Je kunt de (digitale) krant tegenwoordig niet openen of er staat wel een bericht in over datalekkage of ‘gekraakte accounts’. En dat zijn nog maar de gevallen die in de publiciteit komen. Buiten beeld doen zich nog veel meer digitale veiligheidsincidenten voor. Nu zijn de gevolgen niet altijd zichtbaar, maar die zijn er wel degelijk. Persoonsgegevens – die onbedoeld op straat komen te liggen – kunnen door cybercriminelen namelijk slim worden gecombineerd om gerichte aanvallen op organisaties en zelfs op personen binnen organisaties uit te voeren.

Gelekte persoonsgegevens worden onder meer gebruikt bij OSINT (Open Source INTelligence); een belangrijke onderzoeksbron voor cybercriminelen en inlichtingendiensten om een nauwkeurig beeld van organisaties en personen te krijgen en daar hun voordeel mee te doen. Laten we er maar even van uitgaan dat inlichtingendiensten het goed met ons voor hebben. Hun eerste belang is immers het beschermen van hun staatsrechtelijke broodheer tegen aanvallen, in welke vorm dan ook. In de praktijk is het onderscheid soms lastig vast te stellen, maar bij professionele cybercriminelen is de eerste prioriteit duidelijk anders. Zij gebruiken gelekte data doorgaans om er financieel beter van te worden. Hoe dat in z’n werk gaat? Dat leg ik je uit nadat ik een aantal waargebeurde incidenten voor je op een rijtje heb gezet.

Gehackte database bij allekabels.nl

De gehackte database van allekabels.nl werd eind januari 2021 voor 15.000 euro te koop aangeboden op een hackersforum en bestond uit de privégegevens van 3,6 miljoen Nederlanders met 2,6 miljoen unieke mailadressen die aan namen, woonadressen, telefoonnummers, geboortedata en versleutelde wachtwoorden waren gekoppeld.

Ook werden er zo’n 109.000 IBAN-nummers van klanten van allekabels.nl verkocht. Allekabels.nl beweerde in eerste instantie dat het allemaal wel meeviel en dat er ‘slechts’ 5000 klantgegevens waren gestolen en dan ook nog door een medewerker die daarom direct ontslagen werd. Dat ging echter alleen op voor klanten die voor hun bestellingen bij allekabels.nl een apart e-mailadres gebruikten; juist om te kunnen zien of dat adres gecompromitteerd kon zijn. Die kleine groep werd direct op de hoogte gesteld van de hack; de overige 3.595.000 klanten werden medio april geïnformeerd, maar dat gebeurde pas toen de media uitgebreid over de hack hadden gepubliceerd.

Datalek bij Ticketcounter

Begin maart 2021 werd bekend dat bij Ticketcounter een back-up was gestolen. Daarbij werden bankrekeningnummers, geboortedata, e-mailadressen, geslacht en IP-adressen, namen, betaalgeschiedenissen, telefoonnummers en adresgegevens buitgemaakt. Ticketcounter verzorgt reserveringen en betalingen voor dierentuinen, pretparken, musea en evenementen en heeft daarvoor (logischerwijze) de nodige gegevens nodig.

 

De organisatie kreeg van digitale beveiligingsexperts te horen dat gegevens van gebruikers werden aangeboden op het Dark Web, een deel van het web dat voor leken niet eenvoudig toegankelijk is. Daarop ontdekte het bedrijf dat het datalek door een menselijke fout was ontstaan: opslag van de back-up over de periode van medio 2017 tot en met begin augustus 2020 op een verkeerde locatie. Maar door die onzorgvuldigheid lagen wel privacygevoelige gegevens van ruim 1,9 miljoen Nederlanders op straat.

RAI Documentatie Centrum: hack of geen hack?

Op 24 maart werd het RDC (voluit Rijwiel- en Automobiel-Industrie Documentatie Centrum) geïnformeerd dat voertuig- en persoonsgegevens online werden aangeboden. De gegevens zouden mogelijkerwijs afkomstig zijn van het RDC, dat bedrijven in de automotive branche voorziet van data en applicaties waarmee ze hun klanten sneller, beter en gerichter kunnen benaderen. Op basis van onderzoek in logbestanden verklaarde het RDC dat er geen sprake was van een hack, maar dat het verouderde informatie uit september 2018 tot eind januari 2019 betrof. Evengoed ging het wel om persoonsgegevens van zo’n 7,3 miljoen Nederlanders en bevatte de dataset naast 2,5 miljoen e-mailadressen ook persoonsnamen, adresgegevens, kentekens, telefoonnummers en geboortedata.

Dump van Facebook- en LinkedIn-data

Een goede week later, we schrijven begin april, werd op een hackforum een Facebook-dump gepubliceerd. In totaal zou het gaan om persoonsgegevens van zo’n 533 miljoen Facebookgebruikers, waaronder 5,4 miljoen Nederlanders. Ook nu ging het om verschillende soorten gegevens, zoals namen, Facebook-ID’s, telefoonnummers, woonplaatsen, geboortedatums en in sommige gevallen ook e-mailadressen. Facebook reageerde door aan te geven dat FB-gebruikers daarover niet geïnformeerd zouden worden en dat er niet was ingebroken bij de organisatie. Die uitspraak zou heel goed kunnen kloppen, omdat het lijkt te gaan om oudere gegevens die in 2019 van Facebook-profielen zijn ‘gescraped’ en door gebruikers zelf zijn ingevoerd.

Web scraping

Scrapen is een computertechniek waarbij software of een geautomatiseerd script wordt gebruikt om openbare informatie van webpagina’s te verzamelen. De techniek kan enigszins worden vergeleken met web-indexering, waarvan de meeste zoekmachines gebruik maken. Scrapen is echter wezenlijk anders doordat een enorme berg ongestructureerde data wordt omgezet naar gerangschikte gegevens die eenvoudig geanalyseerd kunnen worden.

Web scraping

Scrapen is een computertechniek waarbij software of een geautomatiseerd script wordt gebruikt om openbare informatie van webpagina’s te verzamelen. De techniek kan enigszins worden vergeleken met web-indexering, waarvan de meeste zoekmachines gebruik maken. Scrapen is echter wezenlijk anders doordat een enorme berg ongestructureerde data wordt omgezet naar gerangschikte gegevens die eenvoudig geanalyseerd kunnen worden.

Kort na de publicatie van de Facebook-dump verscheen overigens ook een LinkedIn-dump online, met soortgelijke openbare persoonsgegevens: LinkedIn-ID’s, namen, e-mailadressen, telefoonnummers, geslacht én links naar andere social media profielen van 500 miljoen LinkedIn-gebruikers, wereldwijd. Ook deze informatie lijkt door web scraping verkregen te zijn.

‘Een ontluisterend beeld van het gemak waarmee cybercriminelen onze vertrouwelijke gegevens kunnen misbruiken.’

Maar wat kunnen cybercriminelen nou met al die informatie? Dat moet je zeker niet onderschatten. Wanneer alle verzamelde gegevens met elkaar worden vergeleken en er overeenkomsten worden gevonden, kan al een duidelijk profiel geschetst worden van personen die bij een organisatie werken. Door de data van Facebook en LinkedIn met elkaar te verbinden, kunnen cybercriminelen het privéleven en de zakelijke omgeving van personen aan elkaar koppelen en inzichtelijk maken.

 

Wanneer die informatie gecombineerd kan worden met de gegevens van het RDC, Ticketcounter en allekabels.nl weten ze dan ook welke auto iemand rijdt, wat het woonadres is, welk rekeningnummer iemand gebruikt en met een beetje pech ook nog hoe de geldstroom in een organisatie wordt geregeld en welke bedragen daarin omgaan. Het geeft een ontluisterend beeld van het gemak waarmee cybercriminelen onze vertrouwelijke gegevens kunnen misbruiken.

SMS en WhatsApp

Intussen neemt het aantal aanvallen toe en worden die (dus) steeds doelgerichter. Iedereen kent de verhalen over een SMS of WhatsApp-bericht waarin een ‘familielid’ aangeeft dringend geld nodig te hebben en belooft om het bedrag snel weer terug te betalen. In werkelijkheid komt het bericht van een oplichter. Die laat eerst weten een ‘nieuw telefoonnummer’ te hebben, compleet met profielfoto van de persoon van wie ze de identiteit gebruiken. Die foto is van social media gehaald, net als informatie over familierelaties en hoe mensen elkaar aanspreken.

 

Kritische vragen worden vervolgens handig omzeild, met als resultaat dat in (te) veel gevallen aan het verzoek wordt voldaan. Een eenvoudige manier om te voorkomen dat je in die val trapt, is om aan de afzender te vragen om een gesproken bericht te sturen. De kans is groot dat daar verder geen reactie op komt omdat de stem van de oplichter nu eenmaal niet overeenkomt met de stem die je goed kent.

Aflevering 8

10 cybersecurity tips voor MKB-organisaties

Veel MKB-organisaties denken dat de kans klein is dat ze door cybercriminelen worden overvallen. Onze salesmanager Jasper en collega/securityspecialist Martijn helpen hen in aflevering 8 van ‘Hack van de dam’ met waargebeurde voorbeelden uit de droom. Tegelijk geven ze 10 cybersecurity tips die praktisch toepasbaar zijn en de digitale veiligheid aanmerkelijk verhogen.

Spear phishing

Bij een persoonlijke (geslaagde) aanval via SMS of WhatsApp bedraagt de gemiddelde schadepost 2.000 euro. De bedragen die via zakelijke aanvallen worden binnengehaald, liggen aanmerkelijk hoger. Er zijn inmiddels voldoende gevallen bekend waarbij per mail verstuurde nepfacturen probleemloos door cybercriminelen zijn geïnd omdat ze precies wisten wie ze moesten benaderen en welke zakelijke relatie ze konden misbruiken om betrouwbaar over te komen. De organisatie en de daarin werkzame personen zijn dan zo goed in kaart gebracht dat je echt enorm alert moet zijn om geen slachtoffer van dergelijke praktijken te worden.

 

In feite praten we dan over een verfijnde vorm van phishing, namelijk ‘spear phishing’. Waar het bij phishing vaak gaat om een bulkmail waarbij afgewacht wordt wie in de cyberfuik zwemt, draait het bij spear phishing om één doelwit dat met gebruikmaking van gestolen of gelekte gegevens wordt verleid om geld over te maken op een rekening van de cybercrimineel die achter de aanval zit.

Wat kun je eraan doen?

Mensen zijn nu eenmaal mensen en mensen maken fouten. Je kunt nog zoveel investeren in technologie en bedrijfsprocessen en -procedures op papier waterdicht inrichten; de mens is en blijft de zwakste schakel in het maximaliseren van de digitale veiligheid. Je zult er dus voor moeten zorgen dat het veiligheidsbewustzijn in jouw organisatie naar een zo hoog mogelijk niveau wordt getild. Houd medewerkers voortdurend bij de les om de ‘security awareness’ te verhogen.

 

Uit recent onderzoek is gebleken dat het minimaal halfjaarlijks uitvoeren van een phishing simulatie campagne bijdraagt aan het herkennen van phishing door medewerkers. Het is een begin, maar ons Security Advisory Center adviseert om meer te doen en een jaarrond security awareness programma op te stellen met diverse vormen van bewustwording en trainingen; zoals phishing simulatie testen, e-learning trainingen, mystery calls en security games.

 

Weet je dan absoluut zeker dat je nooit getroffen wordt door een cyberaanval? Dat durf ik niet te garanderen, want mensen blijven mensen. Maar je maakt het cybercriminelen wel zo moeilijk mogelijk om jouw organisatie schade te berokkenen. En als jij een lastig doelwit blijkt te zijn, zullen ze al snel op zoek gaan naar andere potentiële slachtoffers die minder goed beschermd zijn. Dan heb je jouw doel bereikt.

Martien van Dijk

Digitale veiligheid is vooral een mensenkwestie.

    de Maand van Avantage

    Maandelijkse updates over security, productiviteit en thuiswerken