Identiteitsfraude

  • Rene Geenen
  • maandag 1 maart 2021 om 18:04

Zomaar aanmaningen en brieven van incassobureaus over onbetaalde rekeningen waar je zelf niets van weet? Of ineens de politie aan de deur omdat je wat illegaals hebt gedaan op het internet?
Het lijkt iets uit een nachtmerrie of iets wat je alleen in het nieuws leest, maar het gebeurt steeds vaker en kan voor iedereen ineens de werkelijkheid zijn…. identiteitsfraude.

Op de voorpagina van AD.nl  wordt vanochtend dan ook geopend met een artikel over persoonsgegevens:  “De Autoriteit Persoonsgegevens (AP) ziet een explosieve toename van het aantal hacks, gericht op het buitmaken van persoonsgegevens. Het aantal meldingen steeg in 2020 met 30 procent ten opzichte van een jaar eerder.”

gestolen identiteit op dobbelstenen geschreven

Het lekken van persoonsgegevens leidt niet alleen privé tot problemen, maar ook zakelijk is deze vorm van fraude een bedreiging. Want wat als de CFO of een van de eigenaren correct kan worden geïmiteerd, waardoor transacties worden overgemaakt naar frauduleuze rekeningnummers?

Aan de basis van succesvolle identiteitsfraude staat altijd een datalek. Daarbij lekken gegevens uit die eigenlijk privé zouden moeten zijn, denk aan NAW gegevens, rekeningnummers maar ook gebruikersnamen en wachtwoorden. Lekken kunnen plaatsvinden op grote schaal bij bekende platformen, instanties en bedrijven zoals we recent steeds meer in het nieuws zien. Een paar uur na het eerder genoemde bericht volgt alweer een nieuw voorbeeld:  “Datalek bij Diergaarde Blijdorp en Apenheul: gegevens en rekeningnummers van bezoekers op straat”

Op slechte beveiliging van jouw personalia door derden kan je als individu vrijwel geen invloed uitoefenen. Maar naast het buitmaken van personalia kunnen er bij een datalek ook gebruikersnamen en wachtwoorden uitlekken. Wanneer jouw gebruikersnaam en wachtwoord uitlekken van een account dat je gebruikt op een forum over je favoriete pony, zal je jezelf daar in eerste instantie wellicht geen zorgen over maken.

Maar na het buitmaken van deze gegevens hergebruiken hackers deze middels een methode genaamd “credential stuffing”. Dat is een type cyberaanval waarbij enorme lijsten met eerder buitgemaakte gebruikersnamen en bijbehorende wachtwoorden worden uitgeprobeerd op verschillende websites en online diensten.

Het kan dus zo zijn dat dit (ogenschijnlijk onschuldige) lek toegang verschaft tot een webwinkel waarbij je regelmatig shopt en je je creditcard gegevens hebt opgeslagen. Of een website waar je een betalende gebruiker bent, waardoor bij je profiel het gebruikte rekeningnummer in te zien is. Zo wordt het voor criminelen eenvoudiger om bijvoorbeeld via AfterPay bestellingen te plaatsen uit jouw naam en deze op een afhaalpunt te laten bezorgen.

Deze kruisbesmetting (van een onschuldig lek, naar een lek met serieuze consequenties) kan je als gebruiker in veel gevallen voorkomen, door voor ieder account een uniek wachtwoord aan te maken. Dat isoleert incidenten beter. Want, is één instantie gehackt, dan liggen je overige wachtwoorden niet op straat. Ook is tweestapsverificatie een belangrijk wapen. Want ligt je wachtwoord op straat? Dan kan daar niets mee worden gedaan zonder dat een hacker de beschikking heeft over de tweede factor (bijvoorbeeld je telefoon). Zet deze optie dus aan waar mogelijk, lees ook nog eens onze post inzake wachtwoorden.

Daarnaast zijn er de kleinschalige vormen van “datalekken” waarvan je je vaak niet bewust bent. Deze lekken hebben een directe link met jouw informatie hygiëne. Denk daarbij niet alleen aan de digitale hygiëne zoals het gebruik van unieke wachtwoorden en bewustzijn over wat je allemaal online plaatst (op bijvoorbeeld social media), maar ook fysieke data hygiëne. Want:

  • Verwijder je data volgens geldende richtlijnen vanuit de branche en/of overheid?
  • Zorg jij ervoor dat data zoals rekeningnummers, adresgegevens en/of personalia door een shredder gaan en op de juiste manier worden afgevoerd of zet je ze zomaar bij het oud papier?
  • Wat doe je met draagbare media zoals USB sticks, berg je deze netjes op achter slot en grendel of laat je ze op je bureau of in de auto liggen?

Concrete voorbeelden van zaken die de kans op identiteitsfraude vergroten zijn bijvoorbeeld brieven van de belastingdienst die bij het oud-papier belanden (hierop staat vaak je BSN vermeld). Of kopieën van je identiteitskaart of paspoort die als bijlage in je mailbox rondslingeren. Zo’n bijlage geeft de aanvaller vaak alle informatie die nodig is om in jouw naam contracten af te sluiten. Ook met een 06 nummer, een rekeningnummer en adresgegevens komt een fraudeur al heel ver. Let dus op met wat je waar achterlaat, zowel zakelijk als privé.

Ga er als organisatie vanuit dat een identiteit kan worden gestolen en zorg ervoor dat er in de procuratie rekening wordt gehouden met vormen van social engineering en identiteitsfraude (denk daarbij o.a. aan het invoeren van een 4-ogen beleid). Heeft u daarnaast als werkgever al richtlijnen of beleid voor uw collega’s inzake digitale en fysieke informatie hygiëne? Zijn medewerkers bewust en getraind op het gebied van digitale dreigingen en heeft u al nagedacht over hoe u o.a. procuratie procedures kunt afstemmen op hedendaagse dreigingen?

We denken graag met u mee over hoe we uw organisatie kunnen beschermen.

StackSecure maakt gebruik van cookies.

Voor het correct functioneren, optimaliseren van deze website en t.b.v. commerciële doeleinden maakt StackSecure gebruik van cookies. Meer hierover kunt u lezen in ons privacy statement