Actueel

Cyberaanval met ransomware

01 maart 2021

Datadiefstal en hacks explosief toegenomen – AP luidt noodklok

Het aantal hacks en datadiefstallen waarbij persoonsgegevens bemachtigd worden, is in het voorbije kalenderjaar enorm toegenomen. De Autoriteit Persoonsgegevens (AP), dat spreekt van een ‘explosieve stijging’, ontving in 2020 maar liefst 30 procent meer meldingen ten opzichte van 2019. Dat blijkt uit de ‘Rapportage Datalekken 2020’ die AP-voorzitter Aleid Wolfsen vandaag naar de Tweede Kamer stuurt.

Het gaat vaak om gevoelige informatie, die ingezet wordt voor identiteitsfraude en om spam- en phishingaanvallen uit te voeren. “Dergelijke oplichting kan mensen jarenlang achtervolgen en de schade kan tot in de duizenden euro’s lopen”, stelt Wolfsen.

Rapportage datalekken 2020

In 2020 ontving de AP 23.976 datalekmeldingen. Dat is een daling van 11 procent ten opzichte van 2019. Dat komt volgens de rapportage (PDF) met name doordat incassobureaus hun werkwijze hebben aangepast, zodat veel minder betalingsherinneringen bij verkeerde ontvangers terechtgekomen. Tot zover het goede nieuws. Het aantal meldingen van hacking, malware of phishing-incidenten is namelijk in datzelfde jaar gestegen met 30 procent. Vooral grotere organisaties, die persoonsgegevens van veel mensen verwerken, zijn volgens de AP doelwit. De stijging overtreft de toename van 2019, toen er een groei van 25 procent was ten opzichte van het jaar dáárvoor.

Ook de professionaliteit van cybercriminelen is toegenomen. Steeds vaker zien we een datalek ontstaan doordat hackers al langere tijd in een netwerk aanwezig zijn, voordat ze toeslaan. Ze gebruiken die voorbereidingstijd om de organisatie in kaart te brengen, bevoegdheden te verwerven en uiteindelijk de juiste ingang te kiezen voor een volgende stap – waarna persoonsgegevens gestolen worden of een ransomware-aanval wordt uitgevoerd.

Organisaties doelwit, individuen slachtoffer

Onder het grote aantal meldingen vinden we vooral grotere organisaties, die stevige hoeveelheden persoonsgegevens verwerken. Bij 41,5 procent van de meldingen werden meer dan 500 personen getroffen. Veel mensen worden echter persoonlijk getroffen wanneer criminelen erin slagen hun persoonsgegevens te stelen, zegt Wolfsen. “Criminelen gebruiken de gestolen gegevens namelijk voor identiteitsfraude en om spam- en phishingaanvallen uit te voeren. De schade van dergelijke oplichting kan zodanig oplopen, dat mensen echt in problemen komen en al hun spaargeld kwijtraken.”

“Mensen vertrouwen hun persoonsgegevens toe aan organisaties, ervan uitgaande dat zij er zorgvuldig mee omgaan. Helaas is dat niet altijd het geval en had groot leed gemakkelijk voorkomen kunnen worden met goede beveiliging.” Als voorbeeld noemt hij onder meer meerfactorauthenticatie als heel eenvoudige beveiligingsmaatregel. “Dat is verplicht bij de verwerking van gevoelige persoonsgegevens, maar organisaties zouden dat eigenlijk overal standaard zouden moeten doorvoeren. Dat zou veel leed kunnen voorkomen.”

Meerfactorauthenticatie is een extra veiligheidslaagje voor je wachtwoord. Het vermindert het risico dat een hacker toegang krijgt tot je online accounts aanzienlijk, door aan dat wachtwoord een tweede stap toe te voegen, zoals de fysieke beschikbaarheid van een smartcard of smartphone. Je wordt dan bijvoorbeeld naast invoer van je wachtwoord gevraagd om een code die op je telefoon verschijnt.

Social Engineering

We adviseren altijd meerfactorauthenticatie aan inlogprocessen te koppelen. De effectiviteit van aanvullende toegangscontrole is echter alleen afdoende als de identiteit van een persoon of systeem met betrouwbaarheid kan worden vastgesteld. Als anderen, op wat voor manier dan ook, in bezit kunnen komen van de authenticatiemiddelen van de persoon of het systeem, dan kan de identiteit worden overgenomen.

In de vele meldingen van het AP zien we dat social engineering daar een grote rol in speelt. Hackers weten als geen ander dat de beste manier om informatie te verkrijgen is er simpelweg naar te vragen – daar komt vaak geen technische handeling aan te passen. Door de inzet van sociale vaardigheden (phishing, vishing) lukt het hen om inloggegevens of andere waardevolle informatie te verkrijgen. WhatsApp-fraude is daar eveneens een voorbeeld van (lees ook hoe je WhatsApp-fraude voorkomt met tweestapsverificatie).

Daarnaast spreekt de AP over een toegenomen aantal voorbeelden van ‘password spraying’ – waarbij op een geautomatiseerde wijze geprobeerd wordt om op een lijst van accounts in te loggen door achtereenvolgens veelgebruikte wachtwoorden te gebruiken – en van ‘credential stuffing’. Daarbij worden op een grootschalige manier eerder buitgemaakte inloggegevens (bijvoorbeeld afkomstig uit een ander datalek) gebruikt om ongeoorloofde toegang te krijgen tot accounts.

Hoe voorkom je phishing?

Phishing via e-mail blijft een favoriete strategie van cybercriminelen, ook voor aanvallen met ransomware. Deze pogingen worden bovendien steeds geavanceerder, want de e-mails worden niet alleen in grote aantallen naar potentiële slachtoffers gestuurd, maar ook steeds vaker op maat gemaakt op basis van via social engineering verkregen informatie.

Wil je beter inzicht in het klikgedrag van jouw medewerkers, maar ook een concrete aanpak om ze weerbaar te maken tegen deze reële dreigingen? De aanpak van Awareways gaat veel verder dan monitoring alleen, want onze expertise is gedragsverandering, dus dat moment van wel of niet klikken is voor ons pas de start. We beschikken over eigen phishing simulatiesoftware die medewerkers doorlopend en proactief traint; kijk voor meer informatie op awareways.com/phishing.

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.