Mogelijk zijn miljoenen mensen betrokken bij het datalek rond marktonderzoekers die software van leverancier Nebu gebruiken. Het lek is inmiddels zo grootschalig, dat de kans groot is dat u er al lang van heeft gehoord.

In dit artikel gaan we niet te diep in op het lek zelf – dat doen andere media al – maar duiken we wel in de risico’s die ermee ontstaan. Voor particulieren én ondernemers.

In het kort: hoe zit het ongeveer?

Hoe het kan dat waarschijnlijk miljoenen Nederlanders getroffen zijn? Gespecialiseerde onderzoeksbureaus zoals Blauw en USP maken gebruiken van software (aangekocht bij Nebu) om klantonderzoek uit te voeren voor uiteenlopende Nederlandse bedrijven. Ze hebben contact met Nederlanders over – bijvoorbeeld – hun tevredenheid over een bepaalde dienst. Zoals die van de NS.

Inmiddels is bekend dat o.a. VodafoneZiggo, CZ, NS en RVO marktonderzoeksburaus hebben ingeschakeld. Dit is een greep uit de organisaties waarvan al bekend is dat ze betrokken zijn bij het lek. De lijst is nog groeiende. Zelfs de gegevens van bezoekers van Vrienden van Amstel Live en het Filmfestival in Rotterdam zijn vermoedelijk gelekt.

Op dit moment ligt volgens de marktonderzoekers de oorzaak van het lek bij een kwetsbaarheid bij Nebu.

“Namen, (mail)adressen en telefoonnummers”

 Er is nog geen volledige zekerheid over welke gegevens precies gestolen zijn bij de kwetsbaarheid. Het lijkt erop dat het “enkel” om namen, (mail)adressen en in sommige gevallen telefoonnummers gaat. Het zou verder geen privacygevoelige informatie betreffen. Een geruststelling. Of niet?

Wat cybercriminelen kunnen met deze gegevens

Deze gegevens geven gelukkig niet direct toegang tot onze bankrekeningen. Dat is inderdaad een geruststelling. Maar ze zijn wel een onderdeel van de door criminelen te kraken code. De gelekte data is een perfect beginpunt voor phishingcampagnes. Denk hierbij niet alleen aan phishingmails, maar ook aan brieven, smsjes en telefoontjes.

Niet overtuigd dat enkel een naam en wat contactgegevens voldoende kan zijn? Een telefoontje dat vriendelijk begint met “Goedemorgen, met Fenna Jagerman van CZ Nederland. Spreek ik met Jos Lanaken? Of ben ik verkeerd verbonden?” klinkt niet heel erg onbetrouwbaar als u die Jos Lanaken bent die zijn verzekering bij CZ heeft. Toch?

Datalekken maken phishing mogelijk nog persoonlijker

We zijn het tijdperk van phishingmails vol taal- en designfouten en slecht verstaanbare malafide telefoontjes al lang voorbij. Natuurlijk, ze komen nog voor. Maar er zijn genoeg criminelen die het vol precisie aanpakken.

Als bij dit lek ook de antwoorden op de vragenlijsten zijn buitgemaakt, bezitten criminelen alle ingrediënten om aanvallen nóg persoonlijker te maken. Heeft u meegedaan aan een onderzoek van de NS? En heeft u onder andere geantwoord wat voor soort reisproduct u gebruikt? Dan kan een phishingmail – volledig in de tone-of-voice en huisstijl van NS – daar mooi op inhaken:

“Beste meneer Lanaken,

Eerder dit jaar heeft u uw ervaringen met het nieuwe inchecken met ons gedeeld. Graag willen we u hiervoor bedanken met € 20,- reistegoed, te besteden in de maand April van 2023.

We hebben het tegoed toegevoegd aan uw lopende NS-Flex abonnement. Wilt u gebruik maken van het tegoed? Activeer deze vóór 31 maart op deze activeringspagina.

Let op: op deze actie zijn voorwaarden van toepassing.

Met vriendelijke groet,

Lien Buma
Hoofd NS Klantenservice”

Hoe meer info, hoe geloofwaardiger

Aanvallers weten zelf ook dat hun phishingacties niet bij iedereen werken. Maar ze gokken erop dat ze u net treffen in een onoplettend moment. Voeg daar een hoop persoonlijke informatie die écht op u slaat aan toe en de kans dat u niet snel vraagtekens zet bij een bericht is vergroot. Voeg daar óók nog hoge emoties (Yes! Ik krijg iets!) aan toe en de phishingactie slaagt.

Nebu-lek: ondernemers extra alert

De berichtgevingen rondom dit lek richten zich vooral op particulieren. Maar gezien o.a. de Rijksdienst voor Ondernemend Nederland en werkgevers die hun collectiviteit bij CZ hebben ook betrokken zijn bij het lek willen we ondernemers even op scherp zetten. Want het gaat dan niet alleen om privézaken, maar ook om de bedrijfscontinuïteit.

Als u nog niet alert was, bent u dat nu hopelijk wel. Waar u alert voor moet zijn? We voorspellen met de informatie die er nu is dat er dus vooral een toename gaat zijn in (geloofwaardige) phishing-acties.

Hoe is het nog mogelijk phishing te herkennen?

Als aanvallers zelfs met persoonlijke brieven gaan rondstrooien: hoe is het dan nog mogelijk phishing te herkennen? De standaard adviezen om bij twijfel de afzender te controleren en kritisch te zijn op spelling en huisstijl gaan niet meer op.

Wat als phishingacties zo persoonlijk en geloofwaardig zijn dat we niet meer twijfelen? Hangen we dan bij een mega geloofwaardig telefoontje nog op om onze bank zélf te bellen?

Altijd twijfelen?

Het liefst geven we het advies áltijd te twijfelen. Maar het is onmogelijk om bij elke mail, brief of belletje op alert te staan en het afzenderbedrijf zelf te bellen. Tenslotte worden we dagelijks overspoeld met communicatie van bedrijven. Niemand is een wandelende spamfilter.

Let vooral op urgentie

Wie snel handelt, let niet goed op. Phishingacties sturen daarom bijna altijd op urgente acties. Van een “Claim snel uw tegoed” tot “Geef snel X informatie om X te voorkomen”. Dus voelt u zich door een mail, brief, smsje of telefoontje gepusht tot een snelle actie? Dat is een moment om extra alert te zijn. En wat bedoelen we met alert? Het aller slimste is om contact op te nemen met de (zogenaamde) afzender via contactgegevens op de website van het desbetreffende bedrijf.

Verder blijft het natuurlijk goed om altijd de afzender te controleren en te letten op ongebruikelijke designelementen, etc.

Wat als privacygevoelige gegevens zijn gelekt?

Als kopieën van paspoorten, BSN-nummers of creditcardgegevens zijn gelekt, is er identiteitsfraude mogelijk. Denk aan het openen van een bankrekening op uw naam. Of het vastleggen van een energiecontract of telefoonabonnement. Of nóg creatievere dingen.

Gaat dat bij dit specifieke lek ook het geval zijn? In het geval van de marktonderzoekers waarschijnlijk niet. We vermoeden dat die niet met dergelijke gevoelige data te maken hebben gehad en er dus ook geen paspoorten te lekken vielen.

Maar blijken er meer organisaties die wél gevoelige gegevens verwerken kwetsbare software te hebben gebruikt? Dan liggen de kaarten anders. Voor nu is de kans gelukkig klein.

Meer informatie over phishing

Meer lezen over phishing herkennen en bescherming tegen phishing? Lees dan hier verder.

Phishing: dat het een dreiging is, weet men inmiddels wel. Zowel particulier als zakelijk is het opletten geblazen, want phishingacties liggen continu op de loer. Maar wat doet u er tegen?

De gevolgen van phishing zijn soms absoluut niet te overzien: voorkomen is dus beter dan genezen. Hoe zorgt u voor voldoende bescherming tegen phishing? Welke software is nodig om phishing te voorkomen? Wat biedt de beste bescherming tegen phishing? In dit artikel geven we inside- en out-of-the-box tips. We duiken er meteen in:
 

Wat u en uw collega’s zelf kunnen doen

Eerst geven we een aantal adviezen die vanuit de menselijke kant de gevolgen van phishing kan voorkomen. Later in dit artikel gaan we dieper in op technische oplossingen die bescherming bieden en nóg meer phishing-gevolgen voorkomen.
 

1. Geef collega’s een gevoel van verantwoordelijkheid

Inmiddels zijn de meesten wel op de hoogte van het fenomeen phishing. Het komt tenslotte zo vaak voor, dat niemand er meer aan ontkomt alert te zijn. Zeker wanneer ons eigen geld gevaar loopt, passen we wel op. Maar is iedereen op de werkvloer ook even oplettend?

Neem medewerkers mee in de gevolgen van phishing en hun aandeel in het verhaal. Zij hebben tenslotte allemaal met hun acties invloed op de (on)veiligheid van uw organisatie.
 

2. Blijf de afzender controleren

Waarschijnlijk wist u al dat kwaadwillenden een afwijkend mailadres vermommen met een betrouwbare naam. Bijvoorbeeld door Jan Martens | Bedrijf XYZ” in te stellen, terwijl het mailadres 45wreff@gmail.com is. Maar wist u dat cybercriminelen een stap verder kunnen gaan? Zo ver, dat ook de mailadressen legitiem ogen? Dat doen ze met sub-domains. De afzender grondig controleren is dus geen overbodige luxe!

Blijkt een mailadres betrouwbaar, maar wekt de inhoud van een bericht toch argwaan? Wanneer iemand op een afwijkende manier communiceert, is alert zijn ook belangrijk. Soms maken onjuiste (security)mailinstellingen het voor aanvallers mogelijk te spoofen.  Er kan dan toch sprake zijn van phishing. Trek dus zeker aan de bel.
 

3. Links controleren voordat u erop klikt

Klik nooit zomaar op hyperlinks, ook niet als er gewoon een betrouwbare website staat. Voor velen is deze kennis vanzelfsprekend, maar niet voor iedereen. Met de hyperlink-functie in mailboxen en op websites, is het heel eenvoudig een malafide linkje te verbergen. Kijk zelf maar: www.albertheijn.nl gaat naar onze contactpagina. En deze klik hier gaat naar de website van de politie.

Hoe u van te voren kijkt waar een link naartoe gaat? Gewoon door uw cursor er even boven te houden. Nogmaals: voor velen is dit gesneden koek, maar ga er nooit van uit dat het voor iedereen vanzelfsprekend is. Niet elke generatie is even bekend in IT-land.

Pas wel op: zelfs wanneer een linkadres er betrouwbaar uit ziet, geeft dat nog geen garanties. Zo lijkt www.lp4sure.nl op www.ip4sure.nl. De kans dat gebruikers toch per ongeluk op zo’n goed gecamoufleerde site terecht komen, is dan groter. Controleer dus ook eenmaal op de site zelf of u daar uw inloggegevens in wil vullen.
 

4. Zorg dat iedereen zich veilig voelt

Hackers spelen gehaaid in op de kwetsbaarheden van de mens. Het is bijna niet meer de vraag of iemand ooit in een phishingactie trapt, maar wanneer. Door collega’s niet te straffen voor deze “fout”, maar ze juist aan te moedigen het te melden, bent u er meteen van op de hoogte.

U bent dan ook in staat snel maatregelen te treffen. Hoe later u achter een geslaagde phishing-actie komt, hoe groter de kans dat er bijvoorbeeld al data gelekt is. Collega’s die direct aan de bel durven te trekken, voorkomen dus nog een hoop extra ellende.
 

Technologie en software om phishing te voorkomen

5. Voorkom phishing met software

Phishing voorkomen door collega’s goed te informeren is één stap. Maar mensen blijven mensen. Iemand hoeft maar één keer een slechte nacht te hebben en het kwaad kan al geschied zijn. Software is dan een stuk beter te vertrouwen. Zo maakt Check Point Harmony Email and Office mails vrij van verdachte linkjes en bestanden, vlak voordat ze in uw inbox belanden. Effectieve preventie dus.
 

6. Detecteer onverhoopte binnendringers op tijd

Bovenstaande maatregelen bieden al goede bescherming tegen phishing. Maar blijf alert: aanvallers blijven inventief en vernieuwend. Lukt het ze niet op de ene manier? Dan zoeken ze wel weer een andere weg om op uw netwerk te komen. Het is dan zaak ze te detecteren voordat er (veel) schade is aangericht. Een Security Operations Centre (SOC) meldt verdachte activiteiten. Het is de alarmcentrale van uw digitale omgeving.
 

Tot slot: onderschat aanvallers niet

7. Weet dat phishing ook gericht kan zijn

Bij phishing denkt men vaak aan phishingberichten die naar Jan en alleman worden gestuurd. Denk aan de smsjes van ING terwijl u bij de Rabobank zit, bijvoorbeeld. Maar zeker in het geval van organisaties, kunnen aanvallers zeer gericht te werk gaan. Zo kunnen ze zich voordoen als iemand binnen de organisatie, slim inspelen op actualiteiten binnen de branche of zelfs CEO’s verleiden toegang te geven.
 

Bescherming tegen phishing gaat verder dan de mens

Uw organisatie écht beschermen tegen phishing? Door uw collega’s in te lichten en te trainen, komt u al een heel eind. Maar – zo goed als – zorgeloos werken, is zonder technische oplossingen bijna niet meer mogelijk. Phishing komt tenslotte zowat dagelijks voor.

Wilt u kennis en advies van een Security-expert? Neem dan vrijblijvend contact met ons op voor uw vragen over het voorkomen van phishing.

Gelukkig belanden veel phishing mails in de prullenbak, maar helaas zijn er dagelijks toch nog een hoop bedrijven en particulieren slachtoffer van een phishing aanval. Met wat voor gevolgen hebben zij te maken?

De gevolgen van phishing aanvallen

In dit artikel gaan we dieper in op de eventuele gevolgen van een phishing aanval, aan de hand van een cybercrime voorbeeld uit de praktijk. Zo krijgt u een concreet beeld van hoe een aanvaller te werk zou kunnen gaan. Let wel: geen enkele phishing aanval verloopt exact hetzelfde. De gevolgen van phishing variëren flink in omvang.
 

Alarmerende facturen

Een tijd geleden meldde een organisatie zich bij ons met het vermoeden slachtoffer te zijn van cybercrime. De aanleiding? Een klant met een vraag over een factuur die de organisatie naar eigen weten nooit verstuurd had. Op dit factuur stond een ander rekeningnummer dan dat van de organisatie. Dat zorgde voor nogal wat alarmbellen.

Ons Cyberlab-team is direct op afstand gaan kijken wat er aan de hand was. Want hoe konden deze facturen verstuurd zijn? Kwam dat door phishing? Of iets anders? En hoeveel waren er verstuurd? Het doel van de cybercriminelen was in ieder geval duidelijk: geld verdienen. Daar zijn ze tenslotte bijna altijd op uit. Of dat nu is door data te stelen en door te verkopen, u te chanteren met gijzelsoftware, of – zoals in dit geval – door uw klanten nep-facturen te laten betalen.
 

Phishing: de bron van deze cyberaanval

Al snel kwamen we erachter dat een Office 365 mailbox van één van de medewerkers was gehackt. We zagen in de logging dat dit hoogstwaarschijnlijk via een phishing aanval is gebeurd. Vermoedelijk heeft de medewerker zijn Office 365 wachtwoord ingetypt op een phishing website. Die gegevens waren voor de aanvaller meer dan voldoende.

Iedereen die een klein beetje geïnteresseerd is in cyber security stelt nu vast de vraag: waarom was er geen MFA of 2FA aanwezig? Een cybercrimineel heeft tenslotte vrij weinig aan een wachtwoord wanneer deze goed is ingesteld. Ja, de organisatie had medewerkers opgeroepen 2FA aan te zetten. Helaas is dat nooit gebeurd bij het gephishte account.

Het is dan ook altijd belangrijk te controleren of medewerkers beveiligingsmaatregelen naleven. De mens is de grootste kwetsbaarheid op het gebied van cyber security: één medewerker die in phishing trapt en uw hele organisatie loopt risico.
 

De hacker maakte slim gebruik van Office 365 regels

Hoe de aanvaller verder te werk ging? Nadat hij met de phishing actie toegang had gekregen tot het Office-account van de medewerker, is hij regels binnen de Office mailbox in gaan stellen. Deze regels geven binnen Office 365 de mogelijkheid uw mailbox te sorteren door automatisch ontvangen mails in bepaalde mapjes te zetten.

In dit geval had de aanvaller een regel zo ingesteld, dat mails van de ingestelde mailadressen niet in de inbox belanden, maar in de map “subscriptions”. Hierdoor zou de rechtmatige eigenaar van het overgenomen Office-account de binnenkomende mails in dat mapje niet zien.
 

Zo stuurde de hacker ongestoord mails over facturen

Hier wordt ook meteen duidelijk hoe er facturen gestuurd zijn, zonder dat de eigenaar van het account hiervan wist. De aanvaller had namelijk uit naam van het phishing slachtoffer mails gestuurd over facturen. Alle binnenkomende reacties op de facturen kreeg de legitieme gebruiker niet te zien.

Dus de aanvaller kon gewoon dat gesprek aan gaan met de mensen die facturen “moesten” betalen en overmaken naar het rekeningnummer van de aanvaller. Al deze uitgaande en inkomende mails werden overigens verwijderd door de hacker.

Hackers hopen met een phishing aanval vooral de accounts van medewerkers met financiële functies over te nemen. Zij hebben tenslotte het recht om facturen te sturen en ook inzicht in andere financiële zaken. Zo komt het ook voor dat op die manier geheime financiële cijfers worden doorgestuurd naar criminelen zodat ze daarop kunnen inspelen op de beurs.
 

Alles was te achterhalen dankzij logging

Hoe we hier allemaal achter zijn gekomen? Zoals we al eerder benoemden, hebben we in de logging gezien hoe de inloggegevens zijn gelekt. Hierin zagen we ook wanneer dit precies was gebeurd, vanuit welk land de hacker inlogde en wat hij precies gedaan heeft. Zo kwamen we er ook achter hoe hij de mailbox regels slim heeft ingezet om ongestoord zijn werk te doen. We zijn door die logging zelfs in staat geweest al het verwijderde mailverkeer terug te halen.
 

Basisbescherming had veel kunnen voorkomen

Opvallend is dat bij deze phishing aanval veel voorkomen had kunnen worden met basisbescherming. Het geeft maar aan hoe belangrijk een simpele handeling als het instellen van 2FA is. Daarbij heeft de organisatie ook nog eens geluk gehad. Als ze later hadden ingegrepen, waren de gevolgen nog veel omvangrijker geweest.

De username en password van het phishing slachtoffer waren namelijk hetzelfde als die van de active directory (database waar alle gebruikers in zitten). Bedrijven synchroniseren die gegevens vaak, puur voor het gemak. Zo loggen medewerkers met dezelfde gegevens in als waarmee ze ook hun laptop in komen. Dat biedt kansen voor een hacker.

Daarnaast had de organisatie medewerkers VPN toegekend zonder 2FA, als snelle oplossing tijdens de Corona-crisis. Al deze kwetsbaarheden bij elkaar hadden voor een nog grotere hack kunnen zorgen. Gelukkig snel bleek dat de aanvaller niet van deze kwetsbaarheden wist. Hij was in ieder geval niet ingelogd op de VPN. Als de aanvaller meer tijd had gehad, had hij daar waarschijnlijk wel nog gebruik van gemaakt.
 

We hebben direct securitymaatregelen getroffen

Gelukkig hebben we alles kunnen achterhalen en is er veel extra schade voorkomen. We hebben de nodige securitymaatregelen getroffen om ervoor te zorgen dat deze organisatie niet snel meer bij ons hoeft aan te kloppen voor ditzelfde noodgeval.

Deze securitymaatregelen varieerden van basisacties als het resetten van het wachtwoord en het afdwingen van 2FA, tot het instellen van een “Honeypot” en nog een aantal andere acties.
Lees meer over e-mail hacks
 

InsightIDR: een handige tool

Ook heeft de organisatie ervoor gekozen gebruik te maken van InsightIDR. Deze tool slaat alle logs en alarmeringen op. De gevolgen van phishing aanvallen en andere vormen van cybercrime zijn een stuk eenvoudiger te beheersen met InsightIDR. Sterker nog: dan had de organisatie InsightIDR zo in kunnen stellen dat ze een melding kregen wanneer die regels werden aangemaakt.
 

De gevolgen van deze phishing aanval vielen mee

In dit geval is de schade van deze phishing aanval zeer beperkt gebleven. Maar had deze organisatie niet op tijd ingegrepen, dan was imagoschade zeker een gevolg geweest. Om nog maar te zwijgen over al het geld dat de cybercrimineel in kwestie met deze aanval had verdiend.

Meer weten over basisbescherming en andere manieren om uw organisatie te beschermen tegen phishing of andere vormen van cybercriminaliteit? Neem dan vrijblijvend contact met ons op voor al uw vragen.