Wat hebben filmster Angelina Jolie, oud-premier Jan Peter Balkenende, oud-minister André Rouvoet en ondernemend techtalent Fabian Dudek met elkaar gemeen? Hun identiteit is misbruikt door het Nederlandse cryptomuntbedrijf MedCoin. In een poging vertrouwen te wekken bij investeerders strooit het bedrijf met bekende namen, zo onthulde Het Financieele Dagblad afgelopen vrijdag. De bekende personen bleken bij navraag van niets te weten; ook bleken medewerkers van het bedrijf niet te bestaan.

Sinan Belhawi, oprichter van Medcoin, verwees na vragen van het FD richting het door hem ingehuurde marketingbedrijf: FreshBack Media. Hij had het beheer van zijn website recentelijk aan het Amstelveense bedrijf uitbesteed; dat bedrijf had vervolgens ‘de grenzen opgezocht om meer kliks te genereren.’

‘Er staan nu dingen op de website die niet handig zijn,’ zo verklaarde Belhawi tegenover de krant met enig gevoel voor understatement. De immer opgewekte cryptokenner Vincent Everts liet weten dat het volgens hem ‘eerder onhandigheid dan bedrog’ betreft.

Maar de werkelijkheid oogt veel grimmiger, zo ontdekte FTM. Het Amstelveense bedrijf FreshBack Media maakt zich volgens harde bronnen schuldig aan oplichtingspraktijken. Daarmee duperen ze behalve Nederlandse ook Australische en Nieuw-Zeelandse burgers en bedrijven.

Een mail van PostNL

De stereotype Nigeriaanse ‘prins’ die u via een e-mail probeert te overtuigen om geld over te maken, is al lang niet meer alleen: internetoplichting bestaat in eindeloos veel soorten en maten.

Één manier die de laatste jaren steeds meer aan terrein wint, en waar Nigerianen ook in plachten uit te blinken, is phishing. Hierbij worden nietsvermoedende gebruikers naar een valse website gelokt. Die ziet er op het oog hetzelfde uit als de website van een legitiem bedrijf of instelling, denk bijvoorbeeld aan een bank of gemeente. Op de nepwebsite wordt slachtoffers gevraagd hun gegevens in te vullen; die gegevens worden vervolgens doorgesluisd naar de oplichters. Het kan hierbij gaan om allerlei data — van inlognamen en wachtwoorden, tot creditcardnummers en NAW-gegevens.

De maximale marktwaarde van de PostNL-phishingmail: ruim 236.000 euro

Slechts enkelen zullen er van hebben opgekeken toen ze in de feestelijke decembermaand een mailtje ontvingen van het Nederlandse post- en logistiekbedrijf PostNL. Zoiets moet daarvoor het Bulgaarse bedrijfje SurveyHouse ook hebben gedacht: in foutloos Nederlands, en mét gebruikmaking van het logo en de opmaakstijl van PostNL, verzond het duizenden emails naar Nederlandse mensen.

‘Beste… Onze pakketbezorger heeft onlangs geprobeerd een pakket bij u af te leveren’, zo luidt de openingszin. Daarna wordt gevraagd hoe laat iemand thuis is, waar de ontvanger woont — zogenaamd om het adres te controleren — en welke energieleverancier hij of zij heeft. Onderaan de mail met een witte achtergrond staat in kleine, grijsgekleurde lettertjes (als een soort disclaimer) dat de mail niet van PostNL afkomstig is, maar van SurveyHouse. Ook is een zogenoemde ‘privacy policy’ toegankelijk, waarin staat dat het in Sofia gevestigde bedrijf SurveyHouse zich houdt aan de ‘eisen van de Wet bescherming persoonsgegevens’.

Het gaat hier dus niet om een mail van PostNL, maar om een enquête van een Bulgaars bedrijf dat zegt zich aan de Nederlandse wet te houden. PostNL laat in een reactie weten consumenten te waarschuwen voor dergelijke mails en vaak aangifte te doen, ‘afhankelijk van de omvang en ernst van de phishingcampagne.’ Of deze campagne daar ook onder valt, en op basis van welke criteria dat wordt bepaald, wil PostNL niet zeggen: ‘we hebben genoeg informatie gegeven,’ aldus woordvoerder Hanne Kluck.

Maar ondertussen hengelt SurveyHouse uit naam van PostNL dus wel allerlei informatie over consumenten bij elkaar.

En daar valt geld mee te verdienen, want hoe meer aanvullende informatie er bij de persoonsgegevens zit, des te gerichter bedrijven hun product in de markt kunnen zetten. Zo is een database met telefoonnummers van 50PLUS-stemmers wellicht interessant voor een fabrikant van looprekken, terwijl bedrijven als Essent, Nuon en Eneco geld overhebben voor informatie waar iemand woont en hoe laat diegene thuis komt. Die gegevens zijn immers handig als ze in de decembermaand hun deur-tot-deurverkopers op pad sturen.

De contactgegevens van potentiële klanten (zogeheten ‘leads’) leveren op zichzelf geen grote bedragen op: de stukprijs ligt tussen de 9 en de 60 cent. In grote getalen bij elkaar kan de data echter een aardig bedrag opbrengen: op basis van beschikbare informatie komt de geschatte maximale marktwaarde van de rondgestuurde PostNL-phishingmail neer op ruim 236.000 euro.

Hoewel dit bedrag qua hoogte al bijna in de buurt komt van de gemiddelde Nederlandse hypotheek, kunnen gelijksoortige acties nog veel meer opleveren. Italiaans onderzoek toonde eerder aan dat grootschalig opererende Facebook-spammers op jaarbasis tussen de 87 en 390 miljoen dollar kunnen genereren.

Jumbo-appeltaarten uit Bulgarije

Uit ons onderzoek blijkt dat de werkzaamheden van de ‘Bulgaren’ zich voornamelijk op de Nederlandse markt te richten. Zo zijn er acties uit naam van Jumbo Supermarkten, de HEMA, OV-chipkaart en de Efteling. In al deze gevallen wordt gebruikt gemaakt van zowel beeldmerk als huisstijl van bekende — en dus voor consumenten vertrouwde — merken. 

Eind vorig jaar werd bijvoorbeeld in de precieze huisstijl en opmaak van Albert Heijn mensen een kerstpakket in het vooruitzicht gesteld. Pas na het invullen van een reeks vragen en op het einde van de enquête — wanneer wordt gevraagd de gegevens achter te laten waar het ‘pakket’ naartoe gestuurd kan worden — stond onderaan de pagina, en dus niet direct zichtbaar zonder naar beneden te scrollen, in lettergrootte 8 dat ‘bovenstaande producten en/of merken niet [zijn] geassocieerd met deze winactie’.

Het blijkt een veelvoorkomende praktijk, waar de bekende grootgrutter ook zelf voor waarschuwt op zijn website. Albert Heijn laat desgevraagd weten dat het altijd contact probeert te leggen met de organisatoren van deze winacties en deze sommeert te stoppen met het onrechtmatig gebruik van zijn naam en logo: ‘We doen er alles aan wat in onze macht ligt, maar de praktijk blijkt weerbarstig gezien er helaas steeds weer nieuwe initiatieven opduiken. De resultaten zijn wisselend,’ aldus woordvoerder Eric Lückers.

SurveyHouse beweegt zich overigens ook aan de andere kant van de wereld: zo werden gebruikers in Nieuw-Zeeland in februari 2017 met een Netflix-winactie verleid hun gegevens te delen. Een maand later kregen Australische gebruikers eenzelfde actie te zien; deze keer bestond de ‘prijs’ uit een iPhone.

Het is nog maar de vraag of mensen ook daadwerkelijk hun ‘Albert Heijn Kerstpakket’ of ‘Jumbo appeltaart’ thuis kunnen verwachten. Zo merken diverse gebruikers op Facebook op dat gelijksoortige winactiepagina’s allemaal dezelfde ‘winnaar’ hebben uitgeroepen voor verschillende winacties. Ook wordt er door de consumentenbond en Radar stelselmatig gewaarschuwd voor soortgelijke nep-winacties op social media.

Identiteitsfraude en oplichting

Op de vraag van FTM of het is toegestaan om leads te verzamelen op de manier zoals het in Bulgarije gevestigde SurveyHouse dit doet, is IT-jurist Menno Weij stellig: ‘Nee, absoluut niet. Deze informatie is onrechtmatig verkregen. Met de beste intenties denk ik dat ik een mail krijg van een organisatie, zoals PostNL. Maar ik geef mijn informatie niet met de intentie dat er mee gebeurt, wat er mee gebeurt: dat het doorverkocht wordt door lead marketing-bedrijven. Er wordt hier dus op oneigenlijke gronden data verkregen, en dat kan niet. Daarnaast is het ook nog een privacykwestie.’

Collega-jurist Arnoud Engelfriet is het hier mee eens: ‘Het is strafbaar om je voor te doen als iemand anders om zo gegevens te achterhalen. Het is niet alleen identiteitsfraude, maar ook oplichting. Maar in de praktijk is het moeilijk aan te pakken, omdat deze bedrijfjes ervoor zorgen dat ze niet makkelijk te achterhalen zijn.’ Ook het vestigen in het landen als Bulgarije hoort hierbij: ‘Met de komst van het internet is dit ook makkelijker geworden: je kunt een Britse Limited (LTD) oprichten, of een Estisch bedrijf. Er zijn allerlei technische trucjes om jezelf af te schermen,’ zegt Engelfriet.

Wie de activiteiten van SurveyHouse in ogenschouw neemt, zou snel kunnen vermoeden dat het hier niet om een ‘echt’ Bulgaars bedrijf gaat. Niet alleen zijn enquêtes opgesteld in keurig Nederlands; ook zijn ze voorzien van één-op-één kopieën van het beeldmerk en huisstijl van Nederlandse bedrijven als Albert Heijn, PostNL, en OV-chipkaart. Uit de gegevens van de Bulgaarse Kamer van Koophandel blijkt echter dat SurveyHouse daar wel degelijk staat geregistreerd: het bedrijf staat op de naam van ene Oybek Ochilov, die zich aldaar heeft geïdentificeerd met een Oezbeeks paspoort.

Juist omdat de illegale activiteiten die grotendeels gericht zijn op de Nederlandse markt — zoals identiteitsfraude met phishingmails en oplichting door middel van nep-winacties — vanuit Bulgarije plaatsvinden, laat de reden voor deze constructie zich makkelijk raden. Oybek Ochilov is mogelijk alleen op papier eigenaar van SurveyHouse, zodat de werkelijke eigenaar zich kan onttrekken aan de Nederlandse justitiële autoriteiten.

Van Sofia terug naar Amstelveen

Wie vult in Nederland zijn zakken door identiteitsfraude te plegen via een Bulgaarse vennootschap? Op basis van de markten waar SurveyHouse opereert en door te kijken naar gelijksoortige winacties, komen we aanvankelijk met vragen terecht bij het in Amsterdam gevestigde ZinQ Media. Deze ontkennen desgevraagd iets te maken te hebben met deze activiteiten.

Via juridisch adviseur Fabian Bloem overlegt ZinQ Media een screenshot. Daaruit blijkt dat het bedrijf dat achter SurveyHouse schuilgaat eigendom is van een ex-werknemer van R&D Media, het moederbedrijf van ZinQ. De ex-werknemer in kwestie heet Eli Bouscher. De naam van het bedrijf: FreshBack Media.

Volgens Bloem is het binnen de lead marketing-wereld ‘algemeen bekend’ dat FreshBack Media achter het Bulgaarse SurveyHouse zit. Dit wordt door een anonieme bron uit die wereld desgevraagd bevestigd.

Uit deze screenshots blijkt de link tussen SurveyHouse en Freshback Media: in de algemene voorwaarden wordt FreshBack Media genoemd, terwijl onderaan de pagina 'Surveyhouse' staat.

Bouscher’s digitale voetdruk is klein. Op zijn naam staan slechts een LinkedIn pagina, een slapend Twitteraccount en enkele media-optredens, waarin hij zich presenteert als ‘jonge internetondernemer’ en (samen met zijn broer Nathan, die door zijn bestuursfuncties binnen diverse Joodse organisaties bekend staat als  ‘de netwerker’) profileert als hoogopgeleide PVV-stemmer.

Bronnen binnen de lead marketing-sector melden dat Eli Bouscher samen opereert met de broers Philip en Daniel de Koning. Op LinkedIn zijn de broers ook allebei terug te vinden als medewerkers van FreshBack Media. Beiden zouden de Russische taal machtig zijn; uit zijn Facebook-pagina blijkt verder dat Daniel in Sofia, Bulgarije woont — de stad waar SurveyHouse in maart 2016 bij de Bulgaarse Kamer van Koophandel werd geregistreerd.

Het bedrijf FreshBack Media heeft zich enkele maanden later, in juni 2016, ingeschreven bij de Nederlandse Kamer van Koophandel. FreshBack Media omschrijft zichzelf in een vacature uit december 2017 als een ‘jonge en dynamische Affiliate Marketing start up’ met maar liefst twintig personen in dienst.

In de periode dat Follow the Money navraag doet bij bedrijven die voorkomen in de PostNL-phisingmail, worden de website en Facebook-pagina van FreshBack Media plots offline gehaald, evenals alle (nog lopende) SurveyHouse enquêtes. Een eerdere versie van de website laat zien dat FreshBack Media niet alleen op de Nederlandse, maar ook op de Australische en Nieuw Zeelandse markt opereert: precies de landen waar de acties van SurveyHouse terug zijn te vinden.

Alle bedrijven die voorkoen in de PostNL-phishingmail (onder meer FNV bondgenoten, PuzzelBrein, TMG, TrapXpress en Ziggo), hebben desgevraagd laten weten geen enkele opdracht te hebben gegeven voor het verzamelen van leads aan SurveyHouse of FreshBack Media. Wel zijn een aantal van deze bedrijven later benaderd door FreshBack Media met de vraag of zij leads mochten verzamelen. Voor de duidelijkheid: die leads waren dus feitelijk al verzameld, maar dan op malafide wijze — en zonder medeweten van de bedrijven namens wie dit zogenaamd was gebeurd.

Eli Bouscher van FreshBack Media is de afgelopen weken herhaaldelijk door FTM benaderd. Tijdens het eerste telefooncontact met Bouscher laat deze weten dat het niet uitkomt; hij belooft later terug te bellen. Deze gedane belofte lost hij niet in en hij zal later zijn telefoon niet meer opnemen. Ook andere pogingen om in contact te treden — onder meer door verzoeken om contact op te nemen uit te zetten richting een familielid en sms’jes ter herinnering te sturen — lopen op niets uit. Mails, sms’jes en berichten via LinkedIn met vragen aan de heren van FreshBack Media bleven onbeantwoord.