Fraudehelpdesk krijgt tik op de vingers van Autoriteit Persoonsgegevens

De Fraudehelpdesk mag niet langer de persoonsgegevens van tipgevers die e-mails en andere berichten met phishing naar hen sturen verzamelen. Dat heeft de Autoriteit Persoonsgegevens (AP) dinsdag aan de NOS verteld.

De Fraudehelpdesk ontving iedere maand tussen de 80.000 en 100.000 tips over phishingmails. Deze tips werden gebruikt om phishingcampagnes en andere online oplichtacties in beeld te brengen.

Maar de Fraudehelpdesk verwerkt dankzij alle tips ook meteen persoonsgegevens van tipgevers. Het gaat dan vooral om namen, adresgegevens en e-mailadressen van de afzenders. Dat mag volgens de AP niet.

Volgens de AP heeft de organisatie haar “huiswerk niet op orde”.

De Autoriteit Persoonsgegevens weigert daarom om de Fraudehelpdesk een vergunning voor de gegevensverwerking te verlenen. Die vergunning is vereist omdat phishingmails strikt gezien strafrechtelijke gegevens bevatten.

De helpdesk kon volgens de AP niet goed duidelijk maken waarom persoonsgegevens verwerkt moesten worden.

Het is nog wel toegestaan om tips naar de Fraudehelpdesk te sturen. Niets in die tips mag echter terug te leiden zijn naar een persoon. Ook mag de helpdesk niet meer doorvragen om meer informatie te bemachtigen.

DigiD phishing mail maakt honderden slachtoffers. Cybercriminelen doen zich voor als overheid

Cybercriminelen hebben afgelopen weekeinde via een phishingmail de inloggegevens van honderden mensen te hebben ontfutseld. Volgens Logius dachten de slachtoffers dat het om een mailbericht van de overheid ging. Logius is de instantie die verantwoordelijk is voor de DigiD-inlogmethode.

Logius-woordvoerder Rick Bron vertelt aan Nu.nl dat er in totaal 361 mensen in de phishingmail zijn getrapt.

“In het afgelopen weekend is er weer een golf aan phishingmails verstuurd”, aldus Bron. Het betrof e-mails die afkomstig leken van MijnOverheid.

In de mails stond dat een bericht van MijnOverheid klaar stond om gelezen te worden. Slachtoffers moesten op een link drukken om via DigiD in te loggen en het bericht te lezen.

In werkelijkheid werden de DigiD-inloggegevens verstuurd naar een kwaadwillende die de mails had verstuurd. Die kreeg hierdoor toegang tot andermans DigiD-accounts, waarmee ze veel privégegevens konden inzien.

In echte e-mails van MijnOverheid staat nooit een link, gebruikers wordt altijd gevraagd in hun browser naar MijnOverheid te gaan. De aanwezigheid van een link een in e-mail is daarom een aanwijzing dat gebruikers mogelijk met phishing te maken hebben.

Alle getroffen accounts zijn van DigiD verwijderd

Bron wil niet zeggen hoe Logius precies wist te achterhalen dat 361 mensen door de phishingactie zijn getroffen. “Maar als we weten waar de site van zo’n aanvaller staat, dan kunnen we al een hoop zien.” Het is ook niet bekend naar hoeveel mensen de phishingmail in totaal is verzonden.

De getroffen accounts zijn inmiddels allemaal van DigiD verwijderd. De slachtoffers krijgen een brief in huis, waarin staat dat ze in een phishingmail zijn getrapt. Gebruikers waarvan een telefoonnummer bekend is, worden opgebeld.

Het is vooralsnog niet bekend wat voor gegevens de criminelen precies van de slachtoffers hebben gestolen. Er zijn volgens Bron nog geen signalen dat de accounts ook op bepaalde manieren zijn misbruikt voordat ze van de servers van DigiD werden verwijderd.

Tweede grote DigiD-phishingaanval dit jaar

Het is de tweede keer dit jaar dat een grote groep DigiD-gebruikers slachtoffer is van een phishingaanval. In juni waarschuwde de overheid voor een vergelijkbare mail, waar toen 203 mensen in waren getrapt.

Hoewel de e-mails erg op elkaar lijken, is het nog niet zeker of de aanvallen van deze week en in juni door dezelfde criminelen werden uitgevoerd. Logius heeft beide keren aangifte gedaan bij de politie, waarbij het onderzoek nog zou lopen.

Ruim 50 procent van de cybercriminelen die voor de rechtbank komen heeft geen ICT-opleiding

Hacken is kinderspel. Een fluitje van een cent. Iedereen kan het. Zelfs mensen zonder ICT-opleiding. Zelfs huismoeders die om financiele redenen besluiten cybercrimineel te worden. Toch onderschatten veel mensen de risico’s.

Dat blijkt uit onderzoek van de Oostenrijkse Donau-universiteit Krems. De onderzoekers analyseerden alle rechtbankdossiers van het Strafhof Wenen van strafzaken die te maken hadden cybercriminaliteit in de periode van 2006 tot 2016.

“Meer dan 60 procent van de strafbare feiten die onder “cybercriminaliteit” betreffen identiteitsdiefstal”, vertelde Edith Huber van de Donau-universiteit tijdens een discussie tijdens de Berlijnse wetenschapsweek. Het betreft volgens haar vaak kleine criminelen die grote schade kunnen aanrichten.

 

De onderzoekers hebben drie daderprofielen geïdentificeerd:

  • Meer dan 50 procent en daarmee de grootste groep aanvallers heeft geen ICT-opleiding. 
  • De tweede groep is beter opgeleid en gesitueerd en handelt vaak uit persoonlijke motivatie om het bedrijf terug te betalen.
  • De derde, iets kleinere groep betreft vrouwen die voornamelijk om financiële redenen cybercrimineel worden.

En dan zijn er daarnaast nog de ‘professionele’ cybercriminelen die met financiele ondersteuning van landen als China, Iran, Noord-Korea en Rusland proberen in te breken in bedrijfsnetwerken.

91 hackergroepen die in opdracht van overheden werken

Volgens een analyse van Cambridge Analytics zijn 91 hackergroepen bekend die in opdracht van overheden – uiteraard nooit officieel – systemen hacken. Hun belangrijkste doelwitten zijn spionage of het manipuleren van informatie. Op internationaal niveau wordt de hackergroep “APT 28” (“Cozy Bear”) beschouwd als de meest actieve op dit gebied.

Thomas Stubbings van het Cyber Security Platform Oostenrijk denkt dat het een illusie is om te denken dat organisaties zich met alleen technische maatregelen kunnen beschermen tegen cybercriminaliteit.

Absolute ICT-beveiliging bestaat niet

“Absolute ICT-beveiliging bestaat niet”, zegt Stubbings. “Het creëren van veilige ICT-systemen om kritieke infrastructuur te beschermen is misschien een nobel doel, maar het is een ontoereikende aanpak.”

Er is volgens Stubbings behoefte aan een paradigmaverschuiving van pure preventie naar een snelle reactie op cyberaanvallen.

Preventieve inzet van professionele ethical hackers

Volgens de deskundigen is een nieuwe strategie nodig. “We moeten het spel van onze aanvallers spelen”, legt Stubbings uit. Aan de ene kant betekent dit investeren in systemen die aanvallen en risico’s onmiddellijk kunnen identificeren en niet alleen wanneer het te laat is. Stubbings ziet de inzet van ethical hackers die proberen de eigen ICT-systemen te kraken als een belangrijke preventieve maatregel.

Moet alles echt aan het netwerk gekoppeld worden?

Een van de belangrijkste problemen om de IT-beveiliging te waarborgen is de enorme complexiteit van de systemen. Dit is precies waar Lutz Prechelt van de Freie Universität Berlin zou beginnen. “Men kan er in ieder geval van uitgaan dat er geen 100 procent IT-beveiliging is. Dit roept de vraag op naar de organisatie van de systemen: Moet alles wat genetwerkt is echt genetwerkt worden?”

Privacy Awareness trainingen van groot belang

Alle wetenschappers zijn het over één ding eens. Wie zich wapenen wil tegen cybercriminaliteit moet beginnen met het plannen van regelmatige privacy awareness trainingen voor medewerkers. Het is het beste om te beginnen met het vergroten van het bewustzijn van IT-risico’s.

Digitale ‘Fukushima’ ramp

De onderzoekers zijn bang dat er eerst een digitale ‘Fukushima’ ramp moet komen voor dat dat doordringt bij organisaties en bedrijven. De enorme risico’s die we als moderne ICT-afhankelijke samenleving lopen worden onderschat. Ook omdat veel mensen het technische jargon van ICT-ers en hackers niet begrijpen. ICT-ers spreken een eigen taal en dat ook nog eens in het Engels.

“Ga een keer de straat op en vraag het iemand: Heb je ooit een phishing-aanval gehad?”

De Berlijnse wetenschapsweek is een internationaal evenement waarbij wetenschappers hun onderwerpen aan het publiek presenteren in ongeveer 100 evenementen van 1 tot 10 november. Veel van deze discussies kunnen via een livestream gevolgd worden.

INFO: http://berlinscienceweek.com

Chinese cyberspionnen vormen een risico voor kleine en grote ondernemingen

Het ministerie van Binnenlandse Zaken van de Duitse deelstaat Baden-Württemberg is sinds 2012 op de hoogte van 8 gevallen van industriële spionage uit China. Dat blijkt uit het antwoord op vragen van de Duitse liberale partij FDP.

De Duitse Autoriteit Persoonsgegevens –
het Federaal Bureau voor Informatiebeveiliging (BSI) neemt het rapport zeer serieus.

Hoewel de cijfers laag lijken, heeft de ervaring geleerd dat er waarschijnlijk veel vaker sprake is van industriële spionage vanuit China dan gemeld wordt.

“Beveiligingsincidenten in de IT-omgeving worden vaak niet gemeld door bedrijven, bijvoorbeeld uit angst voor reputatieschade,” aldus de overheid in Baden-Württemberg.

De Chinese bedrijfsspionnen richten zich niet alleen op middelgrote ondernemingen.

Eén van de spionagezaken die ontdekt is betreft een “cyberaanval op een voertuigfabrikant uit Stuttgart”.

In Stuttgart bevindt zich het hoofdkantoor van Mercedes-Benz.

Zes cyberspionagezaken in de Duitse deelstaat zijn nog in onderzoek. De advocaat-generaal heeft in vier van deze zaken een procedure ingeleid.

Spyware per e-mail

De Chinese cyberspionnen maken gebruik van social engineering om binnen te komen. De “menselijke factor” is nog steeds het grootste zwakke punt. Dit geldt zowel voor geïnfiltreerde medewerkers als voor bezoekers die bijvoorbeeld een demonstratie van de productiefaciliteiten krijgen.

De e-mails of berichten in sociale netwerken zijn zo ontworpen dat er interesse wordt gewekt en spyware via direct contact kan worden binnengesmokkeld.

In sociale netwerken zouden ook profielen worden gecreëerd om contact te leggen met westerse tegenhangers.

De FDP riep de federale regering van Baden-Württemberg op om de mogelijke effecten van industriele spionage door Chineze te verduidelijken.

Datalek bij VieCuri Medisch Centrum in Limburg veroorzaakt door verpleegkundige die patiëntenlijst verloor

Het Limburgse VieCuri Medisch Centrum onderzoekt samen met de Functionaris Gegevensbescherming hoe de interne procedure rond datalekmeldingen verbeterd kan worden.

Het Venlose ziekenhuis kwam donderdag in opspraak toen de Limburgse regionale omroep L1 meldde dat zondag papieren met persoonsgegevens van patienten op straat waren gevonden door een passant.

Deze passant gaf te kennen dat er door de omroep druk op hem was uitgeoefend om geen ruchtbaarheid aan zijn vondst te geven.

Persbericht VieCuri Medisch Centrum

Het ziekenhuis ontkent dat. In een persbericht wordt de zaak nu vanuit het oogpunt van VieCuri Medisch Centrum toegelicht.

„Dit kan en mag niet gebeuren. Patiëntgegevens mogen het ziekenhuis niet op een onbeveiligde manier verlaten. Wij balen hier enorm van en hebben uiteraard een grondig onderzoek ingesteld“, schrijft het ziekenhuis.

Melding bij Autoriteit Persoonsgegevens (AP) en Inspectie Gezondheidszorg en Jeugd

“Uiteraard wordt hier melding van gemaakt bij de daartoe bevoegde instanties, te weten Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd. Daarnaast bekijken we samen met onze Functionaris Gegevensbescherming of de huidige procedure rond dit soort meldingen verbeterd kan worden. Voor al onze collega’s moet het heel helder zijn hoe te handelen als zoiets zich voordoet.“

Intussen is bekend hoe de papieren verloren zijn geraakt. „Om snel te kunnen handelen tijdens haar dienst, had een zorgverlener van de kinderafdeling een patiëntenlijst bij zich (géén patiëntendossiers). Deze lijst zat in haar broekzak en heeft ze tijdens haar pauze onbewust en onbedoeld mee naar buiten genomen. Toen ze vervolgens werd gebeld om met spoed terug te komen naar het ziekenhuis, is de lijst uit haar broekzak gevallen.“

Slordige communicatie

Volgens VieCuri Medisch Centrum is zondag met de melder afgesproken dat hij de gevonden papieren diezelfde dag zou komen brengen. „Helaas is dat niet gebeurd en doordat het ziekenhuis geen gegevens had van de melder, kon hij niet worden teruggebeld. Toen de melder gisteren (woensdag, red.) zelf nog eens contact zocht, is daar meteen op gehandeld door de functionaris gegevensbescherming van VieCuri.“

Het ziekenhuis geeft dus aan door slordigheid in de communicatie geen contactgegevens van de vinder van de papieren te hebben genoteerd. Dat zou de reden zijn waarom niet direct opnieuw contact met de man kon worden opgenomen. Er zou dus geen sprake van zijn dat de zaak stilgehouden moest worden, zoals de melder bij L1 verklaarde.

Alle patiënten en ouders/verzorgers worden geinformeerd

“We herkennen ons niet in het beeld van de melder en diens signaal dat hij niet serieus zou zijn genomen. We zijn de melder juist dankbaar dat hij zich meldde bij ons, dat hij integer is omgegaan met de gegevens en deze niet verder naar buiten zijn gebracht. Door het bij ons te melden, kunnen we bovendien alles in het werk stellen om te voorkomen dat dit nog eens gebeurt“, schrijft het ziekenhuis. „Dit is een zeer serieuze kwestie die we ons zeer aantrekken. Alle patiënten en ouders/verzorgers die op de lijst stonden, worden persoonlijk geïnformeerd over deze kwestie.“

Tweede datalekmelding bij VieCuri Medisch Centrum dit jaar

Het is overigens de tweede keer dit jaar dat VieCuri Medisch Centrum een datalekmelding moest doen. Eerder werd het computersysteem van het ziekenhuis gehackt via phishingmail. Volgens VieCurie zijn de patiëntgegevens bij deze hack niet in gevaar gekomen.

De phishing-mail kwam bij medewerkers binnen. Een aantal medewerkers heeft op een kwaadaardige link in de mail geklikt en zo het virus toegang gegeven tot het computernetwerk van het ziekenhuis.

Nieuw wachtwoord voor personeel

Alle medewerkers van het ziekenhuis hebben na deze hack een nieuw wachtwoord gekregen. Er zou dus geen gevaar zijn geweest voor het ziekenhuis en de patiënten. Wel is er melding gedaan bij de Autoriteit Persoonsgegevens.

AVG Awareness test: op welk phishing e-mail onderwerp zou jij geklikt hebben? Phishing top 10

KnowBe4 heeft de top 10 van phishing e-mail onderwerpregels bekend gemaakt waar in het derde kwartaal van 2018 het meest op is geklikt. KnowBe4 is een Amerikaans bedrijf dat wereldwijd privacy awareness trainingen verzorgt en trainingstools aanbiedt.

Een van de tools die KnowBe4 aanbiedt is een phishingtest waarbij bedrijven een fake phishingmail naar hun medewerkers kunnen laten sturen. Zo kunnen ze in de praktijk testen of medewerkers iets hebben opgestoken van een AVG privacy awareness training.

 

Social engineering

Cybercriminelen maken gebruik van social engineering. Ze passen psychologische manipulatieve trucs toe om hun slachtoffers in een phishingval te laten trappen.

Volgens Kwow2Be spelen cybercriminelen de laatste tijd bij phishingmail overduidelijk in op de angst bij gebruikers om gehackt te worden. Mensen zijn sneller geneigd te reageren op een oproep om een wachtwoord te wijzigen.

Nieuwsgierigheid is een risico

Daarnaast wordt ook ingespeeld op nieuwsgierigheid naar een nieuwe voicemail of online bestelling.
“Cybercriminelen profiteren van de wens van een individu om bewust of goed geïnformeerd te blijven op het gebied van veiligheid door met zijn psyche te spelen”, zegt Perry Carpenter, Chief Evangelist en strategisch medewerker bij KnowBe4.

“Ze doen dit door iemand te laten geloven dat hij of zij risico’s loopt of dat iets onmiddellijk aandacht nodig heeft. Dit type aanval is effectief omdat het ervoor zorgt dat een persoon snel reageert voordat hij of zij logischerwijs nadenkt over de legitimiteit van de e-mail. Het wordt steeds moeilijker om het voortdurende probleem van social engineering te overwinnen, omdat aanvallers menselijke emoties zoals angst en nieuwsgierigheid opwekken.”

Gesimuleerde phishingtests

In het derde kwartaal van 2018 onderzocht KnowBe4 tienduizenden e-mailonderwerpen uit gesimuleerde phishingtests om uit te vinden wat een gebruiker erop doet klikken.

Het bedrijf heeft ook onderzoek gedaan naar de werkelijke onderwerpregels die aantonen dat de e-mails die gebruikers ontvangen en aan hun IT-afdelingen melden verdacht zijn.

Top 10 meest geklikte phishing e-mail onderwerp regels wereldwijd voor Q3 2018:

  • Controleer uw wachtwoord – 34%.
  • Je hebt een spraakbericht – 13%
  • Uw bestelling is onderweg – 11%.
  • Wijzig uw wachtwoord onmiddellijk – 9%.
  • Deactivering van uw e-mailbox – 8%.
  • UPS-levering 1ZBE312TNY00015011 – 6% – UPS-levering
  • Herziene reis- en ziekterichtlijnen – 6%.
  • U heeft een document ontvangen om te ondertekenen – 5%.
  • Spam hint: 1 nieuw bericht – 4%
  • {Actie vereist} – Mogelijke schending van de Gebruiksvoorwaarden 4%.

Onderstaande E-mailonderwerpen zijn een combinatie van gesimuleerde phishingberichten die door KnowBe4 voor klanten zijn gemaakt.

  • U heeft een nieuw versleuteld bericht 
  • IT: Synchronisatiefout – geretourneerde berichten
  • HR: Contactgegevens
  • FedEx: We hebben u gemist.
  • Microsoft: Meerdere aanmeldingspogingen
  • IT: Belangrijk – Nieuwe server back-up
  • Wells Fargo: Onregelmatige activiteiten op uw creditcard rekening
  • LinkedIN: Uw account is in gevaar!
  • Microsoft/Office 365: {herinnering}: Uw gecodeerd bericht
  • Coinbase: uw Crypto Valuta portemonnee: het veranderen van Two-Factor Authenticatie

Tijd voor professioneel privacybeleid?

PrivacyZone is gespecialiseerd in privacymanagement en privacymarketing. Wij ondersteunen bij DPIA’s, algemene voorwaarden, verwerkersovereenkomsten, privacy- en cookiebeleid, actieplannen en praktijkgerichte awareness trainingen. Meer weten? Neem contact met ons op via info@privacyzone.nl of bel 06-31995740.

Is Google Home of Amazon Echo veilig? Nieuwe Voice Squatting techniek kan spraakassistent in stille spion veranderen

In het kader van privacybeleid lijkt het voorlopig verstandig om geen Amazon Echo of Google Home spraakassistent op kantoor te plaatsen. Amerikaanse onderzoekers hebben namelijk een nieuwe techniek ontdekt waarmee de spraakassistent gehackt kan worden: Voice Squatting.

Met deze hackmethode kunnen Google Home of Amazon Echo geprogrammeerd worden om als stille spion alles wat er in de directe omgeving wordt gezegd af te luisteren of phishingaanvallen uit te voeren.

Verborgen commando’s in muziek

Eerder lieten onderzoekers van de Universiteit van Californië zien hoe ze verborgen commando’s konden integreren in muziekopnames of gesproken tekst om vervolgens acties uit te voeren op een Amazon Echo.

Voice Squatting werd ontdekt door een groep onderzoekers van de Indiana University, Bloomington, de Universiteit van Virginia en de Chinese Academie van Wetenschappen.

Geheime opnamefunctionaliteit

Om geheime opnamefunctionaliteit toe te voegen, gebruikten de academici de “reprompt”-functie. Deze functie zorgt ervoor dat een vaardigheid kan blijven draaien wanneer deze geen antwoord ontvangt, zolang de gebruikers hiervan op de hoogte worden gesteld via een audio- of tekstbestand.

De onderzoekers misbruikten dit door een lang, stil audiobestand te maken als een reprompt, zodat de gebruiker geen merkbare waarschuwing zou krijgen dat de microfoon nog aan het opnemen was.

 

Phishingaanval via Google Home of Amazon Echo

De spraakassistent zou ook via spraakcommando’s kunnen worden geprogrammeerd om phishing-aanvallen uit te voeren. Google Home of Amazon Echo kunnen dan doen alsof ze een bankdienst uitvoeren en gebruikers vragen om hun wachtwoord door te geven.

 

Reacties Google en Amazon

Zowel Amazon als Google zeggen dat ze al beveiliging hebben die kwaadaardige vaardigheden proberen op te sporen.

De onderzoekers hebben hun ontdekking in april aan zowel Amazon als Google voorgelegd.

Ze zijn sceptisch of er momenteel echt effectieve beveiligingsmaatregelen zijn. “We weten dat Amazon en Google zich niet tegen de aanvallen konden verdedigen toen we onze studie aan hen rapporteerden en we weten niet zeker of ze dat nu wel kunnen”, aldus onderzoeker XiaoFeng Wang van de Indiana University.