Advertorial - Een cryptobelegger heeft via een nep-app voor zo'n 860.000 euro aan bitcoins verloren. Hoe dit kon gebeuren? Hij installeerde de app van Trezor, een fysieke wallet waarop je cryptomunten kan opslaan, op zijn iPhone. Alleen ging het niet om de echte app, maar om een namaakversie die door internetcriminelen in de App Store werd aangeboden.

App zag er helemaal echt uit
De belegger verloor 17,1 bitcoins, omgerekend naar de huidige koers zo'n 860.000 euro. De app die hij gebruikte, leek heel betrouwbaar, zag er professioneel uit en had ook het vertrouwde uiterlijk. Ook had de app bijna vijf sterren gekregen en waren de reviews lovend. Toch was hij binnen enkele seconden al zijn cryptomunten kwijt. Dit is des te meer opvallend omdat Apple zelf beweert de meest vertrouwde marktplaats voor apps aan te bieden. Ze rekenen commissies tot 30% om dit te waarborgen en ze controleren elke app die er wordt aangeboden. En toch liep het mis.

Beveiliging is niet waterdicht
In de praktijk blijkt dat de beveiliging vrij eenvoudig te omzeilen is. Wat Apple namelijk doet, is een heel effectief beoordelingsproces opzetten voor nieuwe apps. Internetcriminelen kunnen dit omzeilen door een op het eerste gezicht betrouwbare app te bouwen die deze test doorstaat. Op die manier kunnen ze zelfs veel positieve reviews verzamelen en extra betrouwbaar ogen.
En dan komt er ineens een update en komt de aap uit de mouw. Uiteindelijk merkt Apple dit wel op en grijpt in, maar het is niet ondenkbaar dat er dan al slachtoffers zijn gevallen. Alleen al vorig jaar zijn er na het initiële beoordelingsproces alsnog 6.500 apps verwijderd die “verborgen of ongedocumenteerde functies” hadden. Het is de internetcriminelen daarbij niet altijd om geld te doen, want ook persoonsgegevens hebben waarde op de zwarte markt. Zelfs een onschuldig ogende app die de Ripple-koers weergeeft of een leuk spelletje kan risico's inhouden.
Zo gebeurde het ook met de namaak-Trezor-app. Deze app zou in de App Store terechtgekomen zijn als een app die iPhone-bestanden versleutelt. Enige tijd later is de app omgevormd naar een valse cryptocurrency wallet. Zo'n omvorming is volgens de voorwaarden van Apple niet toegestaan, maar het bedrijf zegt onmogelijk alle wijzigingen en updates te kunnen controleren. Het rekent daarvoor op gebruikers om verdachte handelingen te melden.

Zeker niet het eerste slachtoffer
Exacte cijfers over diefstallen via de App Store zijn er niet. Wel heeft Apple erkend dat er eerdere gevallen van oplichting met cryptomunten zijn geweest. Conform, een Brits bedrijf dat gespecialiseerd is in fraudeonderzoeken, zegt dat nep-applicaties in de Play Store (Android) en de App Store (Apple) regelmatig voorkomen. Ze zouden weet hebben van 1,6 miljoen dollar aan gestolen cryptomunten via de nep-Trezor-app. Volgens Sensor Tower, een toonaangevende leverancier van marktinformatie over de mondiale app-economie, overleefde de nep-app acht dagen in de App Store en werd hij in die tijd 1.000 keer gedownload.

Zelf nep-apps herkennen
Gebruikers mogen er dus niet zomaar van uitgaan dat apps die zich in de App Store bevinden ook veilig zijn. Vaak zijn nep-apps niet van betrouwbare apps te onderscheiden. Op Veiliginternetten.nl, een initiatief van het Ministerie van Justitie en Veiligheid, geven ze daarom een aantal tips mee. Zij raden aan om goed de naam van de app te vergelijken met de naam die door de officiële aanbieder wordt meegedeeld. Ook de naam van de aanbieder zelf moet je vergelijken. Kijk daarnaast naar het aantal downloads en de beoordelingen en wees ook kritisch als een app alleen maar positieve reviews krijgt.
Voorts sturen veel aanbieders je via hun website door naar de downloadpagina in de App Store. Dit is nog steeds veiliger dan zelf naar de app te zoeken via de zoekbalk in de App Store. Ten slotte nog dit: apps die je buiten de App Store downloadt, zoals een gehackte versie van Spotify, zijn nooit geverifieerd en houden extra risico's in.