Blog
Jul 26, 2018
Maria Genova
Maria Genova is onderzoeksjournalist en schrijver van "Komt een vrouw bij de h@cker". Zij is een veelgevraagd spreker over privacy, identiteitsfraude en informatiebeveiliging.
Om identiteitsfraude te kunnen plegen worden computers van mensen gehackt, gegevens van die mensen verzameld en zo allerlei bedrijven opgelicht, ook verzekeringsbedrijven. Dat gebeurt dus met gegevens van andere mensen, van eerlijke burgers. Toen ik aan mijn boek begon was ik een van die vele brave burgers en ik dacht: "Ik ben niet interessant voor hackers, ik heb niets te verbergen."
Maar we zijn allemaal interessant. Waarom? Meestal hacken ze eerst een computer en kijken dan pas wat voor gegevens ze kunnen vinden. Eerlijk gezegd bewaren we allemaal interessante gegevens in onze computers: verzekeringspolissen met heel veel persoonlijke gegevens, kopietje van het paspoort, belastingaangiftes. Samen goed voor het stelen van een volledige identiteit. Er zijn ook veel bedrijven die onze persoonlijke gegevens lekken, omdat ze gehackt worden.
Data is het nieuwe goud
Hoe komen die hackers in onze computers? Vroeger was er veel technische kennis voor nodig maar tegenwoordig kan bijna iedereen het. Al die boefjes van de straat verhuizen naar het internet en gebruiken de vele gratis tools en stap-voor-stap instructies die daar volop te vinden zijn. De meeste hackers zijn luie gasten die het liefst thuis achter de computer hangen en automatische programma's gebruiken om te hacken. Afstand is niet belangrijk. Hackers zijn geïnteresseerd in onze gegevens omdat die heel veel geld waard zijn. Data is het nieuwe goud.
Persoonsgegevens voor het oprapen
Hackers komen vaak binnen doordat mensen op een link klikken in een mail. De phishingmails worden steeds beter: je ziet steeds meer varianten zonder enige tikfout en ze maken gebruik van de identiteit van bekende bedrijven en organisaties. Als je doorklikt, is de hacker binnen. Laatst vertelde iemand in het publiek zo'n email te hebben ontvangen en omdat hij het niet helemaal vertrouwde, opende hij de mail de volgende dag op het werk. Bingo.
Zo worden hele organisaties gehackt, ook verzekeringsmaatschappijen. En dan krijgen de hackers vaak ook toegang tot de gegevens van de klanten. Daarom is het zo belangrijk geworden om de medewerkers in een 'awareness sessie' te vertellen over de toenemende digitale gevaren en waar ze allemaal op moeten letten. Dat scheelt voorkomt niet alleen reputatieschade, maar ook veel ellende voor de klanten. En het kan ook geld schelen, want nu worden bestanden vaak versleuteld door de hackers en ze verdienen tonnen aan bedrijven die betalen om hun eigen bestanden terug te kopen. En dat allemaal door het klikken op een linkje door een medewerker.
Track-and-trace
We winkelen tegenwoordig bijna allemaal online en zijn daarmee ook direct potentiële slachtoffers. Na een bestelling ontvang je vaak een mailtje met een track-and-trace-nummer van een pakketbezorger. Je klikt op de link en bent gehackt. Die hackers weten helemaal niet dat je iets hebt besteld, maar ze sturen grote hoeveelheden mailtjes tegelijk en de kans is groot dat een aantal van de ontvangers net een bestelling ergens heeft geplaatst en een dergelijke mail verwacht. Dat geldt ook voor de mail die je krijgt als je net terug bent van vakantie van je telefoonprovider dat je rekening extra hoog is. Je bent boos, je wilt meer weten, je klikt en ze zijn binnen.
Slachtoffers
Wat betekent het in de praktijk als je gehackt bent en je gegevens zijn gebruikt voor identiteitsfraude? Voor mijn boek "Komt een vrouw bij de h@cker" heb ik met veel slachtoffers gesproken en ik was verbaasd wat voor ellende die mensen allemaal meegemaakt hadden en hoe moeilijk het in de praktijk bleek om identiteitsfraude terug te draaien. Vaak is een kopie van een paspoort voldoende om een volledige identiteit stelen, het echte document is niet nodig. De hackers stelen zo'n kopie van je computer of van een autoverhuurbedrijf in Spanje. En dan begint de ellende.
Boudewijn werd bijvoorbeeld door de politie gebeld dat hij zich moest melden. Iemand had huizen op zijn naam gehuurd en in de huizen had de politie wietplantages ontdekt. De politie liet hem de huurcontracten met zijn vervalste handtekening zien en een kopie van zijn paspoort. De agenten geloofden Boudewijn niet toen hij beweerde dat dit wel zijn gegevens waren, maar dat hij hier niets mee te maken had. Hij raakte zijn baan kwijt en zelfs nadat de zaak na 2,5 jaar geseponeerd werd wegens gebrek aan voldoende bewijs, had Boudewijn nog steeds een probleem. Door een verkeerd vinkje in het politiesysteem, kreeg hij geen verklaring omtrent gedrag en kwam bij sollicitaties niet meer in aanmerking voor banen op zijn vakgebied.
Nog een voorbeeld van Identiteitsfraude
Van een man werd zijn rijbewijs gestolen en de dieven wisten meer dan 1700 auto's op zijn naam te registreren. De gemeente zette zijn uitkering stop, want die had hij niet nodig als hij zo veel auto's had. Daardoor kon hij de huur niet betalen en werd dakloos. Hij heeft moeten procederen tot en met het Europees Hof voor Rechten van de Mens en kreeg uiteindelijk na 17 jaar gelijk en een schadevergoeding van €9000.
Sociaal hacken
Hacken kan ook op andere manier, via social media. Het is eenvoudig om bijvoorbeeld op LinkedIn een account aan te maken op basis van een naam en openbare gegevens. Dan nodig je de collega's uit om te linken. Wie vertrouwt er nu niet een collega? Een paar weken later, stuurt de hacker alle "collega's" een bijlage met een virus. Veel social media accounts zijn op dit moment gemakkelijk te hacken wegens te simpele wachtwoorden. Een wachtwoord zoals Nu18! is snel gehackt. We delen ook heel veel informatie via social media. Dit filmpje laat dat goed zien.
Eenvoudige identiteitsverificatie
In Nederland gebruiken organisaties heel vaak de geboortedatum als verificatie naast naam en adres om bevestiging te krijgen van de identiteit van een gesprekspartner. Naam, adres en geboortedatum (Facebook!) zijn makkelijk online te vinden en daarna kan ik van alles opvragen: financiële gegevens of een medisch dossier. Ik kan zelfs het emailadres telefonisch veranderen: "Ik heb een nieuw emailadres sinds vorige week."
"Dank u wel voor het doorgeven, we passen het direct aan in de database." Een week later mailen ze je desgevraagd je huurcontract of je verzekeringspolis naar de verkeerde email die in hun systeem staat. Een perfect setje gegevens voor identiteitsfraude. Met de gegevens van social media is het ook simpel om phishingmails op maat te maken. Als ik weet waar je tennist, stuur ik een mailtje namens je tennisvereniging met een uitnodiging voor een clinic met een bekende Nederlander: klik hier om in te schrijven. Op LinkedIn zie ik je opleiding en hop, daar is de uitnodiging voor een reünie. In de bijlage zit een virus en het wordt door de meeste antivirusscanners niet op tijd herkent. Ze lopen vrijwel altijd een stap achter.
Wachtwoorden, twee tips en een bonustip
Wat kun je als brave burger doen om het hackers moeilijker te maken? Goed opletten bij phishingmails: klik eerst op het adres van de afzender en dan zie je daaronder een heel andere email verschijnen. Ga bij twijfel met je muis op de link in de mail staan, uiteraard zonder te klikken, om te zien naar welke site je omgeleid wordt. De meesten van ons verzinnen een sterk wachtwoord en gebruik dat voor meerdere of zelfs alle websites. Dat is niet zo slim: als een site is gehackt en ze hebben je wachtwoord, dan kunnen ze daarmee bijvoorbeeld spulletjes namens jou verkopen op Marktplaats. Uiteraard leveren ze niet en dan ben jij een oplichter geworden, want het is jouw account. Maar er zijn zo veel sites...hoe kun je voor iedere website een ander wachtwoord verzinnen en dan ook nog eens onthouden? Daar heb ik twee tips voor.
1. Gebruik een wachtwoordmanager. Dat is een softwareprogramma dat voor iedere site een heel sterk wachtwoord bedenkt. Je hoeft voortaan slechts een sterk, lang wachtwoord te onhouden. Al die wachtwoorden worden versleuteld opgeslagen en zijn dus onbruikbaar in het geval van een hack.
2. Voor wie liever zelf de wachtwoorden wil onthouden: bedenk een sterk wachtwoord en pas dit per site met een letter aan. Je wachtwoord is bijvoorbeeld "eenmooielocatie1!" en je vervangt een vaste letter met een letter van de website. Bijvoorbeeld de eerste (of tweede of laatste) letter van LinkedIn wordt de vierde letter van je wachtwoord: "eenlooielocatie1!"
En als laatste een bonustip: als je websites bezoekt met banners kan de computer zelfs zonder te klikken besmet worden. Dat kun je grotendeels voorkomen want hackers maken gebruik van lekken in de software en daar komen updates voor. Installeer dus altijd zo snel mogelijk de updates en klik niet iedere keer op "Uitstellen", dat is de beste bescherming tegen hackers.