• Irma Visser

Datalekken: Wat is het gevaar en wat doe je ertegen?

Bijgewerkt op: mrt 25

Dat de datalekken van de GGD afgelopen maand met uitroeptekens in het nieuws stonden is begrijpelijk. Alle privé gegevens van mensen die een corona test hebben gedaan of in het bron en contactonderzoek voorkwamen lagen op straat doordat het systeem van de GGD niet goed genoeg beveiligd was. De verontwaardiging was gegrond. Helaas zijn datalekken inmiddels eerder regel dan uitzondering. Op 1 maart zijn bijvoorbeeld de privé gegevens van 20 miljoen gebruikers van gratis VPN diensten uitgelekt. Het gaat in het bijzonder om de diensten SuperVPN, GeckoVPN en FlashVPN. Dit is ironisch, aangezien deze diensten er juist op gericht zijn jouw persoonsgegevens te beschermen. Wat kunnen cybercriminelen nu eigenlijk met jouw gelekte data en hoe kun jij die schade voorkomen? In deze blog zal ik dat uitleggen.


Eén datalek leidt tot meer datalekken

Cybercriminelen zijn creatief en kunnen met informatie dat in eerste instantie niet heel belangrijk lijkt, veel meer belangrijke informatie ontfutselen. Met slechts een geboortedatum en postcode is het bij veel bedrijven al mogelijk om je te identificeren. Dit kan dan toegang verlenen tot verdere informatie zoals telefoonnummer en e-mail adres: ‘Ik ben een tijdje terug van telefoonnummer veranderd maar ik weet niet zeker of ik dat goed heb doorgegeven. Kunt u mij vertellen welk nummer jullie nu in het systeem hebben staan?’ Echt moeilijk is dit niet. Vervolgens is het voor oplichters een stuk makkelijker om andere vormen van fraude te plegen, zoals phishing en whatsapp fraude.


Phishing

Met de toegang tot je e-mail adres of telefoonnummer ontstaat de mogelijkheid voor phishing. Je kunt bijvoorbeeld een e-mail ontvangen die afkomstig lijkt van een officiële instantie, organisatie of bedrijf. Deze kunnen er heel overtuigend uitzien omdat ze bijvoorbeeld officiële logo’s weten te gebruiken. Door in te spelen op de angsten van de ontvangers over een achterstallige rekening die direct moet worden betaald, proberen ze te voorkomen dat ontvangers te veel tijd nemen om te onderzoeken of het wel een betrouwbare mail is. In de mail kan een link naar een website staan, of een bijlage zijn opgenomen.

Wanneer je de link aanklikt, kun je op een website terechtkomen die er, net zoals de mail, heel officieel uit ziet. Er wordt gevraagd om in te loggen of een account aan te maken, waarbij je jouw persoonlijke gegevens invult. Met deze gegevens wordt het voor oplichters mogelijk om bijvoorbeeld identiteitsfraude te plegen. Wanneer je een bijlage in een phishing mail aanklikt, loop je het risico een virus of spyware op je computer te plaatsen. Dit soort malware kan dan ongemerkt allerlei informatie onderscheppen, zoals je bankgegevens. Ook kan ransomware op je computer worden geplaatst. Hierbij worden al je bestanden versleuteld en gegijzeld, en kun je er pas weer bij als je geld naar iemand over maakt.


Whatsapp fraude

Een verfijndere vorm van online fraude is whatsapp fraude. Dit kan over het algemeen op twee manieren plaatsvinden. In het eerste geval kent de oplichter zowel jouw telefoonnummer als die van een bekende. De oplichter neemt dan de profielfoto over van die bekende en stuurt jou een bericht dat hij een nieuw nummer heeft. Vervolgens krijg je te horen dat ze met spoed nog een rekening moeten betalen, maar dat hun bank storing heeft. Vervolgens ontvang jij een link om geld over te maken.



Een andere vorm van whatsapp fraude is wanneer iemands account wordt gekaapt. Het volledige account wordt dan overgezet op een nieuw nummer, en daarmee krijgt de oplichter niet alleen toegang tot al je contacten, maar ook tot al je persoonlijke gesprekken. De contacten krijgen een standaard melding dat jouw telefoonnummer is gewijzigd, maar verder heeft de oplichter alle ruimte om je contacten te benaderen voor geld en de verzamelde informatie uit de gesprekken weer voor andere financiële doeleinden te gebruiken.


Identiteitsfraude

Bij identiteitsfraude kunnen de gevolgen nog veel extremer zijn dan in de voorgaande gevallen. Iemand heeft genoeg informatie over jou weten te bemachtigen om zich als jou voor te doen. Dit betekent ten eerste dat het mogelijk is om grote hoeveelheden geld van jouw bankrekening af te schrijven. Dit gaat makkelijker dan via whatsapp proberen iemands vertrouwen te winnen. Met identiteitsfraude kunnen criminelen echter nog veel verder gaan. Ze kunnen bijvoorbeeld illegale producten bestellen en op jouw naam zetten. Je loopt het risico een strafblad te krijgen en schulden op te lopen. Ook kun je ernstige imagoschade krijgen. Bij identiteitsfraude is het extra belangrijk dat er op tijd wordt ingegrepen om de schade te beperken.


Hoe herken je fraude?

Het voorkomen van datalekken ligt in de meeste gevallen in de handen van bedrijven. Daarom is het vooral belangrijk dat je weet wat je moet doen als jouw persoonsgegevens al op straat liggen.


  1. Neem de tijd. Veel fraudeurs creëren een noodsituatie zodat je met spoed geld over moet maken. Dit geeft je weinig kans om te onderzoeken of het echt is. Spoedgevallen omtrent grote bedragen hebben altijd wel een paar uur of zelfs dagen speling, dus neem die tijd om onderzoek te doen.

  2. Onverwachte mail. Vaak weet je welke mails je van instanties en bedrijven kunt verwachten. Als post.nl een mail stuurt dat je pakketje klaar ligt maar je zelf geen pakketje hebt besteld, dan is het waarschijnlijk phishing.

  3. Controleer de afzender. Bij een e-mail kun je met de muis over de afzender gaan en zie je van welk e-mailadres het bericht afkomstig is. Check bij whatsapp of er sprake is van een veranderd nummer.

  4. Controleer de link. Ook met een link in een e-mail kun je met de muis over de link gaan (zonder te klikken) en rechtsonder zien naar welke website dit leidt.

  5. Controleer de bijlage. Bestanden die eindigen met .exe of .zip of een ander ongewoon bestandstype is vaak niet te vertrouwen. Zelfs .pdf kan gevaarlijk zijn.

  6. Let op het taalgebruik. In officiële mails horen geen taalfouten te staan en indien de fraudeur zich voordoet als een bekende, dan kan de schrijfstijl afwijken.

  7. Stel een persoonlijke vraag. Het kan handig zijn om te achterhalen of die persoon de echte is door een vraag te stellen die alleen zij weten. Dit moet nooit eerder in een online gesprek zijn besproken, anders kan de fraudeur dat nog achterhalen.

  8. Bel op. Bel de bekende op die in geldproblemen zit, of bel het bedrijf op dat met spoed een openstaande rekening van jou zou hebben staan. Dit is waarschijnlijk de meest effectieve manier om mensen alert te maken over de fraude.

  9. Have I been pwned? Op deze website kun je zien of jouw e-mail adres samen met andere gegevens gelekt zijn, en door welke websites. Als je gebruiker bent van de in de inleiding genoemde VPN diensten, kun je ook zien of jouw gegevens gelekt zijn. Met deze kennis kun je extra alert zijn op cyberaanvallen.


Zodra je weet dat je account van bepaalde websites is overgenomen, kun je die terugnemen door het wachtwoord te veranderen. Als dit niet lukt, bel dan de bedrijven om je account te blokkeren. Als je bankgegevens zijn gestolen is het belangrijk om direct je bankrekeningen te blokkeren. Indien je toch bent opgelicht is het mogelijk om aangifte te doen bij de politie.