Column

Maria Genova

is onderzoeksjournalist, auteur van Komt een vrouw bij de h@cker en een veelgevraagde spreker op het gebied van privacy, identiteitsfraude en informatiebeveiliging.
Meer info op: www.mariagenova.nl

Identiteitsfraude is een van de snelst groeiende vormen van criminaliteit. Steeds meer bedrijven slaan steeds meer persoonlijke gegevens van ons op. Deze belanden vervolgens op een vrij simpele manier op straat. De ene keer komt dat door een medewerker die op een phishinglink heeft geklikt, de andere keer door een manager van wie het zakelijke mobieltje is gestolen (en die 0000 een handige pincode vond).
Toen ik met het schrijven van Komt een vrouw bij de h@cker begon, verbaasde ik mij hoe gemakkelijk het is om identiteitsfraude te plegen. Ik sprak met slachtoffers. Een vrouw moest leningen terugbetalen die ze niet had afgesloten. Een brave ambtenaar kreeg enorme problemen met politie en justitie. Iemand had met een kopie van zijn paspoort en een nagemaakte handtekening huurhuizen op zijn naam gezet, waar de politie wiet-plantages had ontdekt.
Het is merkwaardig hoe naïef medewerkers kunnen zijn die al jaren met technologie werken. Niemand heeft ze op een simpele manier uitgelegd wat de digitale gevaren inhouden en wat je ertegen kunt doen. Zo’n beetje alle vragen die ik ze tijdens mijn lezingen stel, vinden ze te moeilijk. Een grote meerderheid gebruikt hetzelfde wachtwoord voor meerdere websites. Ze doen weinig moeite om op het werk een goed wachtwoord te verzinnen. Zeker als dat niet technisch wordt afgedwongen. Voor het beveiligen van zakelijke mobieltjes gebruiken ze de meest simpele pincodes. Als ze een e-mail ontvangen dat er een nieuw ICT-systeem wordt geïmplementeerd en dat ze hun oude e-mails alleen kunnen bewaren door op een bepaald scherm in te loggen, dan doet een meerderheid dat. Ze hebben niet eens door dat de afzender niet de ICT-
afdeling was maar een hacker.

Het is merkwaardig hoe naïef medewerkers kunnen zijn die al jaren met technologie werken.

Daarom is awareness zo belangrijk; de volgende keer kijken ze wel naar de afzender voordat ze hun inloggegevens invoeren. Dan weten ze ook dat ICT-afdeling@nieuwictsysteem.nl geen betrouwbare afzender is, ook al lijkt het iets met het nieuwe ICT-systeem te maken te hebben. Ik laat ze zien hoe ik hun computer kan hacken als ik hun hobby of geboortedatum weet.
Wat ik met die geboortedatum kan? De meeste bedrijven gebruiken die ter verificatie als je ze belt. Met naam, adres (meestal simpel te googelen) en geboortedatum ben ik bijvoorbeeld Mieke Janssen geworden. Ik bel de woningcorporatie namens haar en vraag of ik mijn nieuwe mailadres mag doorgeven. Ze zijn meestal blij dat Mieke Janssen de moeite heeft genomen om hun systeem up-to-date te houden. Ze noteren het nieuwe mailadres. Enkele dagen later vraagt Mieke Janssen of ze haar met spoed een kopie van haar huurcontract kunnen mailen, want ze is haar contract kwijt en ze heeft de volgende dag een afspraak met de Belastingdienst. Op zo’n contract kun je een compleet setje gegevens vinden die je voor identiteitsfraude nodig hebt. Of dat werkt? Helaas wel. Ik heb dat bij diverse organisaties getest. Overal kon ik probleemloos de identiteit van Mieke Janssen overnemen.
Als mensen van mijn verhalen ‘gezond paranoia’ worden, is mijn doel bereikt. Ze gaan zich de volgende keer wel drie keer bedenken voordat ze op een phishinglink klikken of persoonlijke gegevens even snel doormailen. De cybercriminelen zijn niet zo succesvol omdat ze zo goed zijn, maar omdat we het ze zo gemakkelijk maken.

Foto: Michel Campfens

Arrow-prev Arrow-next