Er zijn voorbeelden bekend van mensen die jarenlang achtervolgd werden door Justitie en Politie, nadat iemand met hun identiteit ernstige misdrijven had gepleegd. Met slechts enkele gegevens kan al een woning worden gehuurd om een wietplantage te beginnen, waarschuwt onderzoeksjournalist Maria Genova.

Maria Genova behoort tot de weinigen die in begrijpelijke taal kan uitleggen wat de dagelijkse risico’s van cybercrime zijn. Dat doet zij dan ook meerdere keren per week op tal van congressen. Ook schreef zij de bestseller ‘Komt een vrouw bij de h@cker’. “Is het moeilijk of makkelijk om iemands volledige identiteit te stelen”, vroeg zij afgelopen week aan de deelnemers van het congres Identity & Access Management 2019. Het in security gespecialiseerde publiek wist het wel, maar algemeen bekend is het volgens Genova zeker niet.

Schrikbarende voorbeelden
Een paar jaar geleden vroeg de schrijfster zich af waarom zoveel bedrijven en organisaties makkelijk te hacken zijn. Zij ging daarop awareness-trainingen geven en sprak bijna dagelijks op seminars en congressen. “Je ziet schrikbarende voorbeelden van wat er allemaal gebeurt en hoe naïef organisaties met onze gegevens omgaan, zoals een instelling voor jeugdzorg, waarvan de dossiers van misbruikte kinderen op straat kwamen te liggen. Elke dag lees je wel weer over een nieuw datalek. Vervolgens worden die gestolen gegevens steeds verder doorverkocht en komen de slachtoffers steeds ernstiger in de problemen. Probeer maar te bewijzen dat jij het niet hebt gedaan als de politie je komt halen!” Genova adviseerde met klem om geen onnodige gegevens te verstrekken aan derden. “Waarom zou de organisator van een concert jouw geboortedatum moeten weten? Weet je hoe vaak een geboortedatum als verificatie wordt gevraagd? Voor criminelen is het zeer waardevolle informatie.”

Makkelijk fraude plegen
Tijdens een awareness-sessie bij een woningcorporatie bleek hoe makkelijk fraude gepleegd kan worden met alleen een naam en een geboortedatum. “Je belt en zegt dat je je huurcontract nodig hebt, maar dat je dat nergens kan vinden. Ter verificatie vragen ze je geboortedatum en vervolgens sturen ze je het per mail, in de helft van de gevallen compleet met een kopie van je paspoort. Dat lukt dus ook als je je voordoet als iemand anders. Met een huurcontract kan je al makkelijk fraude plegen, maar met een kopie van het paspoort ben je helemaal spekkoper. Want wat kan je met een kopie van het paspoort? Je kan er een lening mee afsluiten, woningen huren, telefoonabonnementen afsluiten en ga zo maar door! Iemand werd jarenlang vervolgd door politie en justitie nadat in een op zijn naam gehuurde woning een wietplantage was aangetroffen. Hij verloor zijn baan, kon niet meer aan nieuw werk komen en moest jaren strijden om van het vinkje achter zijn naam af te komen.”

Onveilig gedrag
Veel organisaties willen zoveel mogelijk weten over hun klanten, stelt Genova vast. “Privacy is mooi, maar zolang klanten er niet om vragen houden we daar geen rekening mee. Informatie wordt vaak ook veel te lang bewaard. De problemen die dat veroorzaakt, komen ook pas aan het licht als er een datalek is geconstateerd.” En zo’n datalek ontstaat makkelijk, waarschuwt de schrijfster. “De meeste mensen weten niet hoe zij een phishing-mail kunnen herkennen. Zij ontvangen een mail van een bekende organisatie, maar vragen zich niet af of die mail werkelijk daar vandaan komt.” Zij toonde drie e-mail-adressen die van ING afkomstig leken. “Welke van de drie is echt?” Ruim een derde van de cybersecurity-specialisten had het fout! “Ook zie ik dat nog veel te vaak makkelijk te raden wachtwoorden worden gebruikt. Vooral als je die elke maand moet veranderen. Dan is het in januari ‘wachtwoord01’ en dan mag u raden wat het in februari wordt! Het is echt heel moeilijk om het mensen onmogelijk te maken zich onveilig te gedragen.”

Faillissement
Volgens Genova waren vorig jaar 3,4 miljoen Nederlanders het slachtoffer van cybercrime, waarvan alleen al een half miljoen via Marktplaats. “Ook ransomware maakt veel slachtoffers. Hoeveel weten we niet, want wie betaalt, maakt dat meestal niet bekend. We weten wel dat ransomware kan gedijen, omdat vooral het MKB niet weet hoe zij goede back-ups moet maken. Cybercrime kan tot een faillissement leiden als de hele administratie verloren gaat.”
De spreekster noemde nog een groot aantal andere feiten. “Elke maand laten de grote banken zo’n 500 nepwebsites offline halen. Laat je niet misleiden door een groen slotje bij het website-adres. Dat betekent soms alleen dat je veilig verbonden bent met criminelen! De afgelopen twee jaar was de schade door internetfraude 5 miljard euro. Kijk dus heel goed uit met het verstrekken van identiteitsgegevens. Bijvoorbeeld aan een sportschool, want die zijn vaak niet goed beveiligd tegen hackers. Of aan een fietsenverhuurder op de Veluwe, die de kopie van jouw paspoort in een map bewaart die hij onbeheerd op de balie laat liggen.”

Gevaarlijke apps
De zorgsector doet volgens Genova het vaakst melding van datalekken bij de Autoriteit Persoonsgegevens. En de meeste datalekken ontstaan, doordat mensen per ongeluk een e-mail met persoonsgegevens naar een verkeerde sturen. Ook gebeurt het vaak dat stagiaires en inleenkrachten volledige toegang tot alle data krijgen, terwijl zij daar niet voor gescreend zijn. “In Utrecht kon een stagiair zes paspoorten verstrekken aan mensen die daar geen recht op hadden.” Zij waarschuwde ook voor ‘gratis’ apps. “De dertig bekendste gratis apps in de Apple Store en Google Play geven zo’n 350.000 per dag informatie door aan adverteerders! Vorig jaar verwijderde Google 700.000 apps uit de Play Store nadat gebleken was dat deze de regels overtraden. Door een spelletje te downloaden, kan je de wachtwoorden van je werk kwijtraken!