In de wereld van de cybercriminaliteit worden steeds weer nieuwe methodes ontwikkeld om mensen om de tuin te leiden. Cybercriminelen maken misbruik van “normale” menselijke eigenschappen als nieuwsgierigheid, angst, onwetendheid of naïviteit. We weten intussen allemaal wel dat het niet zo verstandig is om zomaar overal op te klikken. Voor je het weet heb je op een “vals” linkje geklikt en kom je uit op een website die als twee druppels water lijkt op de website van jouw bank. Alle gegevens die je op die nep-website invult komen dan direct in handen van de criminelen, met alle gevolgen van dien. Hetzelfde gevaar ligt tegenwoordig op de loer bij het gebruik van zogenaamde "QR-codes".  De laatste tijd en zéker tijdens de corona-crisis raakten we steeds meer gewend aan het gebruik ervan. In dit artikel wil ik graag wat meer bewustzijn creëren over de risico's. 

Tegenwoordig richten cybercriminelen zich massaal op de medewerk(st)ers van bedrijven en organisaties. Door middel van slimme “Social Engineering” technieken worden de mensen in de organisatie bijvoorbeeld in een e-mail verleid om bijvoorbeeld ergens op te klikken. Onbewuste medewerk(st)ers trappen hier snel in. Grote financiële- en operationele schade kan het gevolg zijn. Hiervan zijn voorbeelden genoeg.

Met de populariteit van social media programma's bij de jeugd is het heel eenvoudig geworden voor mensen met verkeerde bedoelingen om in contact te komen met potentiële slachtoffers. De gesprekken beginnen onschuldig om het vertrouwen van het slachtoffer te winnen. Het jonge slachtoffer raakt onder de indruk en wil meer contact. Op een gegeven moment worden de gesprekken meer lichamelijk en seksueel getint. In goed vertrouwen worden er foto's of filmpjes gestuurd waarop het slachtoffer niet schroomt wat meer van zijn/haar lichaam te tonen. Dit zijn foto's die het slachtoffer niet in de openbaarheid wil hebben. En daar gaat het fout. Slachtoffers worden later met diezelde foto’s of filmpjes afgeperst. Dit wordt "sextortion" genoemd.

"Pas op voor kinderlokkers!" en "Nooit een snoepje aannemen van een vreemde!". Het zijn waarschuwingen die we van onze ouders kregen in onze kinderjaren. We leefden toen in een tijd waarin ouders nog redelijk eenvoudig zicht hadden op de sociale contacten van hun kinderen. Maar die tijden zijn voorbij. Kinderen hebben tegenwoordig veel contacten via diverse Social Media programma's. En dat is voor ouders natuurlijk veel moelijker te volgen. Met wie is jouw kind op zijn/haar telefoontje in contact? En zijn die personen wel te vertrouwen?

De wereld is weer opgeschrikt door het bericht over een nieuw mega-datalek. Er zouden vertrouwelijke gegevens van 533 miljoen Facebook-gebruikers, waaronder 5,4 miljoen Nederlandse gebruikers gelekt zijn en op een openbaar Internet-Forum geplaatst. Bij de gelekte data gaat het om Facebook ID, volledige naam, telefoonnummer, geslacht, locatie, vorige locatie, geboortedatum en in sommige gevallen het e-mailadres, relatiestatus en andere informatie.

Om bepaalde internet accounts goed te beschermen maken steeds meer mensen gebruik van “2-factor authenticatie”. Dit wordt ook wel “tweestapsverificatie” genoemd. Dit is in feite niets meer of minder dan een extra beveiligingslaag op een internet account of een gebruikers-app. Het gebruik van 2-factor authenticatie is gratis en het is eenvoudig in te stellen in de instellingen van je internet account of van je gebruikers-app.

De laatste tijd verschijnen er steeds vaker berichten in het nieuws over “SIM-swapping”. Deze vorm van Internet-fraude heeft grote gevolgen voor de slachtoffers. Het niet meer kunnen gebruiken van je 06-nummer is al erg genoeg, maar de gevolgen kunnen echt nog veel erger zijn. In dit artikel leg ik in grote lijnen uit wat SIM-swapping is en wat de gevolgen kunnen zijn als je hiervan slachtoffer wordt. 

Iedereen heeft tegenwoordig talloze Internet accounts. Dagelijks maken we gebruik van werk-gerelateerde accounts en privé accounts zoals E-mail, Facebook, Instagram, webwinkels, Overheid (DigiD), bank accounts, sportclubs, hobbyverenigingen, etc.  Voor het gebruik van deze accounts zijn inlog-gegevens nodig om “erin” te komen. Meestal is dat een combinatie van een gebruikersnaam (Username) en een wachtwoord (Password). Ook zijn we gewend om voor sommige toepassingen een pincode in te moeten toetsen. Denk hierbij aan het openen van je smartphone, het openen van je bank-app of het betalen van een bedrag met je betaalpasje.

Nederland reageert geschokt op de recente datalekken bij U-Diagnostics en de GGD. Het eerste serieuze datalek kwam aan het licht bij U-Diagnostics, een bedrijf dat contracten afsluit met bedrijven als Ahold, Corendon, TUI en het ministerie van Defensie voor het uitvoeren van Corona-testen. In een WhatsApp-groep werd door 300 medewerk(st)ers vertrouwelijke (medische) informatie uitgewisseld over testonderzoeken, laboratoriumresultaten en mensen die onderzocht zijn. Ook werden er inlog-codes rondgestuurd. Hierdoor kregen journalisten uiteindelijk ook toegang tot de database van het bedrijf. De persoonsgegevens uit die database worden in het duistere deel van het Internet verhandeld en gebruikt voor verdere criminele activiteiten zoals het sturen van zéér persoonlijk gerichte phishing e-mails. E-mails met een onderwerp dat gerelateerd is aan corona of een corona-test!

Er is al een paar jaar sprake van een verschuiving van “offline” criminaliteit naar “online criminaliteit. Met andere woorden: De kans dat u en/of uw bedrijf slachtoffer wordt van cybercriminaliteit groeit sterk. Internetcriminaliteit is zeer succesvol en de pakkans is gering. Een cyberincident kan zeer grote gevolgen hebben. De financiële-, operationele- en reputatie-schade is enorm en staat in geen verhouding tot de schade van een “ouderwetse” fysieke inbraak.

Zonder het nemen van een aantal security- en privacy-maatregelen kun je de continuïteit van je bedrijf tegenwoordig niet meer waarborgen. Er zijn voorbeelden genoeg van bedrijven die in grote financiële en operationele problemen zijn gekomen door incidenten waarbij cybercriminelen toegang kregen tot de ICT-infrastructuur en  gegevens ontoegankelijk maakten waardoor (openbare) dienstverlening niet meer mogelijk was.  

Om medewerk(st)ers bewust te maken van security-risico's waar ze (op het werk én thuis!) aan bloot staan kun je diverse activiteiten organiseren. Online presentaties zijn een goede en leuke manier om kennis over te dragen. De inhoud van de presentaties wordt vooraf besproken en op de bedrijfssituatie aangepast. Zo kunnen specifieke onderwerpen, richtlijnen of procedures  nog eens nader onder de aandacht worden gebracht. Omdat de presentaties gedurende een week 24/7 beschikbaar worden gemaakt kan iedere medewerk(st)er de presentaties bekijken op het moment dat het hem/haar het beste uitkomt.