Het aantal geslaagde aanvallen met gijzelsoftware in Nederland bedroeg vorig jaar ten minste 178. Dat blijkt uit gegevens van de Autoriteit Persoonsgegevens (AP). Bij die aanvallen zijn van vele miljoenen Nederlanders de persoonsgegevens gestolen.
„Dit is enorm problematisch voor Nederland”, zegt Dennis Davrados, coördinator datalekken van de AP. Hij is samen met senior inspecteur Anne Bergen in de meldingen over 2023 gedoken. Dat was een puzzel, omdat één geslaagde aanval met gijzelsoftware in de regel tot meerdere meldingen bij de AP leidt.
Doordat melden bij de AP verplicht is – en aangifte bij de politie niet – kent de AP enkele tientallen gevallen meer dan er tot nu toe bekend waren bij politie en Openbaar Ministerie. Van de 178 aanvallen vond een kwart plaats bij multinationals. Het werkt zo: een crimineel koopt op een online marktplaats gijzelsoftware en een door een hacker gevonden beveiligingslek.
De crimineel dringt daarmee dat bedrijf binnen en kopieert een deel van de daar opgeslagen data en versleutelt de data van het bedrijf. Vervolgens krijgt het bedrijf een afpersbericht: betaal, dan krijg je de sleutel om weer bij de gegevens te kunnen. Omdat het in de regel gaat om gegevens van personeel of klanten, worden via het bedrijf ook andere organisaties getroffen.
Een voorbeeld van zo’n aanval in 2023 was bij marktonderzoekbureau Blauw, dat slachtoffer werd nadat softwareleverancier Nebu was gehackt. Blauw deed peilingen voor onder meer de Nederlandse Spoorwegen en (toen nog) VodafoneZiggo. Het had daardoor de beschikking over contactgegevens van miljoenen Nederlanders.
„Het is tegenwoordig bijna altijd dubbele afpersing”, vertelt Bergen. „Niet alleen data versleutelen, maar ook afpersing met de gestolen gegevens.” Bergen en Davrados bekeken onder meer forensische rapporten en de analyses die de beveiligingsbedrijven na aanvallen maakten.
In sommige gevallen konden ze zelfs de onderhandelingen (via chat) met de gijzelnemers inzien. De meeste slachtoffers betalen uiteindelijk geen losgeld, is de indruk van de onderzoekers. Zeker weten doen ze dat niet, want de helft van de getroffenen werkte niet mee aan nader onderzoek.
Van de negentig die wel inzicht gaven, betaalde zo’n 9 procent wel. Bergen: „Ons advies is altijd om het niet te doen. Want je houdt het verdienmodel van de criminelen in stand.
” Ze schrokken van het lage niveau van beveiliging bij de getroffen organisaties. Twee derde van de getroffenen had de „basisbeveiliging niet op orde.” Ze gebruikten geen tweetrapsverificatie (een extra controle bij inloggen) en hadden bijvoorbeeld gemakkelijk te raden wachtwoorden, die ook nog voor meer accounts werden gebruikt.
Ook werden upgrades niet op tijd uitgevoerd. „Dat is een soort uithangbord: kom maar binnen, hier is de ingang”, omschrijft Bergen. In meer dan de helft van de geslaagde aanvallen met gijzelsoftware zijn kopieën van paspoorten of ID-kaarten buitgemaakt.
In meer dan een derde ook bankrekeningnummers. Minder vaak, maar nog steeds honderdduizenden keren per jaar lekken medische gegevens, informatie over schulden en uitkeringen, etniciteit, seksuele geaardheid en religie. Criminelen verhandelen die onderling en gebruiken de data om mensen geraffineerd op te lichten.
Dat kan met door kunstmatige intelligentie geschreven appjes. Of met ouderwets mensenwerk. Davrados geeft een voorbeeld waarbij een zorginstelling is gehackt, die contactgegevens van veel kwetsbare ouderen heeft.
Die data zijn vervolgens verkocht: „Een crimineel belt en zegt: ‘Wij zijn van de politie. In uw buurt zijn veel diefstallen. Verzamel uw spullen, dan komt over een half uur iemand van de politie langs om die voor u in bewaring te nemen’.
” U raadt de afloop. Doordat de criminelen veel over die mensen weten, lukt het gemakkelijker hun vertrouwen te winnen. Het is moeilijk te zeggen of de ransomwareaanvallen in Nederland een groter probleem zijn dan in andere landen, zegt Richard van Schaik.
Hij is privacyadvocaat bij advocatenkantoor DLA Piper, dat jaarlijks een internationale vergelijking publiceert van het aantal gemelde datalekken en van de boetes die toezichthouders uitdelen voor verkeerde omgang met persoonsgegevens. In Nederland zijn bedrijven relatief goed ‘opgevoed’, zegt hij. Ze melden een datalek of succesvolle hack netjes.
Daardoor voert Nederland vaak de lijstjes met aantallen datalekken aan. Van Schaik weet van bedrijven die klant bij hem zijn dat cyberaanvallen een groeiende zorg zijn. „Door de omvang en door hoe geraffineerd ze zijn geworden.
” Vroeger had je huis-tuin-en-keukeninbraken. Nu merkt hij dat dit zich volledig heeft verplaatst naar de digitale wereld. Dat is met name voor criminelen een stuk prettiger.
„Lekker vanuit hun leunstoel.”.
Bedrijf
Autoriteit Persoonsgegevens: vorig jaar zeker 178 geslaagde aanvallen met gijzelsoftware
Terwijl cybercriminelen steeds geraffineerder worden, ziet de Autoriteit Persoonsgegevens dat veel getroffen bedrijven „hun basisbeveiliging niet op orde hebben”.