De politie heeft twee mannen uit Amsterdam aangehouden wegens phishing. De verdachten deden zich voor als ING-medewerkers en wisten op die manier bankgegevens van de slachtoffers te bemachtigen.
De twee cybercriminelen stuurden aan willekeurige personen een mail waarin stond dat ze hun bankpas moesten vervangen. In verband met het COVID-19-virus werd afgeraden om bij een bankfiliaal langs te gaan om de pas te vervangen. Dit was onderdeel van een ‘nieuwe werkwijze’.
In de mail stond een link die leidde naar een neppe website waar de slachtoffers bankgegevens moesten invoeren. Vervolgens werden de slachtoffers door de verdachten gebeld, die zich daarbij voordeden als een medewerker van de ING.
Ze kregen zo beschikking over cruciale bankgegevens, zoals inlognamen en wachtwoorden. Daarmee konden ze vervolgens fraude plegen.
De recherche schat in dat er meer dan tweehonderd mensen de dupe zijn geworden van de oplichtingspraktijken. Bij de politie is bekend is dat er in één geval al meer dan 20.000 euro is buitgemaakt.
ING deed aangifte bij de politie, waarop er een onderzoek werd gestart. Het onderzoek leidde tot de aanhouding van de twee verdachten in een hotelkamer in Amsterdam-Zuidoost.
De politie heeft meerdere gegevensdragers in beslag genomen zoals smartphones en computers. De recherche hoopt hiermee de gegevens van alle overige gedupeerden boven water te krijgen.
De politie sluit meerdere aanhoudingen in het onderzoek niet uit.
De Belastingdienst meldt een zorgwekkende toename van phishing meldingen. Normaal krijgt de Belastingdienst zo’n veertig meldingen per week, maar vorige week steeg dit tot vijfhonderd meldingen en deze week ontvingen de dienst maar liefst duizend meldingen per dag.
Phishing is een methode waarbij kwaadwillenden met voornamelijk nepmailtjes hengelen naar persoonlijke data, zoals inlog- en bankgegevens.
In het geval van de Belastingdienst gaat het om sms’jes waarin wordt gezegd dat de ontvanger nog een schuld open heeft staan. Daarbij staat een link waar de ontvanger dan op moet klikken om deze schuld te betalen. Ook zijn er mails in omloop waarin een link naar een factuur wordt meegestuurd die ontvangers nog zouden moeten betalen.
De Belastingdienst waarschuwt om deze links niet te openen. “Wij vragen u nooit om betalingen te doen via e-mail of sms. Open de e-mail (en bijlage) of sms niet, maar verwijder deze meteen”, aldus de Belastingdienst.
De Fraudehelpdesk liet in oktober al weten dat dit jaar veel meer meldingen van phishing binnenkomen dan voorgaande jaren. Het ging in de periode van januari tot oktober om vijftienduizend meldingen.
Duizend meldingen op een dag is, in vergelijking met vijftienduizend meldingen verspreid over tien maanden, een explosieve stijging. Waarom juist deze week zoveel meldingen binnenkomen is bij de Belastingdienst onbekend.
De Fraudehelpdesk mag niet langer de persoonsgegevens van tipgevers die e-mails en andere berichten met phishing naar hen sturen verzamelen. Dat heeft de Autoriteit Persoonsgegevens (AP) dinsdag aan de NOS verteld.
De Fraudehelpdesk ontving iedere maand tussen de 80.000 en 100.000 tips over phishingmails. Deze tips werden gebruikt om phishingcampagnes en andere online oplichtacties in beeld te brengen.
Maar de Fraudehelpdesk verwerkt dankzij alle tips ook meteen persoonsgegevens van tipgevers. Het gaat dan vooral om namen, adresgegevens en e-mailadressen van de afzenders. Dat mag volgens de AP niet.
Volgens de AP heeft de organisatie haar “huiswerk niet op orde”.
De Autoriteit Persoonsgegevens weigert daarom om de Fraudehelpdesk een vergunning voor de gegevensverwerking te verlenen. Die vergunning is vereist omdat phishingmails strikt gezien strafrechtelijke gegevens bevatten.
De helpdesk kon volgens de AP niet goed duidelijk maken waarom persoonsgegevens verwerkt moesten worden.
Het is nog wel toegestaan om tips naar de Fraudehelpdesk te sturen. Niets in die tips mag echter terug te leiden zijn naar een persoon. Ook mag de helpdesk niet meer doorvragen om meer informatie te bemachtigen.
Een 49-jarige hacker uit Boxtel moet wat het Openbaar Ministerie (OM) betreft drie jaar de gevangenis in. De Brabander is hoofdverdachte in een grote fraudezaak waarbij twee bedrijven voor tonnen werden opgrlicht.
De verdachte hackte volgens het OM mailaccounts van een bedrijf in België dat op het punt stond om vliegtuigonderdelen te verkopen aan een bedrijf in Jordanië. In de mailwisseling tussen de bedrijven veranderde de Brabander het rekeningnummer waarop het geld overgemaakt moest worden.
Toen het Belgische bedrijf geen geld ontving, kwam de zaak aan het licht.
Een onderzoek leidde naar een verdachte in Boxtel, die een groot deel van het gestorte bedrag overboekte naar bankrekeningen die op zijn naam stonden. De verdachte werd in 2018 opgepakt. Hij zegt onschuldig te zijn en noemt Russische criminelen verantwoordelijk. Volgens de officier van justitie blijkt uit niets “dat er anderen bij de oplichting betrokken zijn geweest”.
Het Openbaar Ministerie eiste vier jaar cel, waarvan één jaar voorwaardelijk.
Het OM zegt dat de verdachte ook de geleden schade aan de bedrijven moet terugbetalen.
Pieppiep. Er komt via Whatsapp een bericht binnen. Ik kan 5.000 Euro per dag verdienen met thuiswerk, meldt een onbekende afzender. Als ik meer wil weten moet ik op een link klikken. Het aanbod is verleidelijk.
Dat weet de onbekende afzender ook. Waarschijnlijk een cybercrimineel die via social engineering probeert om mij te bewegen op de link te klikken.
Het is al het tweede bericht binnen twee weken.
Ik ben uiteraard nieuwsgierig. Niet vanwege het aanbod, maar beroepsmatig. Hoe ziet de website waarmee de cybercrimineel mij in de val wil lokken er uit?
Ik klik niet. Uiteraard niet. Ik ken de risico’s.
Misschien activeer ik via de link een script dat een virus instaleert.
De dader zou ook kunnen proberen om via phishing mij inloggegevens te ontfutselen.
Ik krijg het bericht binnen op mijn iPhone. Die is goed beveiligd. Waarschijnlijk loop ik geen risico als ik toch even op de link klik. Zal ik het doen? Even kijken?
Nee. Want ook met een iPhone loop ik risico. Bovendien bevestig ik zodra ik op de link klik dat ik open sta voor gevaarlijke verleidingen. Dan kan ik nog meer spam verwachten.
Cybercriminelen hebben afgelopen weekeinde via een phishingmail de inloggegevens van honderden mensen te hebben ontfutseld. Volgens Logius dachten de slachtoffers dat het om een mailbericht van de overheid ging. Logius is de instantie die verantwoordelijk is voor de DigiD-inlogmethode.
Logius-woordvoerder Rick Bron vertelt aan Nu.nl dat er in totaal 361 mensen in de phishingmail zijn getrapt.
“In het afgelopen weekend is er weer een golf aan phishingmails verstuurd”, aldus Bron. Het betrof e-mails die afkomstig leken van MijnOverheid.
In de mails stond dat een bericht van MijnOverheid klaar stond om gelezen te worden. Slachtoffers moesten op een link drukken om via DigiD in te loggen en het bericht te lezen.
In werkelijkheid werden de DigiD-inloggegevens verstuurd naar een kwaadwillende die de mails had verstuurd. Die kreeg hierdoor toegang tot andermans DigiD-accounts, waarmee ze veel privégegevens konden inzien.
In echte e-mails van MijnOverheid staat nooit een link, gebruikers wordt altijd gevraagd in hun browser naar MijnOverheid te gaan. De aanwezigheid van een link een in e-mail is daarom een aanwijzing dat gebruikers mogelijk met phishing te maken hebben.
Alle getroffen accounts zijn van DigiD verwijderd
Bron wil niet zeggen hoe Logius precies wist te achterhalen dat 361 mensen door de phishingactie zijn getroffen. “Maar als we weten waar de site van zo’n aanvaller staat, dan kunnen we al een hoop zien.” Het is ook niet bekend naar hoeveel mensen de phishingmail in totaal is verzonden.
De getroffen accounts zijn inmiddels allemaal van DigiD verwijderd. De slachtoffers krijgen een brief in huis, waarin staat dat ze in een phishingmail zijn getrapt. Gebruikers waarvan een telefoonnummer bekend is, worden opgebeld.
Het is vooralsnog niet bekend wat voor gegevens de criminelen precies van de slachtoffers hebben gestolen. Er zijn volgens Bron nog geen signalen dat de accounts ook op bepaalde manieren zijn misbruikt voordat ze van de servers van DigiD werden verwijderd.
Tweede grote DigiD-phishingaanval dit jaar
Het is de tweede keer dit jaar dat een grote groep DigiD-gebruikers slachtoffer is van een phishingaanval. In juni waarschuwde de overheid voor een vergelijkbare mail, waar toen 203 mensen in waren getrapt.
Hoewel de e-mails erg op elkaar lijken, is het nog niet zeker of de aanvallen van deze week en in juni door dezelfde criminelen werden uitgevoerd. Logius heeft beide keren aangifte gedaan bij de politie, waarbij het onderzoek nog zou lopen.
Het lijkt het scenario van een film. Een cybercrimineel kopieert op basis van online gegevens jouw gedrag en steelt jouw inloggegevens. Vervolgens plundert hij niet alleen jouw bankrekening. Hij wordt een levensechte nachtmerrie. Een menselijke clone van jou.
Je kunt het je waarschijnlijk niet voorstellen dat jou zoiets in het echt zou overkomen. Dat dit echt mogelijk is. Toch is het zo. Iemand anders kan op een dag dankzij online gegevens zo jouw leven stelen. Zoals bij Tom! Deze AVG awareness video is een aanrader.
Hacken is kinderspel. Een fluitje van een cent. Iedereen kan het. Zelfs mensen zonder ICT-opleiding. Zelfs huismoeders die om financiele redenen besluiten cybercrimineel te worden. Toch onderschatten veel mensen de risico’s.
Dat blijkt uit onderzoek van de Oostenrijkse Donau-universiteit Krems. De onderzoekers analyseerden alle rechtbankdossiers van het Strafhof Wenen van strafzaken die te maken hadden cybercriminaliteit in de periode van 2006 tot 2016.
“Meer dan 60 procent van de strafbare feiten die onder “cybercriminaliteit” betreffen identiteitsdiefstal”, vertelde Edith Huber van de Donau-universiteit tijdens een discussie tijdens de Berlijnse wetenschapsweek. Het betreft volgens haar vaak kleine criminelen die grote schade kunnen aanrichten.
De onderzoekers hebben drie daderprofielen geïdentificeerd:
Meer dan 50 procent en daarmee de grootste groep aanvallers heeft geen ICT-opleiding.
De tweede groep is beter opgeleid en gesitueerd en handelt vaak uit persoonlijke motivatie om het bedrijf terug te betalen.
De derde, iets kleinere groep betreft vrouwen die voornamelijk om financiële redenen cybercrimineel worden.
En dan zijn er daarnaast nog de ‘professionele’ cybercriminelen die met financiele ondersteuning van landen als China, Iran, Noord-Korea en Rusland proberen in te breken in bedrijfsnetwerken.
91 hackergroepen die in opdracht van overheden werken
Volgens een analyse van Cambridge Analytics zijn 91 hackergroepen bekend die in opdracht van overheden – uiteraard nooit officieel – systemen hacken. Hun belangrijkste doelwitten zijn spionage of het manipuleren van informatie. Op internationaal niveau wordt de hackergroep “APT 28” (“Cozy Bear”) beschouwd als de meest actieve op dit gebied.
Thomas Stubbings van het Cyber Security Platform Oostenrijk denkt dat het een illusie is om te denken dat organisaties zich met alleen technische maatregelen kunnen beschermen tegen cybercriminaliteit.
Absolute ICT-beveiliging bestaat niet
“Absolute ICT-beveiliging bestaat niet”, zegt Stubbings. “Het creëren van veilige ICT-systemen om kritieke infrastructuur te beschermen is misschien een nobel doel, maar het is een ontoereikende aanpak.”
Er is volgens Stubbings behoefte aan een paradigmaverschuiving van pure preventie naar een snelle reactie op cyberaanvallen.
Preventieve inzet van professionele ethical hackers
Volgens de deskundigen is een nieuwe strategie nodig. “We moeten het spel van onze aanvallers spelen”, legt Stubbings uit. Aan de ene kant betekent dit investeren in systemen die aanvallen en risico’s onmiddellijk kunnen identificeren en niet alleen wanneer het te laat is. Stubbings ziet de inzet van ethical hackers die proberen de eigen ICT-systemen te kraken als een belangrijke preventieve maatregel.
Moet alles echt aan het netwerk gekoppeld worden?
Een van de belangrijkste problemen om de IT-beveiliging te waarborgen is de enorme complexiteit van de systemen. Dit is precies waar Lutz Prechelt van de Freie Universität Berlin zou beginnen. “Men kan er in ieder geval van uitgaan dat er geen 100 procent IT-beveiliging is. Dit roept de vraag op naar de organisatie van de systemen: Moet alles wat genetwerkt is echt genetwerkt worden?”
Privacy Awareness trainingen van groot belang
Alle wetenschappers zijn het over één ding eens. Wie zich wapenen wil tegen cybercriminaliteit moet beginnen met het plannen van regelmatige privacy awareness trainingen voor medewerkers. Het is het beste om te beginnen met het vergroten van het bewustzijn van IT-risico’s.
Digitale ‘Fukushima’ ramp
De onderzoekers zijn bang dat er eerst een digitale ‘Fukushima’ ramp moet komen voor dat dat doordringt bij organisaties en bedrijven. De enorme risico’s die we als moderne ICT-afhankelijke samenleving lopen worden onderschat. Ook omdat veel mensen het technische jargon van ICT-ers en hackers niet begrijpen. ICT-ers spreken een eigen taal en dat ook nog eens in het Engels.
“Ga een keer de straat op en vraag het iemand: Heb je ooit een phishing-aanval gehad?”
De Berlijnse wetenschapsweek is een internationaal evenement waarbij wetenschappers hun onderwerpen aan het publiek presenteren in ongeveer 100 evenementen van 1 tot 10 november. Veel van deze discussies kunnen via een livestream gevolgd worden.
Het ministerie van Binnenlandse Zaken van de Duitse deelstaat Baden-Württemberg is sinds 2012 op de hoogte van 8 gevallen van industriële spionage uit China. Dat blijkt uit het antwoord op vragen van de Duitse liberale partij FDP.
De Duitse Autoriteit Persoonsgegevens – het Federaal Bureau voor Informatiebeveiliging (BSI) neemt het rapport zeer serieus.
Hoewel de cijfers laag lijken, heeft de ervaring geleerd dat er waarschijnlijk veel vaker sprake is van industriële spionage vanuit China dan gemeld wordt.
“Beveiligingsincidenten in de IT-omgeving worden vaak niet gemeld door bedrijven, bijvoorbeeld uit angst voor reputatieschade,” aldus de overheid in Baden-Württemberg.
De Chinese bedrijfsspionnen richten zich niet alleen op middelgrote ondernemingen.
Eén van de spionagezaken die ontdekt is betreft een “cyberaanval op een voertuigfabrikant uit Stuttgart”.
In Stuttgart bevindt zich het hoofdkantoor van Mercedes-Benz.
Zes cyberspionagezaken in de Duitse deelstaat zijn nog in onderzoek. De advocaat-generaal heeft in vier van deze zaken een procedure ingeleid.
Spyware per e-mail
De Chinese cyberspionnen maken gebruik van social engineering om binnen te komen. De “menselijke factor” is nog steeds het grootste zwakke punt. Dit geldt zowel voor geïnfiltreerde medewerkers als voor bezoekers die bijvoorbeeld een demonstratie van de productiefaciliteiten krijgen.
De e-mails of berichten in sociale netwerken zijn zo ontworpen dat er interesse wordt gewekt en spyware via direct contact kan worden binnengesmokkeld.
In sociale netwerken zouden ook profielen worden gecreëerd om contact te leggen met westerse tegenhangers.
De FDP riep de federale regering van Baden-Württemberg op om de mogelijke effecten van industriele spionage door Chineze te verduidelijken.
Het Limburgse VieCuri Medisch Centrum onderzoekt samen met de Functionaris Gegevensbescherming hoe de interne procedure rond datalekmeldingen verbeterd kan worden.
Het Venlose ziekenhuis kwam donderdag in opspraak toen de Limburgse regionale omroep L1 meldde dat zondag papieren met persoonsgegevens van patienten op straat waren gevonden door een passant.
Deze passant gaf te kennen dat er door de omroep druk op hem was uitgeoefend om geen ruchtbaarheid aan zijn vondst te geven.
Persbericht VieCuri Medisch Centrum
Het ziekenhuis ontkent dat. In een persbericht wordt de zaak nu vanuit het oogpunt van VieCuri Medisch Centrum toegelicht.
„Dit kan en mag niet gebeuren. Patiëntgegevens mogen het ziekenhuis niet op een onbeveiligde manier verlaten. Wij balen hier enorm van en hebben uiteraard een grondig onderzoek ingesteld“, schrijft het ziekenhuis.
Melding bij Autoriteit Persoonsgegevens (AP) en Inspectie Gezondheidszorg en Jeugd
“Uiteraard wordt hier melding van gemaakt bij de daartoe bevoegde instanties, te weten Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd. Daarnaast bekijken we samen met onze Functionaris Gegevensbescherming of de huidige procedure rond dit soort meldingen verbeterd kan worden. Voor al onze collega’s moet het heel helder zijn hoe te handelen als zoiets zich voordoet.“
Intussen is bekend hoe de papieren verloren zijn geraakt. „Om snel te kunnen handelen tijdens haar dienst, had een zorgverlener van de kinderafdeling een patiëntenlijst bij zich (géén patiëntendossiers). Deze lijst zat in haar broekzak en heeft ze tijdens haar pauze onbewust en onbedoeld mee naar buiten genomen. Toen ze vervolgens werd gebeld om met spoed terug te komen naar het ziekenhuis, is de lijst uit haar broekzak gevallen.“
Slordige communicatie
Volgens VieCuri Medisch Centrum is zondag met de melder afgesproken dat hij de gevonden papieren diezelfde dag zou komen brengen. „Helaas is dat niet gebeurd en doordat het ziekenhuis geen gegevens had van de melder, kon hij niet worden teruggebeld. Toen de melder gisteren (woensdag, red.) zelf nog eens contact zocht, is daar meteen op gehandeld door de functionaris gegevensbescherming van VieCuri.“
Het ziekenhuis geeft dus aan door slordigheid in de communicatie geen contactgegevens van de vinder van de papieren te hebben genoteerd. Dat zou de reden zijn waarom niet direct opnieuw contact met de man kon worden opgenomen. Er zou dus geen sprake van zijn dat de zaak stilgehouden moest worden, zoals de melder bij L1 verklaarde.
Alle patiënten en ouders/verzorgers worden geinformeerd
“We herkennen ons niet in het beeld van de melder en diens signaal dat hij niet serieus zou zijn genomen. We zijn de melder juist dankbaar dat hij zich meldde bij ons, dat hij integer is omgegaan met de gegevens en deze niet verder naar buiten zijn gebracht. Door het bij ons te melden, kunnen we bovendien alles in het werk stellen om te voorkomen dat dit nog eens gebeurt“, schrijft het ziekenhuis. „Dit is een zeer serieuze kwestie die we ons zeer aantrekken. Alle patiënten en ouders/verzorgers die op de lijst stonden, worden persoonlijk geïnformeerd over deze kwestie.“
Tweede datalekmelding bij VieCuri Medisch Centrum dit jaar
Het is overigens de tweede keer dit jaar dat VieCuri Medisch Centrum een datalekmelding moest doen. Eerder werd het computersysteem van het ziekenhuis gehackt via phishingmail. Volgens VieCurie zijn de patiëntgegevens bij deze hack niet in gevaar gekomen.
De phishing-mail kwam bij medewerkers binnen. Een aantal medewerkers heeft op een kwaadaardige link in de mail geklikt en zo het virus toegang gegeven tot het computernetwerk van het ziekenhuis.
Nieuw wachtwoord voor personeel
Alle medewerkers van het ziekenhuis hebben na deze hack een nieuw wachtwoord gekregen. Er zou dus geen gevaar zijn geweest voor het ziekenhuis en de patiënten. Wel is er melding gedaan bij de Autoriteit Persoonsgegevens.
KnowBe4 heeft de top 10 van phishing e-mail onderwerpregels bekend gemaakt waar in het derde kwartaal van 2018 het meest op is geklikt. KnowBe4 is een Amerikaans bedrijf dat wereldwijd privacy awareness trainingen verzorgt en trainingstools aanbiedt.
Een van de tools die KnowBe4 aanbiedt is een phishingtest waarbij bedrijven een fake phishingmail naar hun medewerkers kunnen laten sturen. Zo kunnen ze in de praktijk testen of medewerkers iets hebben opgestoken van een AVG privacy awareness training.
Social engineering
Cybercriminelen maken gebruik van social engineering. Ze passen psychologische manipulatieve trucs toe om hun slachtoffers in een phishingval te laten trappen.
Volgens Kwow2Be spelen cybercriminelen de laatste tijd bij phishingmail overduidelijk in op de angst bij gebruikers om gehackt te worden. Mensen zijn sneller geneigd te reageren op een oproep om een wachtwoord te wijzigen.
Nieuwsgierigheid is een risico
Daarnaast wordt ook ingespeeld op nieuwsgierigheid naar een nieuwe voicemail of online bestelling. “Cybercriminelen profiteren van de wens van een individu om bewust of goed geïnformeerd te blijven op het gebied van veiligheid door met zijn psyche te spelen”, zegt Perry Carpenter, Chief Evangelist en strategisch medewerker bij KnowBe4.
“Ze doen dit door iemand te laten geloven dat hij of zij risico’s loopt of dat iets onmiddellijk aandacht nodig heeft. Dit type aanval is effectief omdat het ervoor zorgt dat een persoon snel reageert voordat hij of zij logischerwijs nadenkt over de legitimiteit van de e-mail. Het wordt steeds moeilijker om het voortdurende probleem van social engineering te overwinnen, omdat aanvallers menselijke emoties zoals angst en nieuwsgierigheid opwekken.”
Gesimuleerde phishingtests
In het derde kwartaal van 2018 onderzocht KnowBe4 tienduizenden e-mailonderwerpen uit gesimuleerde phishingtests om uit te vinden wat een gebruiker erop doet klikken.
Het bedrijf heeft ook onderzoek gedaan naar de werkelijke onderwerpregels die aantonen dat de e-mails die gebruikers ontvangen en aan hun IT-afdelingen melden verdacht zijn.
Top 10 meest geklikte phishing e-mail onderwerp regels wereldwijd voor Q3 2018:
Coinbase: uw Crypto Valuta portemonnee: het veranderen van Two-Factor Authenticatie
Tijd voor professioneel privacybeleid?
PrivacyZone is gespecialiseerd in privacymanagement en privacymarketing. Wij ondersteunen bij DPIA’s, algemene voorwaarden, verwerkersovereenkomsten, privacy- en cookiebeleid, actieplannen en praktijkgerichte awareness trainingen. Meer weten? Neem contact met ons op via info@privacyzone.nl of bel 06-31995740.