Hoe kun je jezelf en je bedrijf beschermen?
Klopt het dat alle woorden uit het woordenboek onveilig zijn als wachtwoord? Zijn de thuiswerkers nu werkelijk makkelijker te hacken dan als ze op kantoor werken? Wat kan iemand zonder al te veel verstand van computers het beste doen om te voorkomen dat zijn bankrekening leeggeplunderd wordt of alle klantgegevens verdwijnen? En kan een hacker ook via een robotstofzuiger of een wifi-koffiezetter je vertrouwelijke e-mails lezen?
Maria Genova is schrijfster van het boek ‘Komt een vrouw bij de h@cker’’ en één van de meest gevraagde sprekers op het gebied van privacy en cybersecurity. De afgelopen periode werd zij overstelpt met vragen over privacy en cybercrime. In dit artikel behandelt ze de leukste en meest leerzame vragen en voorbeelden.
Laat ik bekennen dat voordat ik gevraagd werd om aan zo’n beetje alle gerenommeerde bedrijven lezingen te geven, ik niet al te veel wist over het onderwerp cybersecurity. Over privacy evenmin, want ik dacht daar heel makkelijk over: ik heb niets te verbergen en ik ben niet interessant genoeg voor hackers. Het probleem is dat de meeste Nederlanders nog steeds zo denken. Een nog groter probleem is dat de hackers daar totaal geen boodschap aan hebben. Steeds vaker hacken ze kleine bedrijven en particulieren.
Vorig jaar waren er meer dan vier miljoen slachtoffers van cybercrime in Nederland. Zestig procent van het MKB heeft al te maken gehad met cyberaanvallen en datalekken.
De hackers komen vaak per toeval binnen, bijvoorbeeld omdat Marieke Smit van de administratie of makelaar Pieter Jansen op een ‘phishingmail’ heeft geklikt. Of omdat collega Marc een website heeft bezocht die besmet bleek te zijn met een virus, directeur Jan Verkerk Winter2020 of gewoon Welkom123 als wachtwoord gebruikte. Bedrijven kunnen op veel manieren gehackt worden en dat gebeurt ook dagelijks. Privégegevens van 49.000 klanten van verhuurmakelaar Altijd Wonen kwamen bijvoorbeeld in handen van criminelen, omdat de website niet goed beveiligd was. Door het lek waren namen, e-mailadressen, en telefoonnummers en wachtwoorden in te zien. Later kregen klanten phishingmails uit naam van Altijd Wonen. Als je in een nep mail trapt, kunnen hackers van alles met je computer doen, bijvoorbeeld je e-mals lezen, al je vrienden en collega’s een nep bericht sturen, waarmee ze óók hun computers overnemen en vervolgens meteen hun bankrekeningen plunderen.
Het probleem bij het ontvangen van een e-mail van een gehackte vriend of collega is dat je niet direct denkt dat dit foute boel is. Maar let op kleine aanwijzingen. Zo kreeg ik bijvoorbeeld een keer via de mail een link naar YouTube van mijn zus. Het enige wat ze schreef was ‘Hoi’ met daarbij de link. Omdat ze dat eigenlijk nooit op deze manier deed, stuurde ik haar een sms met de vraag of haar Gmail niet toevallig gehackt was. Dit bleek inderdaad het geval te zijn.
Je kunt trouwens checken of zo’n linkje echt naar een YouTube video gaat door met je cursor heel even boven de link te zweven. Negen van de tien keer verandert de link en verwijst het naar een onbekende website waar een virus op je staat te wachten. Bij mobiele telefoons kun je de link langer vasthouden, zonder los te laten, om te kijken of het naar de juiste website verwijst. Zo zijn er momenteel veel kwaadaardige e-mails van pakketbezorgers zoals PostNL en DHL met nette teksten zonder tikfouten. Als je klikt op de afzender zie je vaak dat die niet klopt, maar soms ziet de afzender er wel goed uit. Het veiligste is om bij twijfel nooit op de link te klikken, maar zelf de website van het bedrijf te googelen en daar in te loggen om te kijken hoe laat je pakje aankomt (bijvoorbeeld).
Interessante doelen
Nederland is vanwege de goede digitale infrastructuur een doelwit voor cybercriminelen uit de hele wereld. Omdat we veel zaken digitaal regelen, valt er hier ook heel veel te halen. Ook bij bedrijven en organisaties die denken dat ze niet interessant zijn. Een voorbeeld is het Interprovinciaal Overleg (IPO) dat een datalek bij de Autoriteit Persoonsgegevens meldde: een medewerker had op een phishinglink geklikt, accountgegevens ingevoerd en vervolgens werden vanaf haar mailadres valse e-mails verzonden. Zo’n hack is niet opmerkelijk, wel de reactie van hun woordvoerder dat de medewerkers niet worden getraind om phishingmails te herkennen, omdat de organisatie daar te klein voor is, slechts dertig medewerkers. Dat is de taak van de ICT-afdeling, meende hij. Deze woordvoerder snapt blijkbaar niet dat de ICT-afdeling niet kan voorkomen dat de medewerkers op phishingmails klikken en hun wachtwoorden invoeren. En dat de computers dan gehackt worden. Bij elke organisatie valt er wat te halen. Bij IPO is vooral het netwerk interessant. Als je zo’n kleine organisatie hackt en namens hen een phishingmail stuurt naar de verschillende partners, dan trappen zij er waarschijnlijk wel in. Wie de partners zijn staat op hun website: ‘Het IPO onderhoudt contact met onder andere het kabinet, het parlement, de ministeries, de Europese Unie en maatschappelijke organisaties.’ Nou, dat zijn nogal wat interessante doelen.
In het bedrijfsleven gebeurt precies hetzelfde: vaak zijn de grote bedrijven vrij goed beveiligd, maar als een kleine leverancier gehackt is, sturen de medewerkers namens hem een e-mail met een kwaadaardige link of bijlage. En omdat het grote bedrijf de leverancier vertrouwt, wordt deze klakkeloos geopend en ligt soms het hele bedrijf plat. Gijzel software is tegenwoordig een miljoenen business. De hackers slaan meestal niet meteen toe. Soms wachten ze maanden en besmetten in de tussentijd ook de back-ups. Dan op een dag ligt alles plat en krijg je de keus: of een groot bedrag betalen en alles terugkrijgen of je bent alle klantgegevens, administratie, e-mails, ingescande documenten, kortom alles kwijt. Waar kies je voor?
Publiciteit
Je back-ups terugzetten werkt vaak niet. Of het werkt wel, maar je bent de gegevens van de afgelopen zes maanden kwijt. Dus iedereen heeft zes maanden lang voor niets gewerkt. En dat allemaal door één klik op de verkeerde e-mail of door slechts één zwak wachtwoord. En vaak ook doordat je de laatste updates van een programma niet hebt gedaan. Dit zijn de drie belangrijkste redenen waarom er momenteel zo veel mensen en zo veel bedrijven gehackt worden.
De meningen over of je wel of niet aan de hackers moet betalen als ze alle computers gijzelen, zijn verdeeld. Sommige experts vinden dat het strafbaar moet worden, omdat je criminaliteit beloont. Daar zit trouwens wat in, want waarom deze vorm van criminaliteit zo explosief groeit, is omdat we massaal betalen. Dus de criminelen zien dat het prima werkt en zetten hun praktijken voort.
De gevraagde bedragen verschillen per hacker. Soms wordt er 40.000 euro aan een makelaarskantoor gevraagd, maar het kan ook nog veel meer zijn. Er zijn zelfs bedrijven die er meer dan 1 miljoen euro voor over hebben om hun gegevens terug te krijgen, bijvoorbeeld universiteiten en financiële organisaties. Sommige hackers kijken naar de grootte van een bedrijf, andere vooral naar welke gegevens zij hebben bemachtigd en hoe waardevol die zijn, en passen daarop de hoogte van het bedrag aan.
Als je persoonlijke gegevens niet goed beschermd hebt, kun je bovendien een flinke boete van de Autoriteit Persoonsgegevens krijgen, daarom sluiten sommige ondernemers maar een deal met de hackers om zo alles onder het tapijt te vegen. Zodat het maar niet in de publiciteit komt.
Het teruggeven van de data na betaling wil trouwens niet zeggen dat de hackers geen kopie hebben gemaakt om bijvoorbeeld identiteitsfraude te plegen met de gestolen gegevens van klanten. Makelaars zijn wat dat betreft een aantrekkelijk doelwit.
Zo slaagden internetcriminelen in het verleden erin om persoonsgegevens van huizenzoekers op zoeksite Funda te stelen. De fraudeurs verstuurden authentiek ogende e-mails naar een aantal makelaars waarmee zij de wachtwoorden verkregen die toegang geven tot de Funda desk. Zo hadden ze de contactgegevens van mensen die geïnteresseerd waren in bepaalde huizen om ze vervolgens op te lichten.
Soms wordt identiteitsfraude ook gepleegd om een wietplantage op de naam van een onschuldige burger te zetten. Eén van de verhalen uit mijn boek ‘Komt een vrouw bij de h@cker’ gaat over een brave rijksambtenaar die het bijna niet kon geloven toen juist hem dit overkwam. Hij kwam in een eindeloze strijd met politie en justitie terecht, om uiteindelijk ook nog zijn baan kwijt te raken, want ‘waar rook is, is vuur’.
Hoe overtuig je ambtenaren en de politie dat jij niet de fraudeur bent, maar dat iemand anders een kopie van je paspoort gebruikt om fraude op jouw naam te plegen? In de praktijk is dat lastig, en zelfs als alles opgelost lijkt, blijken er sporen van die fraude in allerlei databanken te vinden. Voor je het weet sta je weer op een of andere zwarte lijst en vraag je je af hoe dat komt. Ook mensen bij wie een hypotheek wordt geweigerd, blijken soms slachtoffer van een vorm van identiteitsfraude. Voordat ze het opgelost hebben, is hun droomhuis aan hun neus voorbij. Het kan zelfs zonder fraude. Een leraar vertelde me dat hij tot zijn stomme verbazing niet in aanmerking kwam voor een hypotheek. Wat bleek? Zijn minderjarige dochter had iets bij een webshop besteld en niet betaald, waardoor ze op een zwarte lijst was gekomen, samen met de ouders. Terwijl zij dat zelf niet eens wisten.
Slordigheid
De ICT-afdelingen van veel bedrijven weten dat er kwetsbaarheden zijn in de gebruikte software (Windows is daar een mooi voorbeeld van), maar voeren de updates niet op tijd uit. Thuis werken updates meestal zonder problemen, maar niet op de ingewikkelde computersystemen van bedrijven. Daar moet eerst alles uitgebreid getest worden zodat systemen niet uitvallen. Dat duurt vaak veel langer dan nodig. De ene keer is het gebrek aan tijd door onderbezetting, een andere keer slordigheid. Een mooi voorbeeld is de grote hack van kredietbureau Equifax in Amerika. De persoonlijke gegevens van zo’n 143 miljoen klanten werden daarbij gestolen. Katie van Fleet kreeg na de hack vijftien verschillende kredietaanvragen op haar naam en was maandenlang bezig met het herstellen van haar kredietreputatie. Equifax werd gehackt door het niet oplossen van een kwetsbaarheid die volgens het interne beleid binnen 48 uur gedicht moest worden. De ICT-afdeling was best ruim bezet met 255 IT-specialisten in dienst.
Thuis heb je geen enkel excuus om updates niet te installeren, dat geldt ook voor je mobiel. Dat is de simpelste en makkelijkste manier om jezelf te beschermen tegen hackers, want Windows alleen al heeft meestal zo’n honderd nieuwe kwetsbaarheden per maand. De updates lossen die in één klap op. Hetzelfde geldt voor alle slimme apparaten die je koopt, van smart tv tot slimme deurbel: verander de standaard wachtwoorden en doe altijd de updates. Anders moet je niet verbaasd staan te kijken als een hacker via je robotstofzuiger of wifi-koffiezetter opeens op jouw netwerk zit en je vertrouwelijke e-mails kan lezen.
Cyberquiz
Vaak heeft niemand de moeite genomen om de medewerkers op een simpele manier uit te leggen hoe ze zichzelf en het bedrijf tegen hackers kunnen beschermen. Begin gewoon met wat handige tips. Hoe je bijvoorbeeld sterke wachtwoorden kunt verzinnen. Elk woord uit het woordenboek is binnen enkele seconden te hacken. Het enige wat helpt is zinnen als wachtwoord gebruiken, bijvoorbeeld voor de maand december: ‘Ik wil 10 cadeautjes’, voor januari: ‘Ik wil 3 kilo afvallen’, voor februari ‘Alweer geen 11-stedentocht’, etc. Privé kun je het beste een gratis programma als Lastpass, Bitwarden of Keepass downloaden, dan hoef je de rest van je leven slechts één lang wachtwoord te onthouden en je wordt overal automatisch ingelogd.
Tijdens mijn lezingen en interactieve webinars over privacy en cybercrime, merk ik aan de reacties dat het voor de meeste mensen allemaal vrij nieuw is: hoe werken de hackers precies, waarom zijn ze zo succesvol, hoe herken je de betere phishingmails, waarom is een berichtje in Whatsapp net zo gevaarlijk, hoe werkt factuurfraude, wat valt er precies onder een datalek, waar moet je als thuiswerker op letten … Online veiligheid is één van de meest boeiende onderwerpen, omdat iedereen van ons er vroeg of laat mee te maken krijgt. Investeren in bewustwording hoeft helemaal niet duur te zijn. Het kan wel grote financiële schade en reputatieschade voorkomen.
Op basis van de meest gestelde vragen tijdens honderden lezingen heb ik een cyberquiz gemaakt.
Wil je die ontvangen om je digitale kennis te testen, stuur dan een e-mail naar ln.amesac@avoneg .
De verwachting is dat het aantal digitale aanvallen enorm gaat toenemen. Is er nog goed nieuws? Ja, het is niet zo moeilijk om die tegen te houden. Een kwestie van iets meer kennis.
Verder lezen?
Dit was een artikel uit relatiemagazine Vastgoed Adviseur. Voor de overige artikelen kun je de digitale versie van Vastgoed Adviseur lezen.