loading
De laatste ontwikkelingen en expert inzichten in de verzekeringsbranche.
27 juli 2018
  |  
profile-img

Identiteitsfraude – Een Gouden Business

Maria Genova is onderzoeksjournalist en schrijver van ‘Komt een vrouw bij de h@cker’. Zij is een veelgevraagd spreker over privacy, identiteitsfraude en informatiebeveiliging. In september 2017 was zij te gast bij FRAUDtalks.

Om identiteitsfraude te kunnen plegen worden computers van mensen gehackt, gegevens van die mensen verzameld en zo allerlei bedrijven opgelicht, ook verzekeringsbedrijven. Dat gebeurt dus met gegevens van andere mensen, van eerlijke burgers.

Identiteitsfraude – een gouden business

Toen ik aan mijn boek begon was ik één van die vele brave burgers en ik dacht: “Ik ben niet interessant voor hackers, ik heb niets te verbergen.” Maar we zijn allemaal interessant. Waarom? Meestal hacken ze eerst een computer en kijken dan pas wat voor gegevens ze kunnen vinden. Eerlijk gezegd bewaren we allemaal interessante gegevens in onze computers: verzekeringspolissen met heel veel persoonlijke gegevens, kopietje van het paspoort, belastingaangiftes. Samen goed voor het stelen van een volledige identiteit. Er zijn ook veel bedrijven die onze persoonlijke gegevens lekken, omdat ze gehackt worden.

Data is het nieuwe goud

Hoe komen die hackers in onze computers? Vroeger was er veel technische kennis voor nodig maar tegenwoordig kan bijna iedereen het. Al die boefjes van de straat verhuizen naar het internet en gebruiken de vele gratis tools en stap-voor-stap instructies die daar volop te vinden zijn. De meeste hackers zijn luie gasten die het liefst thuis achter de computer hangen en automatische programma’s gebruiken om te hacken. Afstand is niet belangrijk, denk maar aan de Russen. Ze zijn geïnteresseerd in onze gegevens omdat die heel veel geld waard zijn. Data is het nieuwe goud.

Persoonsgegevens voor het oprapen

Ze komen vaak binnen doordat mensen op een link klikken in een mail. De phishingmails  worden steeds beter: je ziet steeds meer varianten zonder enige tikfout en ze maken gebruik van de identiteit van bekende bedrijven en organisaties. Als je doorklikt, is de hacker binnen. Laatst vertelde iemand in het publiek zo’n email te hebben ontvangen en omdat hij het niet helemaal vertrouwde, opende hij de mail de volgende dag op het werk. Bingo. Zo worden hele organisaties gehackt, ook verzekeringsmaatschappijen. En dan krijgen de hackers vaak ook toegang tot de gegevens van de klanten. Daarom is het zo belangrijk geworden om de medewerkers in een ‘awareness sessie’ te vertellen over de toenemende digitale gevaren en waar ze allemaal op moeten letten. Dat scheelt voorkomt niet alleen reputatieschade, maar ook veel ellende voor de klanten. En het kan ook geld schelen, want nu worden bestanden vaak versleuteld door de hackers en ze verdienen tonnen aan bedrijven die betalen om hun eigen bestanden terug te kopen. En dat allemaal door het klikken op een linkje door een medewerker.

Track-and-trace

We winkelen tegenwoordig bijna allemaal online en zijn daarmee ook direct potentiële slachtoffers. Na een bestelling ontvang je vaak een mailtje met een track-and-trace-nummer van een pakketbezorger. Je klikt op de link en bent gehackt. Die hackers weten helemaal niet dat je iets hebt besteld, maar ze sturen grote hoeveelheden mailtjes tegelijk en de kans is groot dat een aantal van de ontvangers net een bestelling ergens heeft geplaatst en een dergelijke mail verwacht.

Dat geldt ook voor de mail die je krijgt als je net terug bent van vakantie van je telefoonprovider dat je rekening extra hoog is. Je bent boos, je wilt meer weten, je klikt en ze zijn binnen.

Slachtoffers

Wat betekent het in de praktijk als je gehackt bent en je gegevens zijn gebruikt voor identiteitsfraude? Voor mijn boek ‘Komt een vrouw bij de h@cker’ heb ik met veel slachtoffers gesproken en ik was verbaasd wat voor ellende die mensen allemaal meegemaakt hadden en hoe moeilijk het in de praktijk bleek om identiteitsfraude terug te draaien. Vaak is een kopie van een paspoort voldoende om een volledige identiteit stelen, het echte document is niet nodig. De hackers stelen zo’n kopie van je computer of van een autoverhuurbedrijf in Spanje. En dan begint de ellende. Boudewijn werd bijvoorbeeld door de politie gebeld dat hij zich moest melden. Iemand had huizen op zijn naam gehuurd en in de huizen had de politie wietplantages ontdekt. De politie liet hem de huurcontracten met zijn vervalste handtekening zien en een kopie van zijn paspoort. De agenten geloofden  Boudewijn niet toen hij beweerde dat dit wel zijn gegevens waren, maar dat hij hier niets mee te maken had. Hij raakte zijn baan kwijt en zelfs nadat de zaak na 2,5 jaar geseponeerd werd wegens gebrek aan voldoende bewijs, had Boudewijn nog steeds een probleem. Door een verkeerd vinkje in het politiesysteem, kreeg hij geen verklaring omtrent gedrag en kwam bij sollicitaties niet meer in aanmerking voor banen op zijn vakgebied.

Nog een voorbeeld van Identiteitsfraude

Van een man werd zijn rijbewijs gestolen en de dieven wisten meer dan 1700 auto’s op zijn naam te registreren. De gemeente zette zijn uitkering stop, want die had hij niet nodig als hij zo veel auto’s had. Daardoor kon hij de huur niet betalen en werd dakloos. Hij heeft moeten procederen tot en met het Europees Hof voor Rechten van de Mens en kreeg uiteindelijk na 17 jaar gelijk en een schadevergoeding van € 9000.

Data is the new gold

Sociaal hacken

Hacken kan ook op andere manier – via social media. Het is eenvoudig om bijvoorbeeld op LinkedIn een account aan te maken op basis van een naam en openbare gegevens. Dan nodig je de collega’s uit om te linken. Wie vertrouwt er nu niet een collega? Een paar weken later, stuurt de hacker alle ‘collega’s’ een bijlage met een virus. Veel social media accounts zijn op dit moment gemakkelijk te hacken wegens te simpele wachtwoorden. Een wachtwoord zoals Nu18! is snel gehackt.

We delen ook heel veel informatie via social media. Dit filmpje laat dat goed zien.

Eenvoudige identiteitsverificatie

In Nederland gebruiken organisaties heel vaak de geboortedatum als verificatie naast naam en adres om bevestiging te krijgen van de identiteit van een gesprekspartner. Naam, adres en geboortedatum (Facebook!) zijn makkelijk online te vinden en daarna kan ik van alles opvragen: financiële gegevens of een medisch dossier. Ik kan zelfs het emailadres telefonisch veranderen: “Ik heb een nieuw emailadres sinds vorige week.” “Dank u wel voor het doorgeven, we passen het direct aan in de database.” Een week later mailen ze je desgevraagd je huurcontract of je verzekeringspolis naar de verkeerde email die in hun systeem staat. Een perfect setje gegevens voor identiteitsfraude.

Met de gegevens van social media is het ook simpel om phishingmails op maat te maken. Als ik weet waar je tennist, stuur ik een mailtje namens je tennisvereniging met een uitnodiging voor een clinic met een bekende Nederlander: klik hier om in te schrijven. Op LinkedIn zie ik je opleiding en hop, daar is de uitnodiging voor een reünie. In de bijlage zit een virus en het wordt door de meeste antivirusscanners niet op tijd herkent. Ze lopen vrijwel altijd een stap achter.

Wachtwoorden – twee tips en een bonustip

Wat kun je als brave burger doen om het hackers moeilijker te maken? Goed opletten bij phishingmails: klik eerst op het adres van de afzender en dan zie je daaronder een heel andere email verschijnen. Ga bij twijfel met je muis op de link in de mail staan, uiteraard zonder te klikken, om te zien naar welke site je omgeleid wordt. De meesten van ons verzinnen één sterk wachtwoord en gebruiken dat voor meerdere of zelfs alle websites. Dat is niet zo slim: als één site is gehackt en ze hebben je wachtwoord, dan kunnen ze daarmee bijvoorbeeld spulletjes namens jou verkopen op Marktplaats. Uiteraard leveren ze niet en dan ben jij een oplichter geworden, want het is jouw account.

Maar er zijn zo veel sites – hoe kun je voor iedere website een ander wachtwoord verzinnen en dan ook nog eens onthouden? Daar heb ik twee tips voor.

  1. Gebruik een wachtwoordmanager – dat is een softwareprogramma dat voor iedere site een heel sterk wachtwoord bedenkt. Je hoeft voortaan slechts één sterk, lang wachtwoord te onhouden. Al die wachtwoorden worden versleuteld opgeslagen en zijn dus onbruikbaar in het geval van een hack.
  2. Voor wie liever zelf de wachtwoorden wil onthouden: bedenk een sterk wachtwoord en pas dit per site met één letter aan. Je wachtwoord is bijvoorbeeld ‘eenmooielocatie1!’ en je vervangt één vaste letter met een letter van de website. Bijvoorbeeld de eerste (of tweede of laatste) letter van LinkedIn wordt de vierde letter van je wachtwoord: ‘eenlooielocatie1!’

En als laatste een bonustip: als je websites bezoekt met banners kan de computer zelfs zonder te klikken besmet worden. Dat kun je grotendeels voorkomen want hackers maken gebruik van lekken in de software en daar komen updates voor.

Installeer dus altijd zo snel mogelijk de updates en klik niet iedere keer op ‘Uitstellen’, dat is de beste bescherming tegen hackers.

Neem contact op

Cookie- en Privacyverklaring

1. Inleiding

Bij het gebruik van deze website kan door FRISS informatie over uw gebruik van deze website en de aangeboden content worden verzameld. Wij vinden het belangrijk om uw (persoons)gegevens met alle zorgvuldigheid en vertrouwelijkheid te behandelen. Bij de verwerking van uw persoonsgegevens houden wij ons aan de Algemene Verordening Gegevensbescherming en artikel 11.7a van de Telecommunicatiewet.

1.1.  Verantwoordelijke

De verantwoordelijke voor de verwerking van persoonsgegevens is:

FRISS Fraudebestrijding B.V.
Orteliuslaan 15
3528 BA
Utrecht

Deze verwerking van persoonsgegevens is aangemeld bij de Autoriteit Persoonsgegevens te ’s-Gravenhage onder meldingsnummer m00004997.

1.2.  Doeleinden van de gegevensverwerking

Op onze website kunt u op meerdere plaatsen in formulieren (persoons)gegevens invullen. Hieronder zullen wij de doelen van de diverse gegevensverwerkingen uitleggen.

Contactformulier of het sturen van een e-mail

Als u het contactformulier op onze website invult of ons een e-mail stuurt, dan zullen wij de door u verstrekte (persoons)gegevens uitsluitend gebruiken voor het doel of de doelen waarvoor u het contactformulier heeft ingevuld of de e-mail heeft verzonden.

Downloadformulier

Als u op onze website bestanden (zoals e-books, whitepapers of rapporten) download, dan zullen wij de door u verstrekte (persoons)gegevens gebruiken voor een of meer van de onderstaande doeleinden:

  • voor de uitvoering van een overeenkomst, bijvoorbeeld om het door u gekozen e-book, whitepaper of rapport toe te sturen;
  • voor het tot stand brengen van een overeenkomst, bijvoorbeeld door u telefonisch of schriftelijk te benaderen.

Nieuwsbrief

Als u op onze website het aanmeldingsformulier van de nieuwsbrief invult, zullen uw (persoons)gegevens worden gebruikt om u de nieuwsbrief toe te sturen. Iedere nieuwsbrief bevat onderaan het bericht een hyperlink waarmee u zich kunt afmelden.

In aanvulling op de persoonsgegevens die u zelf verstrekt aan FRISS, kan FRISS aanvullende (persoons)gegevens verzamelen, vastleggen en verwerken als u gebruik maakt van de (web)diensten van FRISS. Het gaat hierbij om de volgende persoonsgegevens:

  • gegevens van de gebruikte apparatuur zoals een unieke device-ID, versie van het besturingssysteem en instellingen van het apparaat dat u gebruikt om toegang te krijgen tot een dienst;
  • gegevens van het gebruik van een dienst, zoals het tijdstip waarop u gebruik maakt van de dienst en het soort dienst dat wordt gebruikt;
  • locatiegegevens afkomstig van uw apparatuur of afgeleid van uw IP-adres die aan ons worden doorgegeven wanneer u een bepaalde dienst gebruikt;
  • gegevens beschikbaar in externe bronnen. Wij kunnen informatie over u ontvangen van publieke of commercieel beschikbare bronnen.

1.3.  Verstrekking van (persoons)gegevens aan derden

Uw (persoons)gegevens worden zonder uw toestemming nooit verstrekt aan derden, tenzij hiertoe op grond van wet- of regelgeving een verplichting bestaat of u hiervoor toestemming heeft verleend.

1.4.  Beveiliging gegevens

FRISS respecteert uw privacy en draagt er zorg voor dat persoonsgegevens vertrouwelijk en met de grootst mogelijke zorgvuldigheid worden behandeld. Alle verwerkte (persoons)gegevens worden uitsluitend opgeslagen in beveiligde databases. Deze databases zijn alleen toegankelijk voor medewerkers van FRISS, voor zover dat uit hoofde van hun functie noodzakelijk is. FRISS spant zich ervoor in deze systemen te (laten) beveiligen tegen verlies en/of tegen enige vorm van onrechtmatig gebruik of verwerking.

1.5.  Inzage, correctie en verwijdering van gegevens en recht van verzet

U kunt te allen tijde en zonder kosten inzicht krijgen in uw gegevens die door FRISS zijn verwerkt en deze gegevens desgewenst aanpassen of laten verwijderen. Ook kunt u bezwaar maken tegen het ontvangen van informatie over de producten, diensten of content van FRISS. Indien u van een van deze mogelijkheden gebruik wenst te maken, kunt u een e-mail sturen naar de Data Protection Officer van FRISS via privacy@friss.eu of schriftelijk naar het volgende adres:

FRISS | fraud, risk & compliance
T.a.v. Data Protection Officer
Orteliuslaan 15
3528 BA Utrecht.

2. Cookies

Bij het gebruik van deze website kan door of namens FRISS informatie over uw gebruik van deze diensten en andere websites worden verzameld, bijvoorbeeld door middel van cookies.

Een cookie is een klein bestandje dat met pagina’s van een website wordt meegestuurd en door uw browser op de harde schijf van uw computer wordt opgeslagen. Wij gebruiken cookies om instellingen en voorkeuren te onthouden. U kunt deze cookies uitzetten via uw browser.

2.1.  Doeleinden gebruik cookies FRISS

Op onze website maken wij gebruik van cookies voor de volgende doeleinden:

  • statistische doeleinden om het gebruik van de FRISS websites te analyseren. Zo houden wij het aantal bezoekers bij en kijken wij welke onderdelen van onze website populair zijn. Om deze statistieken te kunnen bijhouden en raadplegen, maken wij gebruik van Google Analytics. Op deze website kunt u uitleg vinden over alle mogelijke cookies die door Google worden geplaatst;
  • Indien u gebruik heeft gemaakt van het downloadformulier: voor zogeheten “targeting” doeleinden. Met targeting bedoelen wij het opbouwen van een profiel van u op basis van uw surfgedrag op onze website, waarna wij telefonisch of per e-mail contact met u kunnen opnemen op basis van de getoonde interesses om na te gaan of FRISS diensten kan aanbieden waar u mogelijk belangstelling voor heeft. Om dit te kunnen bijhouden en raadplegen maken wij gebruik van HubSpot. Op deze website kunt u uitleg vinden over alle mogelijke cookies die door HubSpot worden geplaatst.

3. Wijziging van deze Cookie- en Privacyverklaring

FRISS kan wijzigingen aanbrengen in deze Cookie- en Privacyverklaring. Elke aanpassing zal op deze pagina worden gepubliceerd. Wij raden u aan deze Cookie- en Privacyverklaring geregeld te raadplegen, zodat u altijd op de hoogte bent van de inhoud van de geldende Cookie- en Privacyverklaring.

 

Inschrijven