technologie

Waarom al die data­lekken ons toch echt zorgen moeten baren en wat ertegen te doen is

GGD, Facebook, Allekabels.nl: de datalekken van grote hoeveelheden persoonlijke gegevens tuimelen over elkaar heen. Daar reageren velen nonchalant op – ten onrechte, kunnen slachtoffers vertellen. Wat is ertegen te doen?

null Beeld Van Santen & Bolleurs
Beeld Van Santen & Bolleurs

Als Nina op een avond in april na een lange en drukke werkdag thuiskomt en op de bank neerploft, ziet ze dat ze een gemiste oproep heeft van een onbekend nummer. Een vlak daarna verstuurd WhatsApp-bericht verklaart dit: ‘Hey mam, m’n toestel is stuk. Heb een nieuw toestel, oude nummer kan weg, deze kan je opslaan.’

‘Ben jij het Paul? Of jij Mark?’, vraagt ze. ‘Mark’, is het antwoord. Mark komt snel ter zake. Hij heeft een ‘klein probleempje’ en moet nog diezelfde avond drie betalingen doen, maar is zijn inloggegevens kwijt en heeft nu geen toegang tot zijn bankapp. Het gaat in totaal om 2.800 euro.

Het is veel geld voor Nina. Ze werkt haar hele leven in de zorg en is alleenstaande moeder van twee inmiddels volwassen zonen. Met hard werken en discipline heeft ze ervoor gezorgd dat ze uit de schulden is. Nina heeft zelfs een buffer van een paar duizend euro voor onvoorziene grote uitgaven zoals een kapotte wasmachine. Die buffer spreekt ze nu zonder aarzeling aan: ‘Voor je kinderen doe je alles. Ik weet zelf al te goed wat het betekent om met deurwaarders te maken te krijgen. Dat is het laatste wat ik voor mijn zoons wil.’

De volgende ochtend heeft ze weer een gemiste spraakoproep, gevolgd door twee hartjes-emoticons in WhatsApp. En dan vraagt Mark of ze nog twee betalingen kan doen, van in totaal 2.500 euro: ‘De laatste twee, dan ben ik van alles af.’ Opnieuw maakt Nina het gevraagde bedrag over. Ze doet het graag en appt haar zoon: ‘Hoop dat het je een beetje lucht geeft.’

Als Mark daarna wéér geld vraagt, krijgt ze argwaan. En ze weet zeker dat er iets heel erg mis is als Mark (de echte Mark) vanaf zijn vorige nummer appt dat hij in de buurt is en wil langskomen. De Mark met wie ze de laatste dagen intensief contact heeft gehad, is een oplichter, snapt ze nu. De derde betaling doet Nina niet en ze neemt direct contact op met haar bank. Te laat: die kan niets voor haar doen.

Oplichtingstrucs

In eerdere oplichtingstrucs die op haar Hotmail of mobiel nummer binnenkwamen, trapte ze niet. Ze is niet gek. Maar bij haar zoon die zogenaamd in nood was, liet ze alle argwaan varen. ‘Ik twijfelde geen moment’, zegt ze achteraf. ‘Ze spelen zo handig in op je emoties, met al die hartjes en zo.’

Zoals vele anderen die iets soortgelijks hebben meegemaakt, heeft ook Nina geen flauw idee hoe de oplichters aan haar mailadres en telefoonnummer zijn gekomen. Toch is daar wel iets over te zeggen. Het is niet ondenkbaar dat ze het slachtoffer is geworden van een datalek. Haar Hotmail-adres komt voor in een groot lek uit 2017 van genealogiewebsite MyHeritage, waarbij adressen en wachtwoorden werden buitgemaakt. Verder komt haar adres voor in een datalek uit 2019 van Verifications.io, een dienst die wordt gebruikt voor het verifiëren van mailadressen. Bij dit lek zijn destijds ook telefoonnummers en andere persoonlijke gegevens buitgemaakt. Voor Nina is dit nieuw. Ook de politie geeft haar tijdens haar aangifte deze informatie niet. De dienstdoende wijkagent is naar eigen zeggen ‘niet van de cyber’.

De Fraudehelpdesk, waar Nina ook aanklopte, ziet het totaal aantal meldingen van digitale fraude stijgen. De hulpvraag van zoon of dochter over geld is een klassieker die in vele varianten voorkomt. Het aantal WhatsApp-fraudemeldingen verviervoudigde in 2020. Een vergelijkbaar geluid komt van de Autoriteit Persoonsgegevens, die ‘een explosieve toename van het aantal hacks, gericht op het buitmaken van persoonsgegevens’ meldt. Het aantal meldingen steeg in 2020 met 30 procent ten opzichte van vorig jaar.

Bankhelpdeskfraude

Ook het aantal geregistreerde digitale misdrijven dat zo wordt gepleegd neemt volgens recente cijfers van de politie in rap tempo toe: bijna een verdubbeling in het eerste kwartaal van dit jaar ten opzichte van het jaar ervoor. Vooral oplichting via WhatsApp (zoals bij Nina) en fraude in onlinehandel springen eruit. Oplichters doen zich niet altijd voor als familie of vrienden om geld afhandig te maken. Vaak lijkt het alsof iemand van een bank belt en ook bij die bankhelpdeskfraude wordt gebruikgemaakt van datalekken om zo veel mogelijk te weten te komen van een klant en zo geloofwaardig over te komen als ‘bankmedewerker’.

null Beeld Van Santen & Bolleurs
Beeld Van Santen & Bolleurs

De afgelopen maanden is er veelvuldig nieuws over datalekken, zoals bij Facebook, LinkedIn en Viruswaarheid. Met al die persoonlijke informatie die op straat ligt of te koop is op hackersfora kunnen oplichters zich overtuigend voordoen als een bekende (vriend of familielid) of als een vertrouwde instantie zoals een bank. Anders dan bij de aloude valse e-mails van Nigeriaanse prinsen die vragen of je geld wil overmaken, worden slachtoffers tegenwoordig persoonlijk aangesproken. Hoe gedetailleerder de informatie, hoe overtuigender de fraude en hoe groter de kans op succes voor de oplichters. Gooien oplichters bij phishing (een nepbericht dat hengelt naar persoonlijke gegevens) een net uit in de hoop dat iets blijft hangen, gericht mikken levert allicht meer op. Spearphishing, noemen ict-beveiligers dat ook wel.

Belangrijk om te beseffen: het gaat bij die datalekken niet per se om de dienst die gehackt is. Komt je adres voor in een hack met gegevens van LinkedIn, dan volstaat het om je wachtwoord daar te veranderen om te voorkomen dat mensen toegang hebben tot je account. Het probleem is dat mensen veel te vaak hetzelfde (of bijna hetzelfde) wachtwoord gebruiken voor verschillende diensten én dat er ook andere persoonlijke gegevens dan wachtwoorden worden buitgemaakt.

Zwakke wachtwoorden

Dat we zo vaak zwakke wachtwoorden kiezen én onverschillig doen over gegevenslekken komt door wat Mark Vandenwauver met een ingewikkeld woord het menselijke negatieve externaliteitsprincipe noemt: mensen zijn in het algemeen niet geneigd zich te bekommeren om zaken die niet direct een slecht gevolg hebben, zegt hij telefonisch vanuit België. Vandenwauver werkt al jaren als computerbeveiliger, nu voor de ict-dienstverlener Ordina, eerder voor onder andere IBM in de Verenigde Staten. Aan de Hampton-universiteit in de staat Virginia deed hij tien jaar geleden onderzoek naar de psychologie van het kiezen en onthouden van wachtwoorden. In de studie staan bevindingen die nog steeds gelden. Mensen dachten toen al: het gaat mij niet gebeuren dat ik slachtoffer word van een hack of opgelicht word doordat mijn wachtwoord is gelekt.

Dat schouderophalen overkomt Nina niet meer. Tot haar frustratie kan politie noch bank haar helpen. De laatste vergoedt alleen bancaire fraude, waarbij oplichters zich voordoen als bankmedewerkers. De politie op haar beurt heeft niet de capaciteit om al die individuele gevallen te behandelen. Theo van der Plas, programmadirecteur digitalisering & cybercrime, pleitte vorige maand nog voor een forse financiële injectie om fenomenen als ransomware (gijzelsoftware), phishing en WhatsApp-fraude beter te kunnen aanpakken. Ondertussen toont Nina zich verbaasd: ‘Blijkbaar ben ik het slachtoffer van een datalek. Maar hoe zit het dan met bedrijven die hun spullen niet goed beveiligen? Zijn zij niet ook verantwoordelijk?’ Ze voelt zich in de kou staan omdat alle instanties haar afwimpelen.

Het is een complex, versplinterd probleem, zegt ethisch hacker Sijmen Ruwhof. En inderdaad begint het met de bedrijven die data niet veilig opslaan: ‘Steeds vaker moet je je gegevens achterlaten, terwijl de noodzakelijke cybersecurity-kennis er niet is bij die bedrijven.’ Hij noemt als voorbeeld het knullige lek in de site van Viruswaarheid eerder dit jaar.

Probleem twee: de Autoriteit Persoonsgegevens is onderbemand zodat er te weinig handhaving is en bedrijven nog altijd te weinig de noodzaak voelen hun zaakjes op orde te krijgen. Toch verandert er wel iets ten goede, ziet Ruwhof. Door de meldplicht datalekken hebben bedrijven de laatste tijd meer aandacht voor cybersecurity. Hoewel niet genoeg om het tij te keren: ‘De maatregelen groeien niet hard genoeg mee. Alles wordt gekoppeld, bedrijven en instellingen verzamelen steeds meer gegevens, er is steeds meer digitalisering. We worden ingehaald door de realiteit.’

Internetrijbewijs

Kortom: als consument kun je maar beter zelf ook maatregelen nemen, want datalekken zullen altijd blijven bestaan. Dat is gemakkelijker gezegd dan gedaan, geeft Ruwhof toe. Al die datalekken blijven namelijk voor de meesten een nogal abstract verhaal: ‘Omdat we het niet zien, voelen we de noodzaak niet.’

En wie wel in actie wil komen, weet vaak niet waar te beginnen. Meer aandacht voor ict vanaf de lagere school zou een deel van de oplossing kunnen zijn, denkt Ruwhof. ‘We hebben met zijn allen een digitale samenleving gecreëerd waarbij iedereen gewoon in het diepe is gegooid.’

Dat zegt ook ict-beveiliger Vandenwauver, die graag een vergelijking maakt met het verkeer. ‘Jarenlang mocht je zonder rijbewijs rondrijden, tot we als maatschappij besloten dat dat gevaarlijk is en je moest kunnen aantonen dat je kon rijden. We zouden een soort internetrijbewijs moeten hebben, zodat mensen bijvoorbeeld begrijpen wat de risico’s zijn als je persoonlijke gegevens aan een dienst overhandigt.’

Ruwhof hamert op digitale hygiëne: gebruik niet voor iedere site hetzelfde wachtwoord, kijk goed naar de afzender van mails, verdiep je in de laatste oplichtingstechnieken. ‘Als je niet weet hoe je genept kan worden, trap je overal in. In het fysieke leven hebben we geleerd nep van echt te onderscheiden. Dat moeten we in het digitale domein nog leren’, aldus Ruwhof.

In de beveiligingswereld wordt soms wrang gezegd dat er eerst een groot ongeluk voor nodig is om door te laten dringen dat goede beveiliging nodig is, zegt Mark Vandenwauver. Hij trekt de parallel met de covid-pandemie: ‘Iedereen wist daarvoor wel dat het goed is regelmatig de handen te wassen. Maar nu gebeurt dat veel beter.’

Datahonger

Niet de lakse burger, maar de datahonger van bedrijven en overheden is het grote probleem, betoogt Evelyn Austin, directeur van burgerrechtenorganisatie Bits of Freedom. ‘Iedere keer wordt het probleem bij de consument neergelegd.’ Die moet volgens haar woedend zijn, omdat het een politieke keuze is om de handhaving een wassen neus te laten zijn.

Net als Ruwhof wijst ze op de onderbezetting van de Autoriteit Persoonsgegevens. De Tweede Kamer stemde in februari weliswaar voor een motie om de capaciteit van de waakhond uit te breiden, maar demissionair minister van Rechtsbescherming Sander Dekker trapte vorige maand op de rem: daarvoor is het te vroeg. Dekker wil eerst onderzoeken hoeveel extra capaciteit er nodig is.

Bernold Nieuwesteeg, directeur van het Centre for the Law and Economics of Cyber Security van de Erasmus Universiteit, zoekt de verbetering in een andere richting: bij het bedrijfsleven zelf. ‘Het probleem is dat veel bedrijven enthousiast beginnen met het verzamelen van data van burgers en pas daarna gaan nadenken over cybersecurity. Terwijl de kennis van cybersecurity bij de softwareleverancier ligt.’ De verantwoordelijkheden van de leverancier moeten dan ook groter worden en worden vastgelegd in duidelijke afspraken, zegt Nieuwesteeg.

Niet alleen bij het bedrijfsleven trouwens. Nieuwesteeg haalt in een onlangs gepubliceerd discussiestuk het datalek van de GGD’s aan van eerder dit jaar. De software van de GGD wordt niet door medewerkers van de GGD zelf ontwikkeld: ‘Die zijn geschoold om vaccins toe te dienen en testen af te nemen.’ De media en publieke opinie richtten de pijlen op de GGD, de leverancier van de software bleef ten onrechte buiten beeld, vindt Nieuwesteeg. Door deze er nauwer bij te betrekken, zouden veel knullige lekken kunnen worden voorkomen.

Terug naar de realiteit van slachtoffer Nina. Zij loopt meer risico dan ooit, vreest Ruwhof. ‘Criminelen hebben de gewoonte om informatie met elkaar te delen. Op die manier kunnen verschillende stukken informatie van één slachtoffer worden gecombineerd. Maar wat ze ook delen: dat iemand in een val is getrapt.’ Die mensen komen op een soort ‘sukkellijst’ te staan en zullen dus nog vaker worden benaderd. Een kennis van Ruwhof ondervond dit aan den lijve: ‘Die mailde echt iedere Nigeriaanse prins terug en werd helemaal leeggemolken.’

Zover zal Nina het niet laten komen. Zij heeft naar eigen zeggen haar lesje geleerd. Maar de schade is groot. Niet alleen is haar buffer weg met als gevolg dat ze ook de Belastingdienst niet kan betalen, ook heeft het spanningen met haar zoon opgeleverd. ‘Die is nu boos op me. Mama, ik zou toch nooit zomaar geld aan je vragen, zei hij tegen me.’ De emotionele schade is minstens zo omvangrijk, stelt Nina.

Uit privacyoverwegingen zijn de namen van de gedupeerden gefingeerd. De echte namen zijn bij de redactie bekend.

Recente datalekken

Januari

Telefoonnummers en mailadressen van duizenden ondertekenaars van een petitie tegen de lockdown zijn voor iedereen toegankelijk door gebrekkige beveiliging van de website van de actiegroep Viruswaarheid.

Januari

Criminelen handelen in miljoenen adresgegevens, telefoonnummers en burgerservicenummers uit de twee coronasystemen van de GGD. Medewerkers konden (te) gemakkelijk bij de data en deze exporteren. Twee van hen stonden in mei voor de rechter.

Maart

Namen, adressen, woonplaatsen, geboortedata, mailadressen en kentekens van mogelijk miljoenen mensen zijn in handen gevallen van criminelen na een datalek bij een bedrijf dat ict-diensten verleent aan autobedrijven.

April

Op een hackersforum is een gestolen database met namen, adressen, telefoonnummers, geboortedata en wachtwoorden van zo’n 3,6 miljoen mensen die iets gekocht hebben bij de webshop Allekabels.nl te koop aangeboden.

April

Bestanden met onder andere telefoonnummers en mailadressen van 530 miljoen Facebook- en 500 miljoen LinkedIn-gebruikers (500 miljoen) staan te koop. Het zijn openbare gegevens die door handige hackers bij elkaar zijn geschraapt

Tips van ethisch hacker Sijmen Ruwhof

1. Gebruik een wachtwoordmanager zoals het uitstekende Bitwarden (gratis).

2. Zorg dat je voor iedere site en app een uniek wachtwoord hebt.

3. Maak gebruik van tweetrapsverificatie, waarbij je na het inloggen met gebruikersnaam en wachtwoord ook nog op je mobiel moet bewijzen dat jij het echt bent. Alle grote diensten bieden die mogelijkheid.

4. Controleer op een site als Have i been pwned of je mailadres of telefoonnummer onderdeel is van een bekend datalek.

Andere voorbeelden van digitale fraude

Nathan wilde een iPad verkopen op Marktplaats. De koper zei aan de andere kant van het land te wonen en vroeg hem de verzendkosten te betalen. Toen Nathan probeerde te betalen via de toegestuurde link, belde een ‘medewerker’ van de Rabobank dat er een verdachte transactie te zien was. Dat was met een paar klikken te verhelpen, zei de medewerker. Even later waren vier aan zijn pas gekoppelde rekeningen leeg.

Iemand ‘huurde’ een appartement in Verona via het Airbnb-account van de vriend van Marion. De ‘verhuurder’ (vermoedelijk dezelfde persoon of een handlanger) claimde vervolgens 2.500 euro schade aan een dure bank. Het mailadres komt voor in een aantal datalekken.

Iemand wist toegang te krijgen tot het verkoopaccount van Evelien op bol.com en begon daar dure boeken te verkopen. Evelien kwam er pas achter toen er een brief van een deurwaarder op de mat lag omdat de boeken volgens de kopers nooit waren geleverd en ze hun geld terug wilden. De ‘verkoper’ is er met 8.000 euro vandoor.

Via het Marktplaats-account van Just verkocht een onbekende oplichter een iPhone, zonder dat die ooit werd geleverd. Het wachtwoord dat Just gebruikt, gebruikte hij ook voor andere diensten. Mailadres en wachtwoord kwamen voor in een datalek van een andere dienst.

Meer over