De realiteit van datalekken

Terwijl niet iedereen de (potentiële) ernst ziet van het lekken van persoonsgegevens, trekt iedereen doorgaans wel de grens bij het punt dat men er hinder van gaat ondervinden. Zo sprak ik een tijd geleden met een vriendin die oprecht van mening was dat ze niks te verbergen had en “een open boek” was. In zo’n geval weet ik meestal wel wat prikkelende vragen te verzinnen waar iemand liever geen antwoord op geeft, of waar iemand zich doorheen bluft door maar wat te zeggen. Maar waar het uiteindelijk op neerkwam, was dat deze vriendin het wél vervelend zou vinden als ze er echt last van zou krijgen. Want ja, niemand zit te wachten op de emotionele en/of financiële gevolgen van misbruik door cybercriminelen.

Kijk, je hoeft niet van ieder datalek meteen in paniek te raken en er slecht van te slapen, maar eventuele gevolgen standaard wegwuiven met het idee dat het allemaal wel meevalt is ook niet erg verstandig. Het is een onomstotelijk feit: alle informatie die met jou te maken heeft (jouw persoonsgegevens) is waardevol en cybercriminelen verdienen er veel geld mee. Hoewel ruwe persoonsgegevens ook worden verhandeld door cybercriminelen (op het dark web), zit de waarde vaak minder in de gegevens an sich, maar vooral in het exploitatiepotentieel ervan.

Wat een cybercrimineel met jouw gegevens kan doen (hoe ze er misbruik van maken) bepaalt uiteindelijk de werkelijke waarde voor de criminelen. En als jij iets hebt wat (veel) waarde heeft voor een ander, dan loop je automatisch een (hoog) risico. Of je dat nou wil of niet. Jij kunt jezelf (in de context van het grotere geheel) nog zo onbelangrijk vinden en denken dat er niks te halen valt, maar voor cybercriminelen ben jij (of beter gezegd: jouw persoonsgegevens) simpelweg een gezichtsloze en betekenisloze bron van inkomsten. En een gedragscode of ethische normen zijn er doorgaans niet; ze pakken wat ze pakken kunnen ongeacht van wie en ongeacht de gevolgen voor de slachtoffers.

Misbruik van/met persoonsgegevens

Er zijn vele vormen van (cyber)criminaliteit waar we allemaal slachtoffer van kunnen worden, maar in deze blog focus ik uitsluitend op vormen van misbruik door cybercriminelen waar jouw persoonsgegevens voor nodig zijn. Wat is ook alweer een persoonsgegeven? Laten we voor de beeldvorming eerst eens kijken naar een aantal voorbeelden van openbare persoonsgegevens (dingen die iedereen over jou weet of op kan zoeken) en vertrouwelijke persoonsgegevens (privé zaken die je liever voor jezelf en mogelijk enkele anderen houdt):

naam, adres, woonplaats, e-mailadres, telefoonnummer, naam van je bank, bankrekeningnummer, je pincode, creditcardgegevens, geboortedatum, geboorteplaats, (zorg)verzekeraar en bijhorende polisnummers, (oude) inloggegevens, burgerservicenummer, medische gegevens, nationaliteit, kopie van je identiteitsbewijs of rijbewijs (dit zijn eigenlijk meerdere persoonsgegevens gecombineerd), je kenteken, foto’s en video’s van jezelf of je naasten, vingerafdrukken, (online) winkels waar je dingen koopt, je hobby’s en interesses, geluid van je stem, je kledingmaten, werkgeversgegevens (naam werkgever, personeelsnummer, namen van collega’s), pensioenfonds, hypotheekverstrekker, seksuele voorkeuren, politieke voorkeuren, social media accounts, gegevens over familieleden, gegevens over huisdieren, jouw IP-adres, contactenlijst in jouw telefoon, merk van jouw telefoon, geïnstalleerde apps, websites die je bezoekt, chathistorie, lidmaatschappen.

Een formele definitie van de term persoonsgegevens luidt: “alle informatie over een persoon waarmee die persoon direct of indirect te identificeren is“. Hoewel correct, vind ik deze definitie wat te abstract en daarom minder bruikbaar in de context van misbruik. Ik spreek daarom liever over een persoonsprofiel. Ook dit zijn alle gegevens die met jou te maken hebben, maar deze term benadrukt ook het belang van de samenhang van jouw gegevens.

In de basis geldt: hoe meer en hoe gevoeliger de persoonsgegevens die criminelen van je hebben, des te groter de kans dat ze linksom of rechtsom aan je kunnen verdienen. Met één losstaand persoonsgegeven kunnen criminelen doorgaans niet zoveel, maar zodra deze gegevens gecombineerd kunnen worden tot een profiel (en de criminelen dus weten welke persoonsgegeven allemaal behoren tot één enkel persoon) neemt de waarde van deze gegevens en daarmee het risico op misbruik exponentieel toe. Daarom is het ook altijd belangrijk om bij een datalek te weten / achterhalen welke persoonsgegevens er exact zijn uitgelekt.

Een simpel voorbeeld. Wanneer criminelen uitsluitend jouw e-mailadres (zonder aanvullende informatie) hebben kunnen ze proberen om generieke phishing mails naar je te sturen in de hoop dat je erin trapt.

Beste klant,

Uw bankpas is geblokkeerd vanwege ongebruikelijke activiteiten, klik hier om in te loggen en een nieuwe pas aan te vragen.

Met vriendelijke groet,

Servicedesk

Maar wanneer diezelfde criminelen bijvoorbeeld ook je naam, bankrekening en woonplaats weten, dan kan de phishing veel geloofwaardiger worden gemaakt, en is de kans groter dat jij erin trapt.

Beste Pietje Puk,

We hebben ongebruikelijke activiteiten waargenomen op uw Rabobank-rekening NL44RABO0123456789. Wij adviseren u dringend om via deze link in te loggen om uw bankpas te blokkeren en een nieuwe aan te vragen. Heeft u nog vragen, neem dat contact op met onze servicedesk in de regio Rotterdam via 085-1234567.

Met vriendelijke groet,

Servicedesk van de Rabobank

Kortom, hoe vollediger jouw persoonsprofiel, des te meer mogelijkheden cybercriminelen hebben om iets te verzinnen waar jij of iemand anders intrapt. Oh en ook niet vergeten: soms kan de context van een datalek ook iets over jou verklappen en de gevoeligheid vergroten. Bijvoorbeeld een datalek met slechts namen, adressen en e-mailadressen door een verslavingskliniek waar jij bent afgekickt, een psychologenpraktijk waar jij in behandeling bent geweest, een politieke (jongeren)organisatie, een online datingplatform voor buitenechtelijke affaires. De gegevens an sich zijn niet zo spannend, maar de bron van waaruit ze zijn gelekt, en de impliciete informatie die hiermee openbaar wordt, is dat wel.

Verschillende werkwijzen

Het doel van cybercriminelen is doorgaans: geld verdienen door jouw persoonsprofiel te misbruiken. Om dit te bewerkstelligen gaan ze op verschillende wijzen te werk:

1. Misleiding – Met een geloofwaardig maar verzonnen verhaal in combinatie met een gedaante die de criminelen aannemen, proberen criminelen voldoende geloofwaardigheid te creëren om jou bepaalde handelingen te laten verrichten waarmee ze (uiteindelijk) jouw geld kunnen stelen. Dit verloopt niet altijd in een rechte lijn. Soms zijn er meerdere tussenstappen nodig om uiteindelijk jouw geld te kunnen stelen. Denk bijvoorbeeld aan het verkrijgen van toegang tot je PC of het langzaam winnen van jouw vertrouwen.
2. Afpersing – Criminelen dreigen met negatieve gevolgen (als gevolg van het openbaren van jouw gegevens) tenzij je geld betaalt of iets anders van waarde afgeeft.
3. Identiteitsfraude – Eigenlijk is dit misleiding, maar dan uit jouw naam aan het adres van een ander. Dus ze foppen jou niet, maar ze foppen iemand anders door zich voor te doen als jou. Je bent dus afhankelijk van de mate waarin een derde partij in staat is om vast te stellen dat ze niet met de echte jij te maken hebben.

Bij misleiding en afpersing kunnen criminelen zich bijvoorbeeld voordoen als een:

naaste (zoon, dochter, partner, vriend), collega, leidinggevende, klant, bank, huisarts of een andere medisch specialist, overheidsorganisatie (Belastingdienst, UWV, SVB, etc), incassobureau, hulpverlener (politie, brandweer, etc), helpdesk, huurbaas, garagebedrijf, expert die ondersteuning biedt na datalekken, anonieme crimineel die jou afperst, reparateur, meteropnemer.

En wanneer ze de juiste gegevens in handen hebben, zijn de scenario’s bijna eindeloos. Hieronder enkele voorbeelden:

• Valse factuur, aanmaning, boete, schuld, aanslag.
• Telefoontje van je bank wat erop neerkomt dat je moet inloggen om schade te voorkomen.
• Telefoontje van je helpdesk om uiteindelijk toegang te krijgen tot jouw systeem.
• Leningen afsluiten onder jouw naam.
• Abonnementen afsluiten onder jouw naam.
• Huren van woningen onder jouw naam (hennepkwekerij).
• Witwaspraktijken onder jouw naam.
• Fraude plegen bij webwinkels (bestellen onder jouw naam, laten afleveren bij een willekeurige balie van een organisatie, niet betalen).
• Jouw digitale bestanden stelen / versleutelen en geld vragen om jouw toegang weer te herstellen.
• Stelen van inloggegevens (wat weer ander vormen van misbruik mogelijk maakt).
• Simswapping om daarna SMS-verificatiecodes onderscheppen en zo bankrekeningen of e-mailaccounts kapen.
• Overname van (social media) accounts.
• Verzekeringsfraude plegen onder jouw naam.
• Medicijnen bemachtigen onder jouw naam.
• Naaktfoto’s van jou publiceren tenzij je gevoelige informatie van je werkgever doorspeelt.
• “Hoi mam, dit is mijn nieuwe nummer…”.

Afpersing werkt doorgaans alleen wanneer jouw persoonsprofiel gevoelige gegevens bevat die jij geheim wil houden voor anderen.

Inzetten van technologie

Misleiding kan synchroon of asynchroon plaatsvinden. Synchroon wil zeggen: er is sprake van een gesprek tussen de cybercriminelen en het slachtoffer. Realtime interactie zonder (noemenswaardige) vertraging. Ze (video)bellen je, staan aan je deur, spreken je aan op straat, jullie zitten samen in een live chat, etc. Vaak wordt deze aanpak gebruikt voor vormen van misleiding waarbij de criminelen vooraf geen gegevens over je hebben (bijvoorbeeld een babbeltruc), maar het werkt uiteraard ook (en misschien nog wel beter) wanneer ze wel gegevens van je hebben. Dan is er ook nog de asynchrone variant waarbij criminelen en slachtoffers niet tegelijkertijd deelnemen aan een gesprek, en de interactie (grotere) vertragingen kent. Denk bijvoorbeeld aan e-mail, berichten naar je telefoon (WhatsApp, SMS, etc) of zelfs fysieke post. Dit maakt de dynamiek van de misleiding compleet anders. Technologie speelt (vooral bij asynchrone misleiding) een belangrijke(re) rol en biedt cybercriminelen onder andere de volgende voordelen:

• Een vrij hoge mate van anonimiteit;
• Een effectieve(re) operatie en vergroting van herbruikbaarheid door het automatiseren van stappen die nodig zijn voor de oplichting. Hierdoor kunnen cybercriminelen makkelijker op grote schaal opereren en kunnen ze hun activiteiten makkelijker verplaatsen. Sterker nog: er zijn criminelen die geautomatiseerde platformen (voor bijvoorbeeld phishing) verkopen aan andere criminelen.
• Het vergroten van geloofwaardigheid richting slachtoffers. Denk bijvoorbeeld aan: het gebruiken van een specifieke (lijkende) domeinnaam, gebruik van bepaalde beeldmerken (logo’s van bedrijven), het gebruiken van een profielfoto, gebruiken van een specifieke afzender naam, het gebruiken van AI voor het schrijven van een foutloze en meer geloofwaardige tekst.
• Creëren van valse informatie zoals nep foto’s, video’s of documenten. Met name door de sterke opkomst van AI is de technologie om geloofwaardige nep content te maken voor een breed publiek beschikbaar gekomen.

Wat kun je doen?

Wanneer cybercriminelen jouw persoonsprofiel hebben én je komt op hun radar, dan is het moeilijk om je hiertegen te beschermen. Bij identiteitsfraude kun je nauwelijks nog iets doen om jezelf tegen de gevolgen te beschermen. Vaak merk je het ook pas wanneer het kwaad al is geschied. En wanneer je proactief wil reageren op identiteitsfraude naar aanleiding van een recent datalek, kun je hooguit enkele mensen of organisaties informeren en hoop houden. Dat geldt eigenlijk ook voor afpersing; ook dan kun je hooguit mensen of organisaties informeren en waarschuwen. Bij misbruik is er nog een kans dat je door hebt dat je wordt misleid en het daarom kunt stoppen, maar in veel gevallen vraagt dit wel een bepaalde mate van alertheid, intelligentie en/of technologische kennis. Of deze aspecten in voldoende mate aanwezig zijn, hangt ook af van het slachtoffer én de moeilijkheidsgraad. Wanneer er veel te halen valt zijn criminelen bereid tot het investeren van veel tijd en middelen, waardoor de moeilijkheidsgraad en complexiteit van de misleiding flink toeneemt. En daarmee neemt automatisch de kans op (tijdige) detectie af.

Toch ben je niet helemaal kansloos en zijn er best dingen die helpen.

Voorkomen is beter dan genezen

Natuurlijk kun jij er ook niks aan doen wanneer andere organisaties jouw gegevens lekken, maar je kan wel beter opletten met wie (personen en organisaties) jij jouw informatie deelt. Er zijn genoeg legitieme organisaties die een flinke datahonger hebben, zodat ze (meer) geld aan je kunnen verdienen. Dit geldt in principe voor alle soorten organisaties, maar voornamelijk voor bedrijven die gratis diensten aanbieden. Bijvoorbeeld Hotmail, Gmail, Google zoekmachine, Facebook, Instagram, LinkedIN, TikTok, Snapchat, WhatsApp: dagelijks gebruiken we deze diensten en we stoppen er bakken met (gevoelige) persoonsgegevens in. Niet alleen van onszelf, maar ook van bijvoorbeeld onze kinderen.

En het gekke is dat we er nog nooit een euro voor hebben betaald. Ik zou zeggen, laat dat maar even inzinken. Kun jij gratis boodschappen doen bij jouw supermarkt? Kun jij gratis tanken? Laat jij je fiets gratis repareren bij de fietsenmaker? Mag jij gratis bellen en internetten met je telefoon? Is het water uit je kraan gratis? Nee natuurlijk niet! Niks is gratis in het leven; voor niks gaat de zon op! Alles kost geld en dat moet (het liefst met flink wat winst) terugverdient worden. Dat geldt ook voor die gratis diensten die jij gebruikt. Het kost honderden miljoenen om dit soort diensten te laten draaien, dus denk nou niet dat je er niks voor betaalt. Niet met geld, dat klopt. Maar je betaalt deze bedrijven simpelweg met jouw persoonsgegevens. Iedere mailtje, iedere bijlage, elke berichtje, ieder filmpje dat je bekijkt, iedere like, iedere foto: alles wat jij doet met deze diensten levert de bedrijven erachter bakken met geld op. Bij social media is veel van de informatie ook nog eens openbaar en beschikbaar voor andere gebruikers.

Dus ben voorzichtig en wees terughoudend met wat je deelt én welke diensten je gebruikt. Ben je bewust van de kleine lettertjes wanneer iets “gratis” is; een paar euro betalen voor iets waarvoor ook een gratis alternatief beschikbaar is, is niet altijd dom. Weiger die klantenkaart in ruil voor korting. Plaats die online bestelling als gast en maak niet overal een account aan. Alles is te hacken en vroeg of laat zullen organisaties die persoonsgegevens van jou hebben hier ook slachtoffer van worden, en dan geldt de gouden regel: wat je nooit afgeeft, kan ook niet lekken!

Blijf je realiseren dat niet alles is wat het lijkt

Laat die nonchalante zal-mij-niet-gebeuren-houding varen, en realiseer je dat ook jij slachtoffer kunt worden van misbruik van jouw persoonsprofiel. Een beetje alertheid doet niemand kwaad. Verifieer en controleer. Als iets te mooi is om waar te zijn, dan is het dat vaak ook. En ja, veel dingen liggen waarschijnlijk buiten je invloedssfeer, maar doe dan niet alsof het niet bestaat. Voor criminelen bestaan er geen mensen of organisaties waar niks te halen valt. Iedere euro is er één en maakt het voor criminelen voor herhaling vatbaar. We kunnen van niemand verwachten om het altijd maar door te hebben wanneer iemand je iets probeert te flikken, maar mijn ervaring leert ook we ons soms wel heel makkelijk laten neppen. Een aantal basis vaardigheden (zie het als een soort digitaal rijbewijs) en een gezonde portie achterdocht zijn zo gek nog niet en kunnen een heleboel gedoe voorkomen.

Door: Dennis Baaten, Baaten ICT Security