Een onbekende stuurt je een bericht op Reddit. Die persoon zegt dat iemand hem of haar heeft gemeld, en het account waarmee de melding is gedaan lijkt erg op dat van jou. Was jij dat?
Dat was het niet. Dat is niet echt de kern van de boodschap.
Deze methode is volledig gebaseerd op social engineering. Er is geen sprake van malware of schadelijke links. Het begint met een gesprek, maar het doel is om je ertoe te verleiden een inlogcode of verificatiecode prijs te geven, zodat de oplichter toegang krijgt tot je Reddit-account.
Hoe deze zwendel werkt
Er zijn twee veelvoorkomende varianten van deze zwendel:
- “Iemand heeft een klacht over mij ingediend, en het lijkt erop dat jij dat was.”
- “Ik heb je account per ongeluk gemeld.”
Iemand beweert dat er een fout is gemaakt met betrekking tot een melding. In de ene versie zeggen ze dat iemand hen heeft gemeld en dat het erop lijkt dat jij dat was. In de andere versie beweren ze dat ze per ongeluk jouw account hebben gemeld en jouw hulp nodig hebben om dit recht te zetten. Hoe dan ook, er is geen melding. Het is de opmaat naar een social-engineering-zwendel die veel voorkomt op Discord, Reddit en andere platforms.
Het uiteindelijke doel varieert. Bij sommige varianten wordt geprobeerd je te misleiden zodat je een inlog- of verificatiecode deelt, waarna de oplichter zich bij je account kan aanmelden, je wachtwoord kan wijzigen en je de toegang kan ontzeggen. Bij andere varianten wordt je overgehaald om het e-mailadres dat aan je account is gekoppeld te wijzigen in een adres dat zij beheren. Vervolgens eisen ze een cadeaubon of een andere betaling om het probleem te ‘oplossen’, waarbij ze dreigen je account te verwijderen of het te gebruiken om andere mensen op te lichten als je niet betaalt.
Als je nog steeds met hen in contact staat, stop daar dan mee en deel geen codes en wijzig je accountgegevens niet. Als je een van beide al hebt gedaan en geen toegang meer hebt tot je account, ga dan direct door naar het gedeelte ‘Hoe kun je jezelf beschermen?’ hieronder.
Hoe het zich ontvouwt
Het gesprek begint meestal met een van de volgende twee beweringen. Ofwel zegt de persoon dat iemand zijn of haar account heeft gemeld en dat het erop lijkt dat jij dat was, ofwel beweert hij of zij dat hij of zij jouw account per ongeluk heeft gemeld.
Als je het ontkent, gaat de oplichter niet in discussie. Ze zeggen dat het waarschijnlijk een onschuldige vergissing was en houden het gesprek gaande. Ze vragen misschien of je weet wie hen heeft aangegeven, of suggereren dat jij kunt helpen om de zaak op te helderen. Het doel is simpelweg om je bij het gesprek betrokken te houden.
Vervolgens sturen ze ‘bewijs’: een screenshot van een e-mail die eruitziet alsof hij van Reddit afkomstig is. De toon is formeel, er staat een ticketnummer in, er wordt beweerd dat er een ‘formeel onderzoek’ loopt, en er is een aftelling – meestal 12 uur – tot ‘schorsing, beperkte functionaliteit of een ban’. In sommige versies wordt je gevraagd contact op te nemen met iemand op Discord die beweert een medewerker of moderator van Reddit te zijn. Andere versies bevatten een valse juridische waarschuwing waarin wetten of voorschriften worden aangehaald die niets met de situatie te maken hebben. Niets daarvan is echt.
Waarom Reddit zo niet werkt
Reddit vraagt de betrokkenen bij een melding niet om contact met elkaar op te nemen, en het vraagt je ook niet om je account te verifiëren via een onbekende in een privébericht. Het behandelt geen bezwaarschriften via Discord en verwijst je ook niet door naar het persoonlijke Discord-account van een medewerker. Meldingen, moderatie en bezwaarschriften verlopen allemaal via Reddit zelf.
De aftelling is bedoeld om een gevoel van urgentie te creëren. In combinatie met vage dreigementen over schorsing, beperkte functies of een verbanning is dit bedoeld om je tot actie aan te zetten voordat je de tijd hebt om je af te vragen wat er aan de hand is.
Waar ze eigenlijk op uit zijn
Het rapport en de valse e-mail zijn slechts de opzet. De oplichter vertelt je dat een medewerker of „supervisor“ van Reddit je account moet verifiëren om aan te tonen dat je er niets mee te maken had. Om dat te doen, zeggen ze, moet je de code voorlezen die Reddit je zo dadelijk zal sturen.
Terwijl je het gesprek voert, probeert de oplichter in te loggen op je echte account of een accountherstelprocedure in gang te zetten. Reddit reageert hierop door je een echte inlog- of verificatiecode te sturen.
De timing is geen toeval. De code komt precies op het moment dat je te horen hebt gekregen dat je die kunt verwachten. Als je de code hardop voorleest, kan de oplichter die gebruiken om in te loggen op je account, je wachtwoord te wijzigen en je de toegang te ontzeggen. De code zelf is echt. Het verhaal eromheen is de oplichting.
Waarom mensen erin trappen
Of je nu ervan wordt beschuldigd iemand te hebben gerapporteerd of te horen krijgt dat je account per ongeluk is gerapporteerd: deze zwendel brengt je in een situatie waarin je het probleem wilt oplossen. Dus wanneer je wordt gevraagd je account te ‘verifiëren’, kan dat aanvoelen als een stap in de richting van een oplossing, in plaats van als een veiligheidsrisico.
Door de valse e-mail lijkt het verhaal geloofwaardiger, vooral als je niet stilstaat bij de vraag of de contactmethode of -procedure wel overeenkomt met hoe Reddit in werkelijkheid werkt. Het aftellen zorgt voor een gevoel van urgentie, waardoor je wordt aangemoedigd om actie te ondernemen voordat je de tijd hebt gehad om er goed over na te denken.
Dit heeft niets te maken met goedgelovigheid. Het is een goed uitgewerkt social-engineering-scenario dat bedoeld is om een redelijk verzoek legitiem te laten lijken.
Het gaat niet alleen om directe berichten
Hoewel deze zwendel met valse meldingen meestal via een privébericht begint, doen oplichters zich ook voor als Reddit in phishing-e-mails waarin wordt beweerd dat je account is geblokkeerd of dat er actie moet worden ondernomen. Als je een onverwachte beveiligingsmail ontvangt, klik dan niet op de links daarin. Log in plaats daarvan rechtstreeks in op Reddit via de officiële website of app.
Als je account is gehackt, kun je berichten, reacties of privéberichten tegenkomen die je niet zelf hebt geplaatst. Dat is een teken dat iemand anders toegang heeft tot je account. Als dat gebeurt, wijzig dan je wachtwoord, schakel tweefactorauthenticatie in als je dat nog niet hebt gedaan, en volg de procedure van Reddit voor het herstellen van je account.
Hoe u uzelf kunt beschermen
- Deel nooit je Reddit-inloggegevens of verificatiecode met iemand, zelfs niet met iemand die beweert een medewerker of ondersteuningsmedewerker van Reddit te zijn.
- Wijzig het e-mailadres dat aan je account is gekoppeld nooit op verzoek van een onbekende, zelfs niet om een gemeld probleem te ‘oplossen’.
- Als iemand je vraagt om een cadeaubon te kopen of geld over te maken om een melding op te lossen, is dat oplichterij.
- Reddit zal gebruikers die bij een melding betrokken zijn niet vragen om contact met elkaar op te nemen, hun accounts via privéberichten te verifiëren of bezwaarschriften via Discord af te handelen.
- Als je een onverwachte beveiligingsmail van Reddit ontvangt, klik dan niet op de links daarin. Log in plaats daarvan rechtstreeks in op je account via reddit.com of de officiële app.
- Schakel tweefactorauthenticatie in via een authenticatie-app en beschouw elke onverwachte inlogpoging of verificatiecode als een teken dat iemand mogelijk probeert toegang te krijgen tot je account.
- Als je berichten, reacties of privéberichten ziet die je niet zelf hebt geplaatst, beveilig je account dan onmiddellijk door je wachtwoord te wijzigen. Als je geen toegang meer hebt, maak dan gebruik van de officiële procedure voor accountherstel van Reddit op reddit.com.
- Meld de oplichter en zijn berichten via de ingebouwde meldfuncties van Reddit.
Onthoud
Als iemand je vraagt om een inlogcode of verificatiecode door te geven, stop dan meteen. Dat is de zwendel. Alles wat daaraan voorafgaat, is slechts de opzet.




