Mogelijk zijn miljoenen mensen betrokken bij het datalek rond marktonderzoekers die software van leverancier Nebu gebruiken. Het lek is inmiddels zo grootschalig, dat de kans groot is dat u er al lang van heeft gehoord.
In dit artikel gaan we niet te diep in op het lek zelf – dat doen andere media al – maar duiken we wel in de risico’s die ermee ontstaan. Voor particulieren én ondernemers.
In het kort: hoe zit het ongeveer?
Hoe het kan dat waarschijnlijk miljoenen Nederlanders getroffen zijn? Gespecialiseerde onderzoeksbureaus zoals Blauw en USP maken gebruiken van software (aangekocht bij Nebu) om klantonderzoek uit te voeren voor uiteenlopende Nederlandse bedrijven. Ze hebben contact met Nederlanders over – bijvoorbeeld – hun tevredenheid over een bepaalde dienst. Zoals die van de NS.
Inmiddels is bekend dat o.a. VodafoneZiggo, CZ, NS en RVO marktonderzoeksburaus hebben ingeschakeld. Dit is een greep uit de organisaties waarvan al bekend is dat ze betrokken zijn bij het lek. De lijst is nog groeiende. Zelfs de gegevens van bezoekers van Vrienden van Amstel Live en het Filmfestival in Rotterdam zijn vermoedelijk gelekt.
Op dit moment ligt volgens de marktonderzoekers de oorzaak van het lek bij een kwetsbaarheid bij Nebu.
“Namen, (mail)adressen en telefoonnummers”
Er is nog geen volledige zekerheid over welke gegevens precies gestolen zijn bij de kwetsbaarheid. Het lijkt erop dat het “enkel” om namen, (mail)adressen en in sommige gevallen telefoonnummers gaat. Het zou verder geen privacygevoelige informatie betreffen. Een geruststelling. Of niet?
Wat cybercriminelen kunnen met deze gegevens
Deze gegevens geven gelukkig niet direct toegang tot onze bankrekeningen. Dat is inderdaad een geruststelling. Maar ze zijn wel een onderdeel van de door criminelen te kraken code. De gelekte data is een perfect beginpunt voor phishingcampagnes. Denk hierbij niet alleen aan phishingmails, maar ook aan brieven, smsjes en telefoontjes.
Niet overtuigd dat enkel een naam en wat contactgegevens voldoende kan zijn? Een telefoontje dat vriendelijk begint met “Goedemorgen, met Fenna Jagerman van CZ Nederland. Spreek ik met Jos Lanaken? Of ben ik verkeerd verbonden?” klinkt niet heel erg onbetrouwbaar als u die Jos Lanaken bent die zijn verzekering bij CZ heeft. Toch?
Datalekken maken phishing mogelijk nog persoonlijker
We zijn het tijdperk van phishingmails vol taal- en designfouten en slecht verstaanbare malafide telefoontjes al lang voorbij. Natuurlijk, ze komen nog voor. Maar er zijn genoeg criminelen die het vol precisie aanpakken.
Als bij dit lek ook de antwoorden op de vragenlijsten zijn buitgemaakt, bezitten criminelen alle ingrediënten om aanvallen nóg persoonlijker te maken. Heeft u meegedaan aan een onderzoek van de NS? En heeft u onder andere geantwoord wat voor soort reisproduct u gebruikt? Dan kan een phishingmail – volledig in de tone-of-voice en huisstijl van NS – daar mooi op inhaken:
“Beste meneer Lanaken,
Eerder dit jaar heeft u uw ervaringen met het nieuwe inchecken met ons gedeeld. Graag willen we u hiervoor bedanken met € 20,- reistegoed, te besteden in de maand April van 2023.
We hebben het tegoed toegevoegd aan uw lopende NS-Flex abonnement. Wilt u gebruik maken van het tegoed? Activeer deze vóór 31 maart op deze activeringspagina.
Let op: op deze actie zijn voorwaarden van toepassing.
Met vriendelijke groet,
Lien Buma
Hoofd NS Klantenservice”
Hoe meer info, hoe geloofwaardiger
Aanvallers weten zelf ook dat hun phishingacties niet bij iedereen werken. Maar ze gokken erop dat ze u net treffen in een onoplettend moment. Voeg daar een hoop persoonlijke informatie die écht op u slaat aan toe en de kans dat u niet snel vraagtekens zet bij een bericht is vergroot. Voeg daar óók nog hoge emoties (Yes! Ik krijg iets!) aan toe en de phishingactie slaagt.
Nebu-lek: ondernemers extra alert
De berichtgevingen rondom dit lek richten zich vooral op particulieren. Maar gezien o.a. de Rijksdienst voor Ondernemend Nederland en werkgevers die hun collectiviteit bij CZ hebben ook betrokken zijn bij het lek willen we ondernemers even op scherp zetten. Want het gaat dan niet alleen om privézaken, maar ook om de bedrijfscontinuïteit.
Als u nog niet alert was, bent u dat nu hopelijk wel. Waar u alert voor moet zijn? We voorspellen met de informatie die er nu is dat er dus vooral een toename gaat zijn in (geloofwaardige) phishing-acties.
Hoe is het nog mogelijk phishing te herkennen?
Als aanvallers zelfs met persoonlijke brieven gaan rondstrooien: hoe is het dan nog mogelijk phishing te herkennen? De standaard adviezen om bij twijfel de afzender te controleren en kritisch te zijn op spelling en huisstijl gaan niet meer op.
Wat als phishingacties zo persoonlijk en geloofwaardig zijn dat we niet meer twijfelen? Hangen we dan bij een mega geloofwaardig telefoontje nog op om onze bank zélf te bellen?
Altijd twijfelen?
Het liefst geven we het advies áltijd te twijfelen. Maar het is onmogelijk om bij elke mail, brief of belletje op alert te staan en het afzenderbedrijf zelf te bellen. Tenslotte worden we dagelijks overspoeld met communicatie van bedrijven. Niemand is een wandelende spamfilter.
Let vooral op urgentie
Wie snel handelt, let niet goed op. Phishingacties sturen daarom bijna altijd op urgente acties. Van een “Claim snel uw tegoed” tot “Geef snel X informatie om X te voorkomen”. Dus voelt u zich door een mail, brief, smsje of telefoontje gepusht tot een snelle actie? Dat is een moment om extra alert te zijn. En wat bedoelen we met alert? Het aller slimste is om contact op te nemen met de (zogenaamde) afzender via contactgegevens op de website van het desbetreffende bedrijf.
Verder blijft het natuurlijk goed om altijd de afzender te controleren en te letten op ongebruikelijke designelementen, etc.
Wat als privacygevoelige gegevens zijn gelekt?
Als kopieën van paspoorten, BSN-nummers of creditcardgegevens zijn gelekt, is er identiteitsfraude mogelijk. Denk aan het openen van een bankrekening op uw naam. Of het vastleggen van een energiecontract of telefoonabonnement. Of nóg creatievere dingen.
Gaat dat bij dit specifieke lek ook het geval zijn? In het geval van de marktonderzoekers waarschijnlijk niet. We vermoeden dat die niet met dergelijke gevoelige data te maken hebben gehad en er dus ook geen paspoorten te lekken vielen.
Maar blijken er meer organisaties die wél gevoelige gegevens verwerken kwetsbare software te hebben gebruikt? Dan liggen de kaarten anders. Voor nu is de kans gelukkig klein.
Meer informatie over phishing
Meer lezen over phishing herkennen en bescherming tegen phishing? Lees dan hier verder. Of zet samen met onze ethisch hackers een awarness-actie op met een Spearphishing Simulatie.
