Direct hulp nodig? Bel of app ons noodnummer.

040-2095020

Phishing

  • 31 mrt, 2023

Datalek bij marktonderzoekers: voedingsbodem voor phishingaanvallen

Mogelijk zijn miljoenen mensen betrokken bij het datalek rond marktonderzoekers die software van leverancier Nebu gebruiken. Het lek is inmiddels zo grootschalig, dat de kans groot is dat u er al lang van heeft gehoord.

In dit artikel gaan we niet te diep in op het lek zelf – dat doen andere media al – maar duiken we wel in de risico’s die ermee ontstaan. Voor particulieren én ondernemers.

In het kort: hoe zit het ongeveer?

Hoe het kan dat waarschijnlijk miljoenen Nederlanders getroffen zijn? Gespecialiseerde onderzoeksbureaus zoals Blauw en USP maken gebruiken van software (aangekocht bij Nebu) om klantonderzoek uit te voeren voor uiteenlopende Nederlandse bedrijven. Ze hebben contact met Nederlanders over – bijvoorbeeld – hun tevredenheid over een bepaalde dienst. Zoals die van de NS.

Inmiddels is bekend dat o.a. VodafoneZiggo, CZ, NS en RVO marktonderzoeksburaus hebben ingeschakeld. Dit is een greep uit de organisaties waarvan al bekend is dat ze betrokken zijn bij het lek. De lijst is nog groeiende. Zelfs de gegevens van bezoekers van Vrienden van Amstel Live en het Filmfestival in Rotterdam zijn vermoedelijk gelekt.

Op dit moment ligt volgens de marktonderzoekers de oorzaak van het lek bij een kwetsbaarheid bij Nebu.

“Namen, (mail)adressen en telefoonnummers”

 Er is nog geen volledige zekerheid over welke gegevens precies gestolen zijn bij de kwetsbaarheid. Het lijkt erop dat het “enkel” om namen, (mail)adressen en in sommige gevallen telefoonnummers gaat. Het zou verder geen privacygevoelige informatie betreffen. Een geruststelling. Of niet?

Wat cybercriminelen kunnen met deze gegevens

Deze gegevens geven gelukkig niet direct toegang tot onze bankrekeningen. Dat is inderdaad een geruststelling. Maar ze zijn wel een onderdeel van de door criminelen te kraken code. De gelekte data is een perfect beginpunt voor phishingcampagnes. Denk hierbij niet alleen aan phishingmails, maar ook aan brieven, smsjes en telefoontjes.

Niet overtuigd dat enkel een naam en wat contactgegevens voldoende kan zijn? Een telefoontje dat vriendelijk begint met “Goedemorgen, met Fenna Jagerman van CZ Nederland. Spreek ik met Jos Lanaken? Of ben ik verkeerd verbonden?” klinkt niet heel erg onbetrouwbaar als u die Jos Lanaken bent die zijn verzekering bij CZ heeft. Toch?

Datalekken maken phishing mogelijk nog persoonlijker

We zijn het tijdperk van phishingmails vol taal- en designfouten en slecht verstaanbare malafide telefoontjes al lang voorbij. Natuurlijk, ze komen nog voor. Maar er zijn genoeg criminelen die het vol precisie aanpakken.

Als bij dit lek ook de antwoorden op de vragenlijsten zijn buitgemaakt, bezitten criminelen alle ingrediënten om aanvallen nóg persoonlijker te maken. Heeft u meegedaan aan een onderzoek van de NS? En heeft u onder andere geantwoord wat voor soort reisproduct u gebruikt? Dan kan een phishingmail – volledig in de tone-of-voice en huisstijl van NS – daar mooi op inhaken:

“Beste meneer Lanaken,

Eerder dit jaar heeft u uw ervaringen met het nieuwe inchecken met ons gedeeld. Graag willen we u hiervoor bedanken met € 20,- reistegoed, te besteden in de maand April van 2023.

We hebben het tegoed toegevoegd aan uw lopende NS-Flex abonnement. Wilt u gebruik maken van het tegoed? Activeer deze vóór 31 maart op deze activeringspagina.

Let op: op deze actie zijn voorwaarden van toepassing.

Met vriendelijke groet,

Lien Buma
Hoofd NS Klantenservice”

Hoe meer info, hoe geloofwaardiger

Aanvallers weten zelf ook dat hun phishingacties niet bij iedereen werken. Maar ze gokken erop dat ze u net treffen in een onoplettend moment. Voeg daar een hoop persoonlijke informatie die écht op u slaat aan toe en de kans dat u niet snel vraagtekens zet bij een bericht is vergroot. Voeg daar óók nog hoge emoties (Yes! Ik krijg iets!) aan toe en de phishingactie slaagt.

Nebu-lek: ondernemers extra alert

De berichtgevingen rondom dit lek richten zich vooral op particulieren. Maar gezien o.a. de Rijksdienst voor Ondernemend Nederland en werkgevers die hun collectiviteit bij CZ hebben ook betrokken zijn bij het lek willen we ondernemers even op scherp zetten. Want het gaat dan niet alleen om privézaken, maar ook om de bedrijfscontinuïteit.

Als u nog niet alert was, bent u dat nu hopelijk wel. Waar u alert voor moet zijn? We voorspellen met de informatie die er nu is dat er dus vooral een toename gaat zijn in (geloofwaardige) phishing-acties.

Hoe is het nog mogelijk phishing te herkennen?

Als aanvallers zelfs met persoonlijke brieven gaan rondstrooien: hoe is het dan nog mogelijk phishing te herkennen? De standaard adviezen om bij twijfel de afzender te controleren en kritisch te zijn op spelling en huisstijl gaan niet meer op.

Wat als phishingacties zo persoonlijk en geloofwaardig zijn dat we niet meer twijfelen? Hangen we dan bij een mega geloofwaardig telefoontje nog op om onze bank zélf te bellen?

Altijd twijfelen?

Het liefst geven we het advies áltijd te twijfelen. Maar het is onmogelijk om bij elke mail, brief of belletje op alert te staan en het afzenderbedrijf zelf te bellen. Tenslotte worden we dagelijks overspoeld met communicatie van bedrijven. Niemand is een wandelende spamfilter.

Let vooral op urgentie

Wie snel handelt, let niet goed op. Phishingacties sturen daarom bijna altijd op urgente acties. Van een “Claim snel uw tegoed” tot “Geef snel X informatie om X te voorkomen”. Dus voelt u zich door een mail, brief, smsje of telefoontje gepusht tot een snelle actie? Dat is een moment om extra alert te zijn. En wat bedoelen we met alert? Het aller slimste is om contact op te nemen met de (zogenaamde) afzender via contactgegevens op de website van het desbetreffende bedrijf.

Verder blijft het natuurlijk goed om altijd de afzender te controleren en te letten op ongebruikelijke designelementen, etc.

Wat als privacygevoelige gegevens zijn gelekt?

Als kopieën van paspoorten, BSN-nummers of creditcardgegevens zijn gelekt, is er identiteitsfraude mogelijk. Denk aan het openen van een bankrekening op uw naam. Of het vastleggen van een energiecontract of telefoonabonnement. Of nóg creatievere dingen.

Gaat dat bij dit specifieke lek ook het geval zijn? In het geval van de marktonderzoekers waarschijnlijk niet. We vermoeden dat die niet met dergelijke gevoelige data te maken hebben gehad en er dus ook geen paspoorten te lekken vielen.

Maar blijken er meer organisaties die wél gevoelige gegevens verwerken kwetsbare software te hebben gebruikt? Dan liggen de kaarten anders. Voor nu is de kans gelukkig klein.

Meer informatie over phishing

Meer lezen over phishing herkennen en bescherming tegen phishing? Lees dan hier verder.

Inschrijven nieuwsbrief

Lees ook...

Pentest

  • 23 mei, 2023

8x Alles over ethisch hacken en pentests

Pentests, ethisch hackers, white hats, de enumeratiefase: er is veel te schrijven over de red team kant van cyber security….

Lees verder

Nieuws

  • 16 mei, 2023

Benelux Innovation Partner 2023

Elk jaar reikt Rapid7 hun Partner Awards uit. Vorig jaar gingen we naar huis met de award voor Detection &…

Lees verder

Trends

  • 19 apr, 2023

NIS2: voor welke sectoren? En hoe bereidt u zich voor?

Digitalisering maakt ongelofelijk veel mogelijk. Overheden realiseren zich alleen ook dat het – met name essentiële – sectoren kwetsbaar maakt….

Lees verder

Trends

  • 11 apr, 2023

Onderzoek: potentiële klanten willen minder vaak risico lopen

Waarom is cyber security belangrijk? Schade na een cyberaanval voorkomen is niet meer de enige reden. Het waarborgen van de…

Lees verder

Uw cyber security bespreken en advies ontvangen?

Afspraak maken

Vragen over cyber security? Bel ons vrijblijvend op:

Afspraak maken

"*" geeft vereiste velden aan

Naam*
Privacy policy*