nieuwsbriefBroncode
Broncode Die enorme Odido-hack (criminelen stalen persoonlijke gegevens van ruim zes miljoen mensen) levert volgens experts geen hausse aan extra phishing-aanvallen op. Maar: online oplichters zullen met zoveel ‘verse data’ wel een stuk overtuigender worden. Hoe kun je je daartegen weren?
Een geluk bij een ongeluk. Net in de week voordat Odido gehackt werd, was het tijd om mijn paspoort te verlengen. De pasfoto kon beter: een griephoofd, in de vroege ochtend vereeuwigd, geldig tot februari 2036. Maar het is een troostrijke gedachte dat er tussen de 21 miljoen ‘records’ die de Odido-hackers claimen te hebben, nu in ieder geval één verlopen paspoortnummer zit.
Je leest hier een artikelversie van onze nieuwsbrief NRC Broncode. Wekelijks schrijven wij over technologische ontwikkelingen die op de redactievloer tot opwinding leiden. Inschrijven (voor Plus-abonnees) doe je hier:
Inschrijven voor NRC Broncode
Hackersgroep ShinyHunters deelde materiaal met media die erom vroegen (NOS en RTL) en zette zo Odido ook publiekelijk onder druk om losgeld te betalen. Daardoor kantelde het sentiment: de provider weigert mee te werken, en de dieven presenteren zichzelf ondertussen als ‘redelijke’ onderhandelaars. „De groep zegt bereid te zijn te schikken voor een bedrag van circa een half miljoen euro”, schrijft NOS.
Niks redelijk, stelt cyberexpert Dave Maasland van beveiligingsbedrijf ESET. Hij trekt één lijn tussen de datadiefstallen en de georganiseerde misdaad. „De gelekte persoonsgegevens worden gebruikt door criminele bendes die bankhelpdeskfraude plegen. Zij huren vakantiehuisjes, stouwen die vol met jongeren en gaan daarna met nep‑politieagenten langs de deur om mevrouw Jansen ervan te overtuigen dat ze haar pinpas mee moet geven.” Ook mensen met cryptogeld zijn doelwit: hun geld is immers makkelijker weg te sluizen.
In vakantieparken gebeuren dingen waar bungalowparkmascottes Koos Konijn en Bollo de Beer bleek van wegtrekken. De politie publiceerde een ‘signaalkaart’ om digitale roversnesten tussen de toeristen te herkennen: chalets waar de gordijnen overdag dicht blijven, de bedden onbeslapen zijn, de tafels volstaan met laptops en jonge gasten in dure merkkleding rondhangen. Als die hun verblijf ook nog eens cash willen betalen, is het foute boel, weet Bollo dan, en belt 112.
Er zijn al zoveel datalekken geweest dat de Odido‑data niet tot een plotselinge piek in fraudepogingen zullen leiden, denkt Maasland. „Maar waarschijnlijk groeit het aantal slachtoffers, omdat de gegevens verser en geloofwaardiger zijn.”
De aandacht inspireert ook nieuwe huis‑, tuin‑ en keukenhackers om de datasets te downloaden en er op hun zolderkamer mee aan de slag te gaan. Fraudehelpdesk meldt dat er al sms’jes van een niet-bestaande Odido‑helpdesk rouleren en scamsites beloven een schadevergoeding. Allemaal nep.
Odido was zelf het slachtoffer van phishing – of vishing, via ‘voice’: een medewerker van de klantenservice werd door een nep it-helpdesk in de luren werd gelegd. ShinyHunters perst al jaren bedrijven af met soortgelijke hacks, gericht op Salesforce-software. Zo verkrijgen ze toegang tot het klantenrelatiesysteem, waar ze ongezien data proberen te exporteren.
Werknemers zijn geen waterdichte verdedigingslinie tegen zulke professionals. Maasland: „Het lukt altijd om een hardwerkende persoon onder druk te zetten en te ‘compromitteren’. Je moet dus van tevoren goed testen wat gebeurt, zodra een onbevoegde toegang krijgt tot de database. Wanneer gaan de alarmbellen af: als je tien records exporteert, of duizend?”
Wrijven helpt niet, alertheid wel. Vandaar: vijf vuistregels tegen phishing.
We doen niets geks met je gegevens, belooft Odido op zijn site. Maar een datalek maakt meer kapot dan je lief is. Bij de naamsverandering in 2023, toen Tele2 en T-Mobile werden samengevoegd, was Odido vooral druk met nieuwe logo’s en instant churn en blijkbaar ontbrak de tijd om klantendatabases op te schonen of beter af te schermen.
Deze rebranding was de opmaat voor een beursgang. Op maandag 9 februari berichtte Reuters op basis van anonieme bronnen dat Odido dit plan uitstelde, zogenaamd wegens lauwe interesse en een matig beursklimaat. Maar het was ook The Day After: de maandag na het weekend waarin de hackers toesloegen, en die nieuwe, zorgvuldig gekozen merknaam synoniem zou worden voor ‘slordig’.
Doorzie de wereld van technologie elke week met NRC-redacteuren