederlandse cryptomuntbedrijf MedCoin. In een poging vertrouwen te wekken bij investeerders strooit het bedrijf met bekende namen, zo onthulde Het Financieele Dagblad afgelopen vrijdag. De bekende personen bleken bij navraag van niets te weten; ook bleken medewerkers van het bedrijf niet te bestaan.

    Sinan Belhawi, oprichter van Medcoin, verwees na vragen van het FD richting het door hem ingehuurde marketingbedrijf: FreshBack Media. Hij had het beheer van zijn website recentelijk aan het Amstelveense bedrijf uitbesteed; dat bedrijf had vervolgens ‘de grenzen opgezocht om meer kliks te genereren.’

    ‘Er staan nu dingen op de website die niet handig zijn,’ zo verklaarde Belhawi tegenover de krant met enig gevoel voor understatement. De immer opgewekte cryptokenner Vincent Everts liet weten dat het volgens hem ‘eerder onhandigheid dan bedrog’ betreft.

    Maar de werkelijkheid oogt veel grimmiger, zo ontdekte FTM. Het Amstelveense bedrijf FreshBack Media maakt zich volgens harde bronnen schuldig aan oplichtingspraktijken. Daarmee duperen ze behalve Nederlandse ook Australische en Nieuw-Zeelandse burgers en bedrijven.

    Een mail van PostNL

    De stereotype Nigeriaanse ‘prins’ die u via een e-mail probeert te overtuigen om geld over te maken, is al lang niet meer alleen: internetoplichting bestaat in eindeloos veel soorten en maten.

    Één manier die de laatste jaren steeds meer aan terrein wint, en waar Nigerianen ook in plachten uit te blinken, is phishing. Hierbij worden nietsvermoedende gebruikers naar een valse website gelokt. Die ziet er op het oog hetzelfde uit als de website van een legitiem bedrijf of instelling, denk bijvoorbeeld aan een bank of gemeente. Op de nepwebsite wordt slachtoffers gevraagd hun gegevens in te vullen; die gegevens worden vervolgens doorgesluisd naar de oplichters. Het kan hierbij gaan om allerlei data — van inlognamen en wachtwoorden, tot creditcardnummers en NAW-gegevens.

    De maximale marktwaarde van de PostNL-phishingmail: ruim 236.000 euro

    Slechts enkelen zullen er van hebben opgekeken toen ze in de feestelijke decembermaand een mailtje ontvingen van het Nederlandse post- en logistiekbedrijf PostNL. Zoiets moet daarvoor het Bulgaarse bedrijfje SurveyHouse ook hebben gedacht: in foutloos Nederlands, en mét gebruikmaking van het logo en de opmaakstijl van PostNL, verzond het duizenden emails naar Nederlandse mensen.

    ‘Beste… Onze pakketbezorger heeft onlangs geprobeerd een pakket bij u af te leveren’, zo luidt de openingszin. Daarna wordt gevraagd hoe laat iemand thuis is, waar de ontvanger woont — zogenaamd om het adres te controleren — en welke energieleverancier hij of zij heeft. Onderaan de mail met een witte achtergrond staat in kleine, grijsgekleurde lettertjes (als een soort disclaimer) dat de mail niet van PostNL afkomstig is, maar van SurveyHouse. Ook is een zogenoemde ‘privacy policy’ toegankelijk, waarin staat dat het in Sofia gevestigde bedrijf SurveyHouse zich houdt aan de ‘eisen van de Wet bescherming persoonsgegevens’.

    Het gaat hier dus niet om een mail van PostNL, maar om een enquête van een Bulgaars bedrijf dat zegt zich aan de Nederlandse wet te houden. PostNL laat in een reactie weten consumenten te waarschuwen voor dergelijke mails en vaak aangifte te doen, ‘afhankelijk van de omvang en ernst van de phishingcampagne.’ Of deze campagne daar ook onder valt, en op basis van welke criteria dat wordt bepaald, wil PostNL niet zeggen: ‘we hebben genoeg informatie gegeven,’ aldus woordvoerder Hanne Kluck.

    Maar ondertussen hengelt SurveyHouse uit naam van PostNL dus wel allerlei informatie over consumenten bij elkaar.

    En daar valt geld mee te verdienen, want hoe meer aanvullende informatie er bij de persoonsgegevens zit, des te gerichter bedrijven hun product in de markt kunnen zetten. Zo is een database met telefoonnummers van 50PLUS-stemmers wellicht interessant voor een fabrikant van looprekken, terwijl bedrijven als Essent, Nuon en Eneco geld overhebben voor informatie waar iemand woont en hoe laat diegene thuis komt. Die gegevens zijn immers handig als ze in de decembermaand hun deur-tot-deurverkopers op pad sturen.

    De contactgegevens van potentiële klanten (zogeheten ‘leads’) leveren op zichzelf geen grote bedragen op: de stukprijs ligt tussen de 9 en de 60 cent. In grote getalen bij elkaar kan de data echter een aardig bedrag opbrengen: op basis van beschikbare informatie komt de geschatte maximale marktwaarde van de rondgestuurde PostNL-phishingmail neer op ruim 236.000 euro.

    Hoewel dit bedrag qua hoogte al bijna in de buurt komt van de gemiddelde Nederlandse hypotheek, kunnen gelijksoortige acties nog veel meer opleveren. Italiaans onderzoek toonde eerder aan dat grootschalig opererende Facebook-spammers op jaarbasis tussen de 87 en 390 miljoen dollar kunnen genereren.

    De mistige lead marketing sector

    De wereld van de internetmarketing is voor de buitenstaander moeilijk te doorgronden. We komen termen tegen als ‘B2B marketing’, ‘lead nurturing’, ‘retentie’ en de ‘traditionele sales funnel’. In een poging zicht op deze sector te krijgen, ging Follow the Money in gesprek met diverse mensen uit de sector.

    Het internet brengt vele voordelen voor de marketingsector. Niet alleen is het — in tegenstelling tot een billboard langs de snelweg — relatief goedkoop; doordat consumenten massaal hun datasporen online achterlaten is het makkelijker om ze gericht en persoonlijk te benaderen. Log na middernacht in op uw (gratis) e-mailaccount, en de kans is groot dat u een banner voorbij ziet komen met de vraag of u toevallig geïnteresseerd bent in een slaappil.

    Één vorm van online marketing is de zogeheten ‘affiliate marketing’. Hier promoot een website producten van een adverteerder in ruil voor commissie bij het bereiken van een bepaald aantal clicks of een bepaald aantal leads. In de praktijk betekent het dat consumenten door marketingbedrijf A naar een bepaalde website worden gelokt (bijvoorbeeld met een winactie), waar ze via een banner weer terecht komen op een andere winactie van marketingbedrijf B. Het resultaat is dat de consument met enkele clicks verzeild raakt in een wirwar van aaneensluitende winacties, diverse pop-ups en schreeuwerige banners. Hierdoor is het onduidelijk voor consumenten aan wie zij hun data precies geven, en waarvoor.

    Toch zijn marketingbedrijven volgens de Nederlandse wet wel verplicht hier duidelijk over te zijn. De consument dient zogeheten ‘ondubbelzinnige toestemming’ te geven: er mag geen twijfel bestaan over welk specifiek gebruik van de gegevens iemand toestemming voor heeft gegeven. Consumenten moeten dus goed geïnformeerd zijn alvorens zij toestemming geven, en kunnen deze toestemming altijd intrekken.

    Digitale burgerrechtenorganisatie Bits of Freedom en De Correspondent brachten in oktober 2015 de Nederlandse datahandel en wandel in kaart, en concludeerden dat het merendeel van bedrijven die handelen in data stelselmatig de wet overtreedt. De onderzoeksjournalisten van Zembla concludeerden december 2015 hetzelfde: niet alleen is de toestemming zelden tot nooit expliciet, ook is het terugdraaien van de toestemming vrijwel onmogelijk. 

    Dit soort praktijken beperken zich helaas niet alleen tot bedrijven. Zo verkoopt de Kamer van Koophandel persoonsgegevens van ondernemers (die wettelijk verplicht zijn zich in te schrijven) aan derden.

    Het is in de praktijk voor de consument volstrekt onduidelijk waar haar of zijn data terecht komt, en waar het voor wordt gebruikt. Zo bleek uit bovengenoemde berichtgeving eveneens dat bedrijven databestanden aan elkaar koppelen (om profielen mee te maken) of databases aan elkaar verhuren. 

    Vanuit de EU komen er in mei nieuwe, strengere regels: per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. In deze nieuwe wet wordt ook dit soort profilering expliciet genoemd. Persoonsgegevens kunnen dus niet zomaar (her)gebruikt worden voor profilering: de consument moet expliciet worden geïnformeerd. Niet alleen dat de data wordt gebruikt voor profilering, maar ook wat de gevolgen hiervan zijn. 

    Critici wijzen op de gebrekkige handhaving. Zo moet de toezichthouder, de Autoriteit Persoonsgegevens, het in Nederland doen met 73 personeelsleden. Dit terwijl er met de nieuwe Europese privacywet op komst eigenlijk vier keer zoveel mensen nodig zijn om alles in goede banen te leiden. Dit kost 20-30 miljoen euro per jaar extra, maar het Kabinet Rutte-III heeft er per 2019 slechts 7 miljoen voor gereserveerd.

    Lees verder Inklappen

    Jumbo-appeltaarten uit Bulgarije

    Uit ons onderzoek blijkt dat de werkzaamheden van de ‘Bulgaren’ zich voornamelijk op de Nederlandse markt te richten. Zo zijn er acties uit naam van Jumbo Supermarkten, de HEMA, OV-chipkaart en de Efteling. In al deze gevallen wordt gebruikt gemaakt van zowel beeldmerk als huisstijl van bekende — en dus voor consumenten vertrouwde — merken. 

    Eind vorig jaar werd bijvoorbeeld in de precieze huisstijl en opmaak van Albert Heijn mensen een kerstpakket in het vooruitzicht gesteld. Pas na het invullen van een reeks vragen en op het einde van de enquête — wanneer wordt gevraagd de gegevens achter te laten waar het ‘pakket’ naartoe gestuurd kan worden — stond onderaan de pagina, en dus niet direct zichtbaar zonder naar beneden te scrollen, in lettergrootte 8 dat ‘bovenstaande producten en/of merken niet [zijn] geassocieerd met deze winactie’.

    Het blijkt een veelvoorkomende praktijk, waar de bekende grootgrutter ook zelf voor waarschuwt op zijn website. Albert Heijn laat desgevraagd weten dat het altijd contact probeert te leggen met de organisatoren van deze winacties en deze sommeert te stoppen met het onrechtmatig gebruik van zijn naam en logo: ‘We doen er alles aan wat in onze macht ligt, maar de praktijk blijkt weerbarstig gezien er helaas steeds weer nieuwe initiatieven opduiken. De resultaten zijn wisselend,’ aldus woordvoerder Eric Lückers.

    SurveyHouse beweegt zich overigens ook aan de andere kant van de wereld: zo werden gebruikers in Nieuw-Zeeland in februari 2017 met een Netflix-winactie verleid hun gegevens te delen. Een maand later kregen Australische gebruikers eenzelfde actie te zien; deze keer bestond de ‘prijs’ uit een iPhone.

    Het is nog maar de vraag of mensen ook daadwerkelijk hun ‘Albert Heijn Kerstpakket’ of ‘Jumbo appeltaart’ thuis kunnen verwachten. Zo merken diverse gebruikers op Facebook op dat gelijksoortige winactiepagina’s allemaal dezelfde ‘winnaar’ hebben uitgeroepen voor verschillende winacties. Ook wordt er door de consumentenbond en Radar stelselmatig gewaarschuwd voor soortgelijke nep-winacties op social media.

    Identiteitsfraude en oplichting

    Op de vraag van FTM of het is toegestaan om leads te verzamelen op de manier zoals het in Bulgarije gevestigde SurveyHouse dit doet, is IT-jurist Menno Weij stellig: ‘Nee, absoluut niet. Deze informatie is onrechtmatig verkregen. Met de beste intenties denk ik dat ik een mail krijg van een organisatie, zoals PostNL. Maar ik geef mijn informatie niet met de intentie dat er mee gebeurt, wat er mee gebeurt: dat het doorverkocht wordt door lead marketing-bedrijven. Er wordt hier dus op oneigenlijke gronden data verkregen, en dat kan niet. Daarnaast is het ook nog een privacykwestie.’

    Collega-jurist Arnoud Engelfriet is het hier mee eens: ‘Het is strafbaar om je voor te doen als iemand anders om zo gegevens te achterhalen. Het is niet alleen identiteitsfraude, maar ook oplichting. Maar in de praktijk is het moeilijk aan te pakken, omdat deze bedrijfjes ervoor zorgen dat ze niet makkelijk te achterhalen zijn.’ Ook het vestigen in het landen als Bulgarije hoort hierbij: ‘Met de komst van het internet is dit ook makkelijker geworden: je kunt een Britse Limited (LTD) oprichten, of een Estisch bedrijf. Er zijn allerlei technische trucjes om jezelf af te schermen,’ zegt Engelfriet.

    Wie de activiteiten van SurveyHouse in ogenschouw neemt, zou snel kunnen vermoeden dat het hier niet om een ‘echt’ Bulgaars bedrijf gaat. Niet alleen zijn enquêtes opgesteld in keurig Nederlands; ook zijn ze voorzien van één-op-één kopieën van het beeldmerk en huisstijl van Nederlandse bedrijven als Albert Heijn, PostNL, en OV-chipkaart. Uit de gegevens van de Bulgaarse Kamer van Koophandel blijkt echter dat SurveyHouse daar wel degelijk staat geregistreerd: het bedrijf staat op de naam van ene Oybek Ochilov, die zich aldaar heeft geïdentificeerd met een Oezbeeks paspoort.

    "De ex-werknemer in kwestie heet Eli Bouscher. De naam van het bedrijf: FreshBack Media"

    Juist omdat de illegale activiteiten die grotendeels gericht zijn op de Nederlandse markt — zoals identiteitsfraude met phishingmails en oplichting door middel van nep-winacties — vanuit Bulgarije plaatsvinden, laat de reden voor deze constructie zich makkelijk raden. Oybek Ochilov is mogelijk alleen op papier eigenaar van SurveyHouse, zodat de werkelijke eigenaar zich kan onttrekken aan de Nederlandse justitiële autoriteiten.

    Van Sofia terug naar Amstelveen

    Wie vult in Nederland zijn zakken door identiteitsfraude te plegen via een Bulgaarse vennootschap? Op basis van de markten waar SurveyHouse opereert en door te kijken naar gelijksoortige winacties, komen we aanvankelijk met vragen terecht bij het in Amsterdam gevestigde ZinQ Media. Deze ontkennen desgevraagd iets te maken te hebben met deze activiteiten.

    Via juridisch adviseur Fabian Bloem overlegt ZinQ Media een screenshot. Daaruit blijkt dat het bedrijf dat achter SurveyHouse schuilgaat eigendom is van een ex-werknemer van R&D Media, het moederbedrijf van ZinQ. De ex-werknemer in kwestie heet Eli Bouscher. De naam van het bedrijf: FreshBack Media.

    Volgens Bloem is het binnen de lead marketing-wereld ‘algemeen bekend’ dat FreshBack Media achter het Bulgaarse SurveyHouse zit. Dit wordt door een anonieme bron uit die wereld desgevraagd bevestigd.

    Uit deze screenshots blijkt de link tussen SurveyHouse en Freshback Media: in de algemene voorwaarden wordt FreshBack Media genoemd, terwijl onderaan de pagina 'Surveyhouse' staat.

    Bouscher’s digitale voetdruk is klein. Op zijn naam staan slechts een LinkedIn pagina, een slapend Twitteraccount en enkele media-optredens, waarin hij zich presenteert als ‘jonge internetondernemer’ en (samen met zijn broer Nathan, die door zijn bestuursfuncties binnen diverse Joodse organisaties bekend staat als  ‘de netwerker’) profileert als hoogopgeleide PVV-stemmer.

    Bronnen binnen de lead marketing-sector melden dat Eli Bouscher samen opereert met de broers Philip en Daniel de Koning. Op LinkedIn zijn de broers ook allebei terug te vinden als medewerkers van FreshBack Media. Beiden zouden de Russische taal machtig zijn; uit zijn Facebook-pagina blijkt verder dat Daniel in Sofia, Bulgarije woont — de stad waar SurveyHouse in maart 2016 bij de Bulgaarse Kamer van Koophandel werd geregistreerd.

    Het bedrijf FreshBack Media heeft zich enkele maanden later, in juni 2016, ingeschreven bij de Nederlandse Kamer van Koophandel. FreshBack Media omschrijft zichzelf in een vacature uit december 2017 als een ‘jonge en dynamische Affiliate Marketing start up’ met maar liefst twintig personen in dienst.

    In de periode dat Follow the Money navraag doet bij bedrijven die voorkomen in de PostNL-phisingmail, worden de website en Facebook-pagina van FreshBack Media plots offline gehaald, evenals alle (nog lopende) SurveyHouse enquêtes. Een eerdere versie van de website laat zien dat FreshBack Media niet alleen op de Nederlandse, maar ook op de Australische en Nieuw Zeelandse markt opereert: precies de landen waar de acties van SurveyHouse terug zijn te vinden.

    Alle bedrijven die voorkoen in de PostNL-phishingmail (onder meer FNV bondgenoten, PuzzelBrein, TMG, TrapXpress en Ziggo), hebben desgevraagd laten weten geen enkele opdracht te hebben gegeven voor het verzamelen van leads aan SurveyHouse of FreshBack Media. Wel zijn een aantal van deze bedrijven later benaderd door FreshBack Media met de vraag of zij leads mochten verzamelen. Voor de duidelijkheid: die leads waren dus feitelijk al verzameld, maar dan op malafide wijze — en zonder medeweten van de bedrijven namens wie dit zogenaamd was gebeurd.

    Eli Bouscher van FreshBack Media is de afgelopen weken herhaaldelijk door FTM benaderd. Tijdens het eerste telefooncontact met Bouscher laat deze weten dat het niet uitkomt; hij belooft later terug te bellen. Deze gedane belofte lost hij niet in en hij zal later zijn telefoon niet meer opnemen. Ook andere pogingen om in contact te treden — onder meer door verzoeken om contact op te nemen uit te zetten richting een familielid en sms’jes ter herinnering te sturen — lopen op niets uit. Mails, sms’jes en berichten via LinkedIn met vragen aan de heren van FreshBack Media bleven onbeantwoord.

    Wat hebben wij precies onderzocht en hoe?

    Om een goed beeld te krijgen van het speelveld van bedrijven, hebben we vier vragenlijsten van SurveyHouse onder de loep genomen. In deze survey’s doet Surveyhouse zich voor als (1) PostNL (2) OV chipkaart (3) Apple en (4) Samsung.

    Onder winacties die onderdeel uitmaken van de enquête zijn vaak (in klein lettertype, grijsgekleurd) namen van de organiserende bedrijven terug te vinden. We hebben alle bedrijven waaran de naam voorkomt in de enquêtes benaderd. Van de Nederlandse marketingbedrijven wiens namen terug zijn te vinden in dergelijke enquêtes, vragen wij uittreksels bij de Kamer van Koophandel om zodoende het speelveld van online marketingbedrijven in kaart te brengen.

    Dit, in combinatie met de marktniche waarin SurveyHouse opereert, brengt ons met vragen bij de voormalig werkgever van Eli Bouscher. Deze overlegt tijdens een toelichtend gesprek een screenshot waaruit blijkt dat het Amstelveense FreshBack Media schuilgaat achter het Bulgaarse SurveyHouse.

    Lees verder Inklappen

    Deel dit artikel, je vrienden lezen het dan gratis

    Over de auteur

    Dieuwertje Kuijpers

    Gevolgd door 982 leden

    Geopolitiek junkie. Statistiek-pieler. Niet geïnteresseerd in politieke poppetjes, wel in mechanismes die deze voortbrengen.

    Volg Dieuwertje Kuijpers
    Verbeteringen of aanvullingen?   Stuur een tip
    Annuleren
    Dit artikel zit in het dossier

    Hoe kwetsbaar zijn we online?

    Gevolgd door 979 leden

    Het internet heeft ons kwetsbaar gemaakt. Mal- en ransomware, hackers, cyberspionnen en zwarte markten bedreigen de online én...

    Volg dossier