Ik kan 5.000 Euro per dag verdienen, meldt een onbekende via Whatsapp. Te mooi om waar te zijn…

Pieppiep. Er komt via Whatsapp een bericht binnen. Ik kan 5.000 Euro per dag verdienen met thuiswerk, meldt een onbekende afzender. Als ik meer wil weten moet ik op een link klikken. Het aanbod is verleidelijk.

Dat weet de onbekende afzender ook. Waarschijnlijk een cybercrimineel die via social engineering probeert om mij te bewegen op de link te klikken.

Het is al het tweede bericht binnen twee weken.

Ik ben uiteraard nieuwsgierig. Niet vanwege het aanbod, maar beroepsmatig. Hoe ziet de website waarmee de cybercrimineel mij in de val wil lokken er uit?

Ik klik niet. Uiteraard niet. Ik ken de risico’s.

Misschien activeer ik via de link een script dat een virus instaleert.

De dader zou ook kunnen proberen om via phishing mij inloggegevens te ontfutselen.

Ik krijg het bericht binnen op mijn iPhone. Die is goed beveiligd. Waarschijnlijk loop ik geen risico als ik toch even op de link klik. Zal ik het doen? Even kijken?

Nee. Want ook met een iPhone loop ik risico. Bovendien bevestig ik zodra ik op de link klik dat ik open sta voor gevaarlijke verleidingen. Dan kan ik nog meer spam verwachten.

Meer actueel awareness nieuws

Koop voor Sinterklaas en Kerst alleen ‘slim’ speelgoed dat is goedgekeurd. Voorkom dat kinderen worden afgeluisterd en gevolgd

Een leerrobot. Of een pratende pop. Kinderen vinden het prachtig. Ouders soms ook. De verleiding is groot om dit ‘slimme’ speelgoed met Sinterklaas of Kerst kado te geven. Dat is prima, maar controleer dan wel goed of het speelgoed officieel is goedgekeurd.

Voorkom dat er speelgoed wordt gekocht dat stiekum met camera’s, microfoons en gps via internet gegevens doorspeelt naar dubieuze netwerken.

Het moet eerst duidelijk zijn wat er met de gegevens uit de kinderkamer gebeurt en wie toegang heeft tot het nieuwe speelgoed van de kinderen.

Om te voorkomen dat er onopgemerkt of permanent video- en geluidsopnamen worden gemaakt en verzonden is het belangrijk dat de microfoon en camera ook kunnen worden gedeactiveerd. In ieder geval in de besturingsapp, maar bij voorkeur ook met schakelaars op het speelgoed.

Het is verstandig om de website van de fabrikant te bezoeken. Als het goed is kun je daar de gebruiksaanwijzingen alvast doornemen.

En natuurlijk ook de privacy disclaimer van de producent. Daar moet zijn vermeld waar de gegevens over het gebruik van het spel of de spelinformatie wordt opgeslagen. De server van de betreffende provider dient bij voorkeur in een EU-land te staan.

Daarnaast moeten ouders in de privacyverklaring aandacht besteden aan de argumenten die de fabrikant geeft voor het verzamelenen van informatie. Is het echt nodig om het speelgoed te kunnen laten functioneren?

Het maken van profielen op basis van gebruiksinformatie en het gebruik ervan voor gepersonaliseerde reclame voor kinderen is bijvoorbeeld verboden.

Zelfs als een stuk speelgoed niet rechtstreeks via WLAN met het internet is verbonden, moeten gebruikers er rekening mee houden dat gegevens via een besturingstoepassing naar de fabrikant kunnen stromen.

Ook de toegang tot speelgoed in een netwerk moet naar behoren worden beveiligd.

Bij Bluetooth-verbindingen, bijvoorbeeld de verbinding tussen een besturingsapp op de smartphone en het speelgoed, betekent dit dat het mogelijk moet zijn om deze verbinding te beschermen door het invoeren van een verwisselbare pincode, zodat vreemden het speelgoed niet kunnen kapen of in contact kunnen komen met het spelende kind.

Vaak is echter alleen een eenvoudige PIN-code ingesteld, die niet kan worden gewijzigd.

Of nog erger: het speelgoed maakt via Bluetooth automatisch verbinding met smartphones of tablets in de buurt.

Om ervoor te zorgen dat de verbinding kan worden beschermd, adviseren consumentenorganisaties de ouders ook hier om de website en gebruiksaanwijzingen van de fabrikant te raadplegen alvorens tot aankoop over te gaan.

Meer actueel awareness nieuws

Is jouw printer aangesloten op het internet? Ethical hacker hackt 50.000 onbeveiligde printers

“YOU’VE BEEN HACKED!”, rolt er plotseling uit je printer. Dat is schrikken. Het overkwam vorige week 50.000 mensen wereldwijd. Hun printer was echt gehacked. Door ethical hacker TheHackerGiraffe. Met een iets andere tekst.

TheHackerGiraffe liet de printer van zijn slachtoffers de opmerkelijke tekst “ATTENTION PewDiePie is in trouble and needs your help to defeat T-series”, afdrukken.

PewDiePie is een zeer populaire vlogger op YouTube. De af en toe controversiële PewDiePie strijdt momenteel met het YouTubekanaal T-series om de eerste plek op YouTube. T-Series, een kanaal van een Indiase muziekproducent, heeft PewDiePie in korte tijd van de eerste plaats verdrongen.

Op Twitter reageerden mensen die de opmerkelijke oproep om PewDiePie uit hun printer zagen rollen verward.

TheHackerGiraffe legt op zijn Twitter account tot in detail uit hoe hij op het idee kwam en hoe eenvoudig het is om printers te hacken. Zijn verhaal is een mooi voorbeeld bij security awareness trainingen.

Bij security awareness trainingen wordt er wel vaak aandacht aan besteed dat printers beveiligd moeten worden met een wachtwoord.

Dat je moet voorkomen dat prints onbeheerd op de printer kunnen blijven liggen, waar ze door onbevoegden zouden kunnen worden gezien.

Dat je niet eenvoudig op de repeatknop moet kunnen drukken om de laatste print te herhalen.

En dat je er bij oude printers die worden afgedankt er aan moet denken dat je het geheugen van de printer wist.

TheHackerGiraffe maakt met zijn actie duidelijk dat iedereen die zijn printer aangesloten heeft op het internet de beveiliging moet na lopen. Zorg er voor dat de firmware van je printer up-to-date is.

Het is praktisch dat je vanaf iedere locatie met elk apparaat dat je gebruikt een printopdracht kunt geven, maar dat brengt wel risico’s met zich mee als je de printer niet op de juiste manier beveiligt. Of als je een onveilige printer gebruikt.

Volgens TheHackerGiraffe zijn er in totaal ongeveer 800.000 printers die eenvoudig gehacked kunnen worden.

Hij vond zijn slachtoffers op Shodan.io, een zoekmachine voor onbeveiligde, op het internet aangesloten apparaten.

TheHackerGiraffe verstuurde het bericht met behulp van een tool die bekend staat als PRET of Printer Exploitation Toolkit.

Volgens de GitHub-pagina voor de tool, staat PRET aanvallers toe om “leuke dingen te doen zoals het vastleggen of manipuleren van printopdrachten, toegang tot het bestandssysteem en het geheugen van de printer of zelfs fysieke schade aan het apparaat veroorzaken”.

Waarom verstuurde hij het opmerkelijke bericht over PewDiePie?

“Ik ben om te beginnen eerlijk gezegd een grote fan van kerkbanken, maar ik wilde een lichtvoetige boodschap versturen die me zou vermenselijken in plaats van alleen maar een grote enge ‘YOU’VE BEEN HACKED’ te drukken,” reageert TheHackerGiraffe. “Ik ben een grote fan van PewDiePie en dacht dat het hem een klein voordeel zou kunnen geven in zijn strijd om de nummer één op YouTube te blijven.”

Meer actueel awareness nieuws

SamSam ransomware gijzelt tientallen Nederlandse bedrijven. Gevreesd wordt dat er inmiddels veel meer organisaties besmet zijn

SamSam ransomware vormt een steeds grotere bedreiging voor veel organisaties. Het betreft ingenieuze software waarmee cybercriminelen binnendringen in systemen en dan maandenlang stilletjes hun grote slag voorbereiden.

Tientallen Nederlandse bedrijven zijn volgens het cyberbeveiligingsbedrijf Fox-IT inmiddels getroffen door deze gijzelsoftware die sinds 2015 operatief is. Het aantal slachtoffers neemt de laatste tijd toe.

De SamSam ransomware is volgens Amerika ontwikkeld door twee Iraanse ingenieurs. Beiden zijn bekend.

De cybercriminelen die met SamSam werken eisen soms tot honderduizenden Euro’s losgeld (ransom) om de blokkade van computers en netwerken weer vrij te geven. Het losgeld moet betaald worden in Bitcoin.

Hoe werkt SamSam?

SamSam werkt anders dan eerdere gijzelsoftware, zoals WannaCry en GandCrab. Die sloegen meteen na besmetting toe, vergrendelden bestanden en eisten losgeld.

De makers van SamSam wachten en loeren eerst. Ze kijken waar ze zijn binnengekomen en of ze dieper in de systemen kunnen doordringen, om zo meer schade aan te richten. Daarna verwijdert of saboteert SamSam in alle stilte de back-ups, om te voorkomen dat een bedrijf de besmetting ongedaan kan maken.

Pas als dat is gebeurd, slaat SamSam toe en worden de bestanden vergrendeld.

“Dit is een nieuwe trend. Ze gaan echt geraffineerd en zorgvuldig te werk, om de kans zo groot mogelijk te maken dat een slachtoffer geen andere optie heeft dan te betalen”, zegt onderzoeker Frank Groenewegen van Fox-IT.

Doordat computersystemen gericht worden gegijzeld, kunnen de makers een hoger losgeld eisen dan bij andere besmettingen.

“Soms weten ze zelfs hoeveel geld een bedrijf op de rekening heeft staan”, zegt Groenewegen. “Die informatie kunnen ze gebruiken om de hoogte van het losgeld te bepalen. Bedrijven die niet genoeg geld hebben, gaan ze niet lastigvallen. Die zijn de moeite niet waard, dan gaan ze weg.”

In 2017 werden tienduizenden computers in bijna honderd landen getroffen door de gijzelsoftware WannaCry.

Meer actueel awareness nieuws

Volgens privacydeskundige Jeroen Terstegge heeft de CEO-fraude bij Pathé niets van doen met de #AVG. Heeft hij gelijk?

Op Twitter heb ik al enige tijd een interessante ‘discussie’ met de Nederlandse privacydeskundige Jeroen Terstegge van PM Partners over het koppelen van de AVG op deze site aan een bericht over de CEO Fraude bij de bioscoopketen Pathé. “Dit heeft echt niets met de #AVG te maken. Niet elk securityprobleem is een AVG-probleem”, twitterde Terstegge. Ik was stomverbaasd.

Terstegge reageerde op 11 november 2018 op de volgende tweet van mij:

CEO-fraude kost Pathé bioscoopketen 19 miljoen Euro. Directie ontslagen wegens nalatigheid goo.gl/FrMcMU #AVG #GDPR #Privacywet

 

Tsja, dan begin je als privacymanager toch aan jezelf te twijfelen. En wat te denken van iedereen die sowieso al twijfelt over de AVG? CEO fraude heeft volgens een van de meest vooraanstaande privacydeskundigen van Nederland dus niets te maken met de Algemene Verordening Gegevensbescherming (AVG)?

Veel mensen zijn geneigd om op Twitter meteen impulsief te reageren. Ik besloot dat niet te doen. Ik besloot om na te denken over de tweet van Terstegge die ik net als veel collega’s hoog heb zitten. En niet voor niets.

Lees zijn bio op de site van PM Partners maar:

Jeroen Terstegge is een van Nederlands meest vooraanstaande privacy juristen. Hij heeft ruim 25 jaar ervaring op privacy gebied en was als Privacy Officer van Philips een van de geestelijk vaders van de Binding Corporate Rules (BCRs). Jeroen’s stijl kenmerkt zich door het grotere plaatje te zien zonder de details uit het oog te verliezen en complexiteit terug te brengen tot de essentie. Jeroen is vertrouwd met privacyvraagstukken in multinationale omgevingen, privacy impact assessments, wet- en regelgeving en stakeholdermanagement in sectoren zoals e-commerce, energie, finance, ICT en HRM.

Waarom heeft CEO fraude niets te maken met de AVG?

Ik begrijp de tweet niet. De AVG verplicht organisaties toch om medewerkers te trainen hoe ze cyberrisico’s kunnen herkennen? De Autoriteit Persoonsgegevens (AP) hamert voortdurend op security awareness.

Twee topmanagers van Pathé worden door gewiekste cybercriminelen via social engineering misleid en bezorgen hun werkgever daardoor een miljoenenstrop.

CEO-fraude.

Social engineering.

Die woorden komen toch echt aan bod bij iedere security awareness training.

Ik besluit op 22 november 2018 Jeroen Terstegge via Twitter om uitleg te vragen.

Hallo Jeroen, ik reageer laat. Bewust. Heb nagedacht over jouw reactie. Was verbaasd. Waarom hier geen AVG? Dit was social engineering cybercrime. Hoort toch bij awareness training?

Jeroen Terstegge antwoordt meteen:

Social engineering is alleen een AVG-probleem als de directeuren in kwestie persoonsgegevens hebben vrijgegeven. In casu is ze geld afhandig gemaakt. Kortom, geen AVG-, wel security-issue. Er is overlap tussen privacy en security, maar die twee zijn niet hetzelfde.

 

 

Terstegge is een jurist, besef ik. Juristen denken anders. Ze kunnen hele wetteksten oprafelen.

Associeren daardoor ook meteen juridisch. Dat zou als volgt kunnen gaan:

  • Twee topmanagers zijn de mist ingegaan door CEO-fraude. Er zijn miljoenen Euro’s verloren gegaan, maar er zijn geen persoonsgegevens verloren gegaan.
  • AVG = persoonsgegevens…
  • Geen persoonsgegevens betekent geen zaak voor de Autoriteit Persoonsgegevens (AP).

 

Als je het Pathéverhaal op die manier juridisch analyseert heeft Terstegge gelijk.

Maar wat hij vergeet is dat de Autoriteit Persoonsgegevens er voortdurend op hamert dat de AVG meer is dan een wet. Meer dan een juridisch instrument.

De AVG moet iedereen ook bewust maken van alle cyberrisico’s die we tegenwoordig lopen. Organisaties moeten aantonen dat ze een goed privacybeleid hebben ontwikkeld. En dat ze dat beleid ook in de praktijk ook uitvoeren.

Wat dat betreft heeft Pathé wel degelijk een AVG-probleem. Hebben de managers die de fout in gingen wel een security awareness training gehad? Een van hen beweerde van niet.

Op 24 november 2018 besloot ik nogmaals te reageren richting Jeroen Terstegge. Het komt zelden voor dat een tweet me zo lang triggert.

Ik denk dat je het artikel niet helemaal hebt gelezen. Pas op het eind wordt een verband gelegd met de AVG, maar dan alleen in verband met de verplichte security awareness trainingen. Wat dat betreft is er natuurlijk wel een link naar de AVG. Maar inderdaad niet qua boetes of AP.

Opnieuw antwoordt Terstegge snel. En opnieuw verbaast het antwoord me:

Het ging mij eigenlijk meer om die hashtags. Die slaan nergens op in dit verband.

 

Jeroen is een topjurist. Ik ben behalve privacymanager ook NextMarketeer. En ik kan daarom heel goed onderbouwen dat Terstegge met dit antwoord de plank volledig misslaat.

De AVG wordt door het grote publiek automatisch geassocieerd met cybercrime. CEO-fraude en social engineering vallen onder cybercrime.

Mensen die op internet naar informatie over cybercrime zoeken maken ook gebruik van de hashtag #AVG.

Als je als privacyspecialist online gevonden wilt worden zul je dezelfde woorden moeten gebruiken als je doelgroep. En dan helpt het ook als marketeers merken dat je hun vak begrijpt.

Qua marketing is het gebruik van de hashtag #AVG dus wel degelijk relevant.

En wat mij betreft zeer zeker ook in relatie tot security awareness. En dat valt toch echt onder de AVG.

Maar dat is mijn bescheiden mening.

No hard feelings, Jeroen.

Wat vind jij? Heeft Jeroen Terstegge gelijk? Moet je CEO-fraude en social engineering niet aan de AVG koppelen? We zijn benieuwd naar jouw reactie.

Meer actueel awareness nieuws

Wat gebeurt er (niet meer) als het internet in heel Nederland plat wordt gelegd? Dit college van professor Aiko Pras moet je zien!

Dit artikel kun je dankzij internet lezen. Waar je ook bent. Als je even geen dekking hebt voor je smartphone vind je dat hoogst irritant. Als je wifi thuis langzaam is scheldt je op je provider. Maar wat doe je als het hele internet plat ligt?

Professor Aiko Pras van de Universiteit Twente legt het uit in een online college. Hij neemt je mee op een vliegreis die dankzij een grote internetstoring niet door kan gaan. Al snel kom je er dan achter hoe kwetsbaar onze moderne samenleving dankzij internet is geworden.

Dan begrijp je ook hoe belangrijk die irritante bureacratisch ogende Algemene Verordening Gegevensbescherming (AVG) is. Het internet is zo sterk als de zwakste schakel. En wij zijn als gebruikers allemaal een schakel. Als jij je door een cybercrimineel laat verleiden om te reageren op een phishingmail kun jij de zwakke schakel zijn.

Jij kunt er zelf de oorzaak van zijn dat de digitale soldaten van Poetin er in slagen om malware te installeren op jouw computer of op het netwerk van jouw bedrijf. Een computervirus dat zich vervolgens razendsnel verspreidt over het Nederlandse internet en alle systemen platlegt.

Volgens professor Aiko Pras is de kans op een vernietigende digitale aanval op het internet groter dan we denken en zijn wij als maatschappij niet goed voorbereid op de chaos die dit zou kunnen creëren.

Het college van professor Pras op het YouTube kanaal van de Universiteit van Nederland is een aanrader voor iedereen die twijfelt over het nut van de AVG. In 18 minuten legt Pras uit waarom het zo belangrijk is dat iedereen zich bewust is van de risico’s die we lopen en hoe we ons daar tegen kunnen beschermen.

Meer actueel awareness nieuws

Deze AVG awareness video moet je echt zien! Een cybercrimineel neemt niet alleen je online leven over, maar ook jouw echte leven

Het lijkt het scenario van een film. Een cybercrimineel kopieert op basis van online gegevens jouw gedrag en steelt jouw inloggegevens. Vervolgens plundert hij niet alleen jouw bankrekening. Hij wordt een levensechte nachtmerrie. Een menselijke clone van jou.

Je kunt het je waarschijnlijk niet voorstellen dat jou zoiets in het echt zou overkomen. Dat dit echt mogelijk is. Toch is het zo. Iemand anders kan op een dag dankzij online gegevens zo jouw leven stelen. Zoals bij Tom! Deze AVG awareness video is een aanrader.

Meer actueel awareness nieuws

Mastercard profiteert van Algemene Verordening Gegevensbescherming. Privacy by design is waardevol

De Algemene Verordening Gegevensbescherming (AVG) heeft creditcardmaatschappij Mastercard veel positieve effecten opgeleverd”, zegt Chief Privacy Officer Caroline Louveaux van het creditcardbedrijf Mastercard.

Mastercard moest vanwege de AVG tienduizenden contracten met partners en klanten harmoniseren.

Caroline Louveaux liet zich lovend uit over de AVG tijdens de Most Powerful Women International conferentie van Fortune in de Canadese stad Montreal.

Het hele produktontwikkelingsproces is op de schop gegaan. Privacy by Design is dankzij de AVG nu een essentiele voorwaarde geworden bij Mastercard.

Zij hoopt dat de rest van de wereld de Europese privacywet overneemt.

Voorheen moest Mastercard rekening houden met een lappendeken aan verschillende nationale wetten in Europa. “Enkel één wet voor alle activiteiten in heel Europa is voor ons onbetaalbaar,” zegt Louveaux.

Ze hoopt dat de 50 verschillende staten van Amerika in navolging van de EU hun privacyregels zullen harmoniseren.

Caroline Louveaux van Mastercard tijdens Most Powerful Women International conferentie

Meer actueel awareness nieuws

Deze week op de agenda bij het managementoverleg bij veel organisaties: “Wat kunnen wij leren van de CEO-fraude bij Pathé?”

Het enorme bedrag van ruim 19 miljoen Euro dat cybercriminelen met CEO-fraude bij de bioscoopketen Pathé hebben buitgemaakt zal deze week in menige managementvergadering worden besproken. En dat is ook belangrijk. We leggen aan de hand van twee vragen uit waarom.

  • Hoe groot is de kans dat onze organisatie ook slachtoffer wordt van CEO-fraude of een andere vorm van cybercrime?
  • Hoe kunnen wij voorkomen dat onze organisatie ooit zelf slachtoffer wordt van cybercriminaliteit of een menselijke fout van onze eigen medewerkers?

Eigenlijk zou deze vraag ruim vijf maanden na de invoering van de Algemene Verordening Gegevensbescherming (AVG) helemaal niet gesteld hoeven te worden. Want alle organisaties moeten hun privacybeleid eigenlijk nu op orde hebben.

AVG wekelijks op agenda managementoverleg

Aan de andere kant is het juist uitstekend als managers de AVG standaard op de vergaderagenda hebben staan. Is er deze week nog iets gebeurd waar we qua privacybeleid en AVG iets mee moeten doen?

Als het goed is heeft het management alle risico’s in kaart gebracht en zijn er technische en organisatorische maatregelen genomen om problemen zoals bij Pathé te voorkomen.

Budget vragen voor structurele Security Awareness Trainingen

Naar aanleiding van de CEO-fraude bij Pathé is het daarom uitstekend als managers tijdens het managementoverleg nu aandacht en budget vragen voor structurele Security Awareness Trainingen.

Een eenmalige Security Awareness presentatie van een uurtje is dan onvoldoende. Dat levert niets op. De goed opgeleide financieel manager die bij Pathé de mist in ging had jarenlang bij accountantsbureau KPMG gewerkt, had geen goed gevoel bij de opdrachten die hij per mail kreeg, maar ging toch het schip in.

De mens is de zwakste schakel in het cybersecuritybeleid van iedere organisatie.

Die Security Awareness presentatie moet onderdeel zijn van een trainingsprogramma en een privacycampagne binnen de organisatie. Uit onderzoeken blijkt dat alleen medewerkers die regelmatig getraind worden na een jaar werkelijk alert zijn voor alle signalen dat er iets mogelijk niet klopt.

PrivacyZone kan samen met partners een trainingsprogramma en een privacycampagne voor jouw organisatie opzetten. Wij verzorgen presentaties en trainingen op locatie in combinatie met korte maandelijkse security awareness e-learning modules en phishingtests. Medewerkers worden regelmatig op de proef gesteld. Bel 06-31995740 of mail naar info@privacyzone.nl als je meer wilt weten.

Hoe herken je phishing, vishing, shishing, malware of ransomware?

Leer medewerkers – en dus ook managers – hoe ze kunnen herkennen dat er een poging wordt gedaan om door phishing, vishing, shishing, malware of ransomware binnen te dringen in de systemen van de organisatie.

Hoe hadden de verantwoordelijke managers bij Pathé kunnen herkennen dat er iets niet klopte?

Achteraf weet iedereen het beter. Maar wat had jij gedaan als je als manager binnen een bedrijf niet geacht wordt om vragen te stellen over beslissingen van het topmanagement? Als je geacht wordt opdrachten klakkeloos uit te voeren?

Misschien maakt de eigen bedrijfscultuur het cybercriminelen wel erg gemakkelijk om door social engineering autoriteitsgevoelige medewerkers te manipuleren.

AVG houdt niet op bij de website

Veel managers denken ten onrechte nog steeds dat hun organisatie aan de AVG voldoet als de website op orde is.

Sommige managers denken dat het voldoende is om een verwerkingsregister bij te houden.

Veel managers denken dat de AVG pure bureaucratie is.

Pakkans door Autoriteit Persoonsgegevens groter dan je denkt

Denken dat de pakkans als gevolg van een controle klein is omdat de Autoriteit Persoonsgegevens te weinig mensen zou hebben om iedereen te controleren.

Ze vergeten daarbij dan dat de Autoriteit Persoonsgegevens eigenlijk helemaal niet veel hoeft te doen om zwarte schapen op te sporen.

De Autoriteit Persoonsgegevens wordt geholpen door professionele cybercriminelen, slordige medewerkers van bedrijven en slachtoffers van overtredingen van de AVG.

Autoriteit Persoonsgegevens wordt geholpen door proffessionele cybercriminelen

De Autoriteit Persoonsgegevens wordt geholpen door cybercriminelen? Door ethical hackers zeker… Nee echt, door echte professionele cybercriminelen.

Cybercriminaliteit is de snelst groeiende vorm van criminaliteit ter wereld. Er wordt meer geld verdiend met het hacken van computers dan met drugs.

Het risico om slachtoffer te worden van een cybercrimineel is vele maken groter dan het risico om regulier gecontroleerd te worden door de Autoriteit Persoonsgegevens.

Slachtoffers van cybercriminaliteit zijn vanwege de AVG verplicht dat zelf te melden bij de AP

In die zin wordt de Autoriteit Persoonsgegevens geholpen door professionele cybercriminelen. Iedere succesvolle hack door een cybercrimineel heeft voor getroffen organisaties namelijk automatisch tot gevolg dat zij zelf een datalekmelding moeten doen bij de Autoriteit Persoonsgegevens.

Enorme imagoschade door negatieve publiciteit

Daarnaast groeit de kans dat andere slachtoffers van een hack of een datalek door eigen schuld – klanten en medewerkers – een klacht indienen bij de AP en misschien ook publiciteit zoeken.

De directie van Pathé had de CEO-fraude waarschijnlijk graag buiten de media gehouden. De imagoschade is enorm. En daarbij komt nog eens de gigantische financiele schade.

Door de AVG is het echter vrijwel onmogelijk om overtredingen van de privacywet onder de tafel te werken.

Managers lopen persoonlijk enorme risico’s

Managers die dat doen lopen zelf enorme risico’s. Zij zijn volgens de AVG zelf verantwoordelijk en zelfs hoofdelijk aansprakelijk. En ze kunnen door hun werkgever worden ontslagen, weten de managers die slachtoffer waren van de CEO-fraude bij Pathé nu. De rechtbank in Amsterdam heeft het ontslag goedgekeurd.

Neem geen risico. Bel nu met PrivacyZone en maak een afspraak: 06-31995740.

Meer actueel awareness nieuws

CEO-fraude kost Pathé bioscoopketen 19 miljoen Euro. Directie ontslagen wegens nalatigheid

CEO-fraude levert de bioscoopketen Pathé een schade van maar liefst 19 miljoen Euro op! De Nederlandse directie is volgens de rechtbank in Amsterdam terecht ontslagen wegens nalatigheid.

De gang van zaken bij deze CEO-fraude wordt naar alle waarschijnlijkheid een klassieker bij Security Awareness Trainingen voor managers. Het vonnis van de rechtbank beschrijft stap voor stap hoe de directie in de geraffineerde val van de cybercriminelen stapte.

Bij het lezen van het vonnis vraag je je af hoe de goed opgeleide topmanagers zo naief konden zijn. De financieel directeur had notabene jarenlang bij accountantskantoor KPMG gewerkt.

 

Toch liet hij zich misleiden door de professionele social engineering manipulatie van de professionele oplichter.

De directie van de Nederlandse tak van de Franse bioscoopketen Pathé ontving op 8 maart een e-mail van het ‘hoofdkantoor’ in Parijs. Met het dringende verzoek om meteen 800.000 euro over maken als aanbetaling voor een overname in Dubai. Er werd om strikte vertrouwelijkheid gevraagd. Er mocht niet over gebeld worden. Alleen mailwisseling via hetzelfde mailadres.

Bij iedere manager zouden meteen alle alarmbellen af moeten gaan. En zeker bij managers die in verband met de Algemene Verordening Gegevensbescherming (AVG) een Security Awareness Training hebben gehad.

De Nederlandse directie van Pathé vond het verzoek ook vreemd, maar betaalde desondanks. En werd zo slachtoffer van een klassieke vorm van CEO-fraude die het bedrijf uiteindelijk ruim 19 miljoen Euro heeft gekost.

Pathé is exploitant van bioscopen. Het Franse bedrijf is in Nederland marktleider. Pathé had in 2017 een omzet van 209 miljoen euro. Het aantal werknemers in Nederland is ongeveer 1900.

Beide directieleden werden meteen na de ontdekking van hun grote fout op non-actief gesteld en later op staande voet ontslagen.

De financieel directeur vocht zijn ontslag aan. Tevergeefs. De rechter heeft bepaald dat hij nog tot 1 december 2018 moet worden doorbetaald. Volgens de rechter heeft hij verwijtbaar gehandeld.

Volgens de rechter is niet aangetoond dat de twee ontslagen directieleden zelf betrokken zijn geweest bij de fraude.

“Pathé lijkt het doelwit te zijn geworden van een professionele bende van fraudeurs, welke door geraffineerde communicatie het vertrouwen van enkele Pathé-medewerkers wisten te winnen”, valt te lezen in het vonnis.

Meer actueel awareness nieuws

Buitenaardse computervirussen kunnen volgens wetenschappers onze wereld vernietigen

Wetenschappers uit de VS en Duitsland maken zich zorgen over social engineering uit de ruimte. Hoe herken je een computervirus dat door buitenaardse wezens naar de aarde is gestuurd om de mensheid te vernietigen?

Wat klinkt als aluminium hoedjes sciencefiction is volgens deskundigen een reeel probleem.

Al tientallen jaren speuren tientallen wetenschappers van het SETI-instituut met radiotelescopen naar signalen van intelligent leven in de ruimte. Ze zoeken beschavingen die actief berichten naar ons sturen. NASA ondersteunt het project.

Het SETI-onderzoek is tot dusver toe niet succesvol gewesst. Maar wat als er op een dag daadwerkelijk post van buitenaardse wezens wordt ontvangen?

In een essay schrijven de wetenschappers Michael Hippke van het Sonneberg Observatorium in de Duitse deelstaat Thüringen en John G. Learned van de Universiteit van Hawaï nu dat er zorgvuldig moet worden omgaan met mogelijke e-mailberichten uit de ruimte. Want stel dat de mailtjes van aliens computervirussen zouden bevatten…

 

In het ergste geval dreigt volgens de Duitse en Amerikaanse wetenschappers dan de vernietiging van de hele mensheid door buitenaardse hackers!

SETI heeft sinds 1999 ook een Nederlandse afdeling. Op de site SETI@Netherlands kun je je aanmelden om met jouw computer het onderzoek naar buitenaards leven te ondersteunen. Dat kan met het installeren van het computerprogramma SETI@Home dat er voor zorgt dat de rekenkracht van computers over de hele wereld wordt gebundeld om zo buitenaardse berichten sneller te kunnen ontcijferen. De analyse van de wetenschappers is niet bepaald positief voor het eigen SETI@Home project. Want stel nou dat er bij die berichten een computervirus zit? Uit AVG-overwegingen zou nu niemand meer aan het SETI-onderzoek kunnen meedoen…

Hippke en Learned beschrijven in de gezamenlijke essay de risico’s van het openen van buitenaardse e-mailberichten. Misschien zijn ze geschreven door een vreemde soort die even prijsbewust als verraderlijk is, uitsluitend en alleen om ons te onderwerpen, stellen de wetenschappers. Want: “Voor een buitenaardse intelligentie is het goedkoper om de mensheid uit te roeien met een besmet bericht dan om oorlogsschepen te sturen.”

Een simpele dreiging als “Morgen laten we je zon exploderen” zou hiervoor genoeg kunnen zijn. De daaropvolgende massale paniek zou verwoestend kunnen zijn.

Nog realistischer is volgens de auteurs dat de buitenaardsen een langere tekst sturen waarvan de inhoud ons demoraliseert en onze cultuur ontbindt: “Er wordt ook gedebatteerd over de vraag of het Romeinse Rijk door de Bijbel werd vernietigd,” schrijven Hippke en Learned.

Trojaans virus uit het heelal

De twee ruimteonderzoekers beschouwen complexe berichten, die in met een computer moeten worden geannaliseerd echter het gevaarlijkst. Stel dat er in die berichten een trojan virus zit.

“Denk aan een uitgebreide buitenaardse boodschap die begint met de woorden: ‘Wij zijn vrienden”, schrijven de wetenschappers. “De Galactische Bibliotheek is bijgevoegd. Het komt in de vorm van een kunstmatige intelligentie die snel uw taal leert en al uw vragen zal beantwoorden. U kunt het activeren door de onderstaande instructies te volgen…”

De buitenaardse wezens zouden er volgens de wetenschappers voor kunnen zorgen dat de mensheid door kunstmatige intelligentie (AI) wordt gemanipuleerd.

De AI zou een therapie tegen kanker kunnen bieden en bijvoorbeeld meer rekenkracht nodig hebben. “Stel dat de genezing van kanker mogelijk is met nanobots. En de AI levert blauwdrukken waarin staat beschreven hoe we die nanobots kunnen bouwen. Bouwen we die nanobots dan ook als we ze niet volledig begrijpen?”

Op basis van dit hypothetische scenario concluderen de Amerikaanse en Duitse onderzoekers dat het onmogelijk is om kunstmatige buitenaardse intelligentie volledig onder controle te houden. Zij waarschuwen: “Op dit moment domineert de mensheid de aarde vanwege haar intelligentie. Maar als de buitenaardse AI superieur is, kan hij de macht grijpen en ons als onbeduidende apen beschouwen.”

Vernietig geen buitenaardse boodschappen

Ondanks alle risico’s pleiten Hippke en Learned toch voor het lezen van buitenaardse berichten. “Wij geloven dat het gevaar zeer klein is (hoewel niet nul), maar het potentiële voordeel is zeer groot,” concluderen ze. “Maar het is altijd verstandig om de kansen en risico’s van tevoren te kennen en een bewuste keuze te maken.”

Meer actueel awareness nieuws

ACM start campagne om te wijzen op risico’s kopen via social media. Webshop of Nepshop?

De Autoriteit Consument & Markt (ACM) komt met de campagne Webshop of nepshop? De ACM wil consumenten waarschuwen voor aankopen bij nepshops via social media. De schade voor consumenten bedroeg vorig jaar bijna 5 miljoen euro.

Bedrijven benaderen consumenten nu ook via social media om hun producten aan te bieden. Dit gebeurt gericht en rechtstreeks, soms zelfs zonder tussenkomst van een website. Dit maakt dat de consument minder goed is beschermd.

Als het product niet voldoet of helemaal niet wordt ontvangen, blijkt de afzender vaak onbekend en onvindbaar. Daardoor kan de consument de verkoper ook niet aanspreken als er iets mis gaat met de aankoop.

“Als je iets koopt via social media moet je extra goed opletten”, zegt waarnemend ACM-directeur Evert Jan Hummelen van de afdeling Consumenten. “Het medium is vluchtig. Dit maakt het aanbod en de aanbieder ook vluchtig. Mocht je verhaal willen halen, dan weet je soms niet bij wie. Met onze campagne waarschuwen we consumenten hiervoor. We geven tips over wat zij zelf kunnen doen.”

Tips voor consumenten

De ACM presenteert via haar loket ConsuWijzer nu de campagne Webshop of nepshop? om consumenten te wijzen op de risico’s van het kopen via social media. Dit gebeurt via filmpjes die worden getoond via social media en met radiocommercials. Daarnaast krijgen consumenten tips, zoals:

  • Check reviews om de betrouwbaarheid van de aanbieder te controleren;
  • Kies een betaalmethode met geld-terug garantie (verzekerd betalen) of betaal achteraf.

Consumenten kunnen hun ervaringen melden bij ConsuWijzer, het consumentenloket van de ACM. Dit kan via WhatsApp en social media, maar ook telefonisch of per mail. ConsuWijzer geeft ook advies over de vervolgstappen die je kunt nemen.

Nepshops

Consumenten kopen steeds meer en steeds vaker online. Bij het kopen via social media is het vaak onduidelijk wie de aanbieder is van het product en onder welke voorwaarden je het koopt. Terwijl de online aanbieder je hierover wel moet informeren.

Soms gaat het ook om nepshops en ontvang je het bestelde product helemaal niet. Dan pas kom je erachter dat de pagina waarop je het product kocht verdwenen is. Daardoor wordt het onmogelijk om de aanbieder aan te spreken.

Campagne

De ACM vindt het belangrijk dat consumenten veilig online hun aankopen kunnen doen. De digitale economie is een agendathema van de ACM. Om consumenten online te wapenen voert de ACM nu deze campagne.

De Autoriteit Consument & Markt (ACM) bevordert kansen en keuzes voor bedrijven en consumenten. Als onafhankelijke toezichthouder maakt de ACM zich hard voor een goedwerkende economie. De ACM zorgt ervoor dat:

  • Consumenten voldoende keuze hebben, beschermd zijn tegen misleiding en goed geïnformeerd zijn over hun rechten;
  • Bedrijven eerlijk met elkaar concurreren en zich aan de regels houden;
  • Tarieven voor energie, telecom, vervoer en post redelijk blijven.

ConsuWijzer is onderdeel van de ACM. De website www.consuwijzer.nl geeft praktisch advies over de rechten van de consument.

Meer informatie

In de bijlage vind je voorbeelden van consumenten die problemen ondervonden met hun aankoop via social media.

Bijlagen

Cases campagne Webshop of nepshop? (PDF – 164.87 KB)

Meer actueel awareness nieuws