Digitaal gegijzeld
“Online misdaad is veel makkelijker”
Fraude komt in alle lagen en sectoren voor. Ook Twente ontkomt er niet aan. Zorgaanbieders die de PGB-budgetten aanwenden voor persoonlijke financiële doeleinden, cybercriminaliteit, oplichting, spookfacturen en wat al niet meer. Je er tegen wapenen lijkt schier onmogelijk. Voor criminelen is het bedenken van vormen van oplichting immers dagelijks werk en zo blijft de boevenbende een stap voor.
Nee, voor Jaap Besteman van het Almelose Westerhuis was december toch al niet zo’n topmaand. De coronapandemie had zand in de motor gestrooid en toen was daar ineens Johan S. die een cateringbedrijf runde. Besteman: “Hij wilde steamers, fornuizen en rvs-werktafels huren: een complete keuken. Nou, dat kunnen we. Wat doe je dan: je checkt het bedrijf bij de KVK en meer kun je eigenlijk niet doen. Een van de dames was er niet zo gerust op, maar je denkt: ach, het is ons in al die jaren nooit overkomen.”Het verhaal is bekend: de inmiddels ingerekende Johan S. bracht de spullen niet terug en liet voor het overige ook een slagveld met kleinere en grote slachtoffers achter. “Ik werd getipt door een collega die het niet vertrouwde. Uiteindelijk klopte dat. We hebben de helft van de spullen terug kunnen halen, maar we zijn toch voor zo’n 25 mille het schip ingegaan.”
Het gebeurt hem niet weer, zegt de verhuurder: “Een steamer kost al
snel zeven mille. Die wil je wel graag terug hebben.”
Van phishing tot Ddos-aanvallen
Het zal inmiddels niemand verbazen dat deze vorm van oplichting het aflegt tegen cybercriminaliteit. En dat varieert van phishing en ransomware tot Ddos-aanvallen en defacing: hackers leiden bezoekers onopgemerkt via een gewijzigde pagina naar hun eigen website. Zo kunnen zij bijvoorbeeld gegevens van klanten stelen of hun systemen aanvallen. Geen bedrijf of organisatie lijkt er aan te ontkomen. De gevallen zijn legio en gevarieerd: een gemeente wordt gegijzeld, een middelgroot bedrijf of de exploitant van een website die zijn hele klantenbestand met alle gegevens ziet verdwijnen. Liesbeth Holterman, expert cybercsecurity van Novel T, constateert dat ransomware nu de meest voorkomende vorm is: “Daarbij maakt een cybercrimineel vaak gebruik van andere vormen van cybercriminaliteit om te zorgen dat het slachtoffer betaalt. Denk aan het versleutelen van data en back-ups of vernietigen van data en back-ups, zoals bij de gemeente Hof van Twente, het Ddossen van een website waardoor deze uit de lucht is of het vrijgeven van bedrijfsgevoelige data in het openbaar.” Een andere vorm is CXO-fraude, vervolgt Holterman: “Iemand doet zich voor als de baas van een bedrijf en vraagt om een spoedbetaling. Een aanvaller stuurt e-mails aan een financiële afdeling zogenaamd uit naam van de CEO of CFO van een bedrijf. De aanvaller wil hiermee een medewerker van de financiële afdeling overtuigen of onder druk zetten om geld over te maken.”
Of cybercriminaliteit in Twente toeneemt is niet duidelijk omdat er geen specifieke cijfers beschikbaar zijn. Uit onderzoek van het CBS blijkt dat een op de vijf MKB-ondernemers in 2019 te maken kreeg met een cyberincident. “Bij grote ondernemingen was een op vier”, aldus Liesbeth Holterman: “En sindsdien is cybercriminaliteit alleen maar toegenomen. Denk onder andere aan Covid-19 waardoor veel meer medewerkers thuis zijn gaan werken op soms onveilige thuisverbindingen. En de Nederlandse politie zegt inmiddels dat ransomware maatschappij-ontwrichtend werkt in Nederland.”
Te goed gelovig
Ralph Knol is sinds 2016 actief met RKI Consultancy & Advies in Enschede.
Veel advieswerk heeft te maken met data en het beschermen hiervan. Hij
hanteert een andere benadering als het gaat om beveiliging. “Veel partijen
denken vanuit de techniek maar als je alle lekken nakijkt is het vaak het
menselijke aspect waardoor het mis gaat. Dat blijft onderbelicht: techniek
is een middel, maar als je er niet mee om kunt gaan, dan loop je gevaar.”
Zoals ook Liesbeth Holterman al aangaf is thuiswerken op minder goed beveiligde laptops een risico, Knol: “Maar ook dan is het weer de mens die de aanleiding geeft: je opent een onbekend linkje in een mail en dan is het kwaad al geschied. Met andere woorden: het gaat niet om de hackersgroepen te vinden maar om de gebruikers die de gelegenheid bieden en ook te goed gelovig zijn; die een cookie of een bijlage openen zonder erbij na te denken. En de hacker vindt altijd wel ergens een opening in het netwerk.”
Lucratieve business
Knol adviseert bedrijven en organisaties met de focus op het menselijke
gedrag. “Want voorkomen lukt niet door torenhoge en brede firewalls. Dan
moet je al je medewerkers op standalone computers laten werken. Maar dat
kan niet meer. Dus zorg dat iedereen zich continu bewust is van risico’s,
alert is op vreemde berichten.” Voor criminelen is het stelen van persoonsgegevens
een lucratieve business. Iets waar met name ook eigenaren van webwinkels
op bedacht moeten zijn, waarschuwt Ralph Knol: “Daar is een levendige handel
in. Een bestand met 15.000 klantgegevens en hun bank- en creditcardgegevens
is heel interessant. Als dat bij jouw webwinkel gebeurt dan is het heel
belangrijk dat je dit onmiddellijk onderzoekt en meldt in verband met de
AVG. Als ondernemer ben jij namelijk verantwoordelijk voor die persoonsgegevens.
Meld je het niet op tijd bij de Autoriteit Persoonsgegevens, loop je kans
een fikse boete te krijgen.” En dat bovenop de imagoschade en andere ellende
die de exploitant van een webshop over zich heen krijgt. Ook Liesbeth Holterman
adviseert daarom bij een digitale inbraak onmiddellijk de juiste mensen
en instanties in te schakelen: “Zorg dat je direct contact opneemt met
je systeembeheerder om te kijken wat er aan de hand is: is er iemand ongeoorloofd
binnen je netwerk en breng de personen op de hoogte van wie de data is
gelekt. En onderzoek of je het datalek moet melden bij de Autoriteit Persoonsgegevens
en informeer organisaties in je toeleveranciersketen. Zij zijn mogelijk
ook kwetsbaar doordat jij kwetsbaar bent.”
Er is overigens wel een lichtpuntje te melden, zegt Holterman: “Gelukkig is er bij de politie steeds meer aandacht voor. Het nieuwe kabinet heeft ook afgesproken om fors te investeren om cybercriminaliteit aan te pakken. Daarnaast hebben de verschillende politieregio’s zich gespecialiseerd in verschillende vormen van cybercriminaliteit, waardoor schaarse capaciteit steeds beter wordt ingezet.”
Zeer professioneel
Er is wel een kanttekening: veel organisaties die slachtoffer zijn doen
geen aangifte doen. Dat ziet ook programmamaker Alberto Stegeman. De geboren
Twentenaar maakte furore met zijn programma Undercover in Nederland en
kent inmiddels de trucs van de onderwereld. Ook als het online-fraude betreft:
“Het zit altijd vernuftig in elkaar. Als bedrijf denk je dat je bijvoorbeeld
in een goed doel investeert maar je wordt gewoon opgelicht. Het is zeer
professioneel geworden. En wat inderdaad vervelend is dat veel bedrijven
geen aangifte doen. Ze willen er niet mee in de media, bang voor imagoschade
en slechte publiciteit. En ja, ook schaamte telt dan mee.”
“De criminaliteit is naar online verplaatst. Het is makkelijker uit te voeren, je komt in het vizier van buitenlandse bendes en je loopt als crimineel minder risico’s. Er zijn inmiddels tal van voorbeelden: van spookfacturen en vreemde incasso’s tot valse mails en gijzelsoftware zodat je niet over je documenten kunt beschikken. Online misdaad is veel makkelijker”, aldus Stegeman.
Hoe het aantal gevallen in Twente zich verhoudt tot bijvoorbeeld de Randstad, durft de programmamaker niet te duiden. “We moeten niet naïef zijn, de cijfers zijn niet mals. En bovendien: online criminaliteit kent geen provinciegrenzen.” Dat klopt, zegt Liesbeth Holterman: “En ik zie ook dat de zware cybercriminelen Twente weten te vinden. Neem de ransomware-aanval bij de gemeente Hof van Twente. De gemeente werd digitaal afgeperst voor een bedrag van 750.000 euro en de criminelen hebben alle data van de gemeente vernietigd. Ik vind dat zware criminaliteit. Ook ken ik persoonlijk nog wat andere zaken waar organisaties digitaal zijn afgeperst via ransomware.”
De wereldwijde losgeld-bedragen zijn gemiddeld 125.000 euro per ransomware-aanval.
Hierbij zijn uitschieters van in de miljoenen: vorig jaar heeft een Amerikaans
bedrijf 4.5 miljoen dollar aan losgeld betaald.
Voor zover bekend is in Twente een bedrijf of organisatie nog niet voor dergelijke megabedragen op de korrel genomen, maar uitsluiten kun je het niet. Stegeman heeft tot slot een tip als een hacker met verleidelijke aanbiedingen of op een andere wijze geld probeert te verdienen: “Er is altijd een belangrijke stelregel: als iets te mooi is om waar te zijn, dan is het niet waar. Dat herkent iedere nuchtere Tukker wel.” En wellicht is dat nog de beste firewall.
Tips van de experts
· Zorg voor een goede backup volgens de 3-2-1- principe (3 back ups, 2 verschillende locaties en 1 offline locatie);
· Zorg voor goede antivirus om kwaadaardige software buiten de deur te houden;
· Maak een goede risico inschatting: dus welke applicaties of informatie zijn zo belangrijk voor mijn organisatie dat deze echt goed beschermd moet worden (welke informatie mag niet naar buiten of welke systemen mogen niet stil komen te liggen?)
· Zorg dat je updates (patches) meteen uitvoert wanneer deze beschikbaar zijn. Cybercriminelen maken gebruik van bestaande kwetsbaarheden die door een patch kunnen worden gedicht. Het is belangrijk om deze snel uit te voeren zodat criminelen niet binnen kunnen komen;
· Zorg voor 2-factor authenticatie op belangrijke systemen (bijvoorbeeld je e-mail en andere belangrijke applicaties). Mocht je wachtwoord geraden worden of een keer gelekt zijn dan kunnen cybercriminelen toch niet binnen komen omdat je ook via een andere manier (bijvoorbeeld een sms-code) in moet loggen.
