Bevolkingsonderzoek Nederland waarschuwt de slachtoffers van het datalek deze week per brief dat ze moeten oppassen voor fraude. De omvangrijkheid van de gegevens die zijn gestolen baart experts zorgen, zeggen ze tegen NU.nl. "Elke denkbare vorm van fraude is hiermee mogelijk."
Bij het datalek van laboratorium Clinical Diagnostics zijn gegevens gestolen van zeker 485.000 mensen die hebben meegedaan aan het bevolkingsonderzoek voor baarmoederhalskanker. Daarbij zijn persoonlijke gegevens zoals namen, adressen, BSN-nummers en testuitslagen buitgemaakt. Wat kun je verwachten - en waar moet je voor oppassen - als jij tot de gedupeerden behoort?
Volgens Rejo Zenger, beleidsadviseur van stichting Bits of Freedom, is het een "bijzonder heftig" lek, omdat het om een combinatie van veel en gevoelige gegevens gaat, legt hij uit aan NU.nl. De vraag is wat de hackers ermee willen doen.
Volgens Zenger zijn er altijd twee opties. De eerste is de gestolen data gebruiken om de bron onder druk te zetten, zoals al is gebeurd bij Clinical Diagnostics. De hacker heeft gedreigd om de buitgemaakte gegevens van de ruim 485.000 patiƫnten op het darkweb te publiceren als Clinical Diagnostics niet betaalt. Om te laten zien dat het menens is, zijn de gegevens van 53.516 mensen al geplaatst.
De tweede optie is dat hackers zich richten op de personen van wie de gegevens zijn gelekt. Als jij per brief te horen hebt gekregen dat je gegevens zijn gestolen, zou jij in theorie dus ook kunnen worden afgeperst. Dat kan door de hackers zelf worden gedaan, of door andere cybercriminelen die je gegevens via het darkweb hebben gevonden.
Maar met alle gegevens die zijn buitgemaakt is eigenlijk "elke denkbare vorm van fraude" mogelijk, zegt Marianne Junger. Zij is emeritus hoogleraar cybersecurity aan de Universiteit Twente. "Denk bijvoorbeeld aan identiteitsfraude, waarbij iemand zich met jouw gegevens kan voordoen als een ander."
Daarbij gaat het vooral om de combinatie van verschillende gegevens. Met alleen een BSN-nummer kunnen hackers bijvoorbeeld weinig. Maar de mogelijkheden liggen voor het oprapen als daar ook een naam of adres aan is gekoppeld.
Het hangt erg af van de "creativiteit" van de cybercriminelen op welke manier misbruik kan worden gemaakt van de gestolen gegevens, zegt Daan Keuper, securityspecialist bij online beveiligingsbedrijf Computest. "Vaak hebben deze kwaadwillenden meerdere operaties tegelijk lopen en willen ze in een korte tijd zoveel mogelijk geld verdienen. Dus het moet allemaal niet te veel tijd kosten."
De cybersecurity-experts wijzen er daarom alle drie op dat de gedupeerden vooral waakzaam moeten zijn voor phishing. Dat is een vorm van internetfraude waarbij criminelen zich in een mail of sms-bericht voordoen als een persoon, bedrijf of instantie. Het doel is om meer gegevens over je te verzamelen of geld af te troggelen. Vaak word je gevraagd om op een link te klikken, ergens in te loggen of geld over te maken.
"En hoe meer gegevens ze van je hebben, hoe realistischer zo'n mail of sms lijkt", zegt Junger. Normaal gesproken kun je nepmails bijvoorbeeld herkennen aan spelfouten of een opvallende vraag. Maar als ze je volledige naam, adres, BSN-nummer en zelfs medische informatie hebben, kun je snel denken dat een mail echt afkomstig is van bijvoorbeeld Bevolkingsonderzoek Nederland, legt ze uit.
"Het zou daarom zomaar kunnen dat getroffen mensen een valse aanmaning krijgen van het bevolkingsonderzoek", vult Zenger van Bits of Freedom aan. "Terwijl het bevolkingsonderzoek gratis is."
Naast phishing ziet Junger ook andere risico's voor gedupeerden. Aangezien ook adressen zijn gelekt, zouden kwaadwillenden aan de deur kunnen komen voor een zogeheten babbeltruc. "En als telefoonnummers ook zijn gelekt, kunnen mensen bijvoorbeeld worden gebeld door iemand die zich voordoet als een bankmedewerker. Als die dan al jouw gegevens weet op te noemen, is dat erg geloofwaardig."
Het is de komende tijd dus opletten geblazen voor de ontvangers van de brief. Al geldt dat eigenlijk voor iedereen, benadrukt Keuper. "Van veel mensen zijn waarschijnlijk al eens gegevens gelekt, aangezien we op zoveel plekken gegevens achterlaten. Maar de mensen die hebben deelgenomen aan het bevolkingsonderzoek hebben een aanleiding om extra scherp te zijn."
Daarbij wijst hij erop dat het niet alleen gaat om de komende weken of maanden. Als data eenmaal beschikbaar is gesteld op het darkweb, is de kans groot dat het daar blijft rondzweven of al in handen is van andere cybercriminelen. "Het risico voor oplichting wordt dus niet binnen afzienbare tijd ineens kleiner."
Source: Nu.nl algemeen