Het is oorlog maar niemand die het ziet. Dat is de titel van het boek van onderzoeksjournalist Huib Modderkolk over de schaduwkanten van het internet en voortschrijdende digitalisering. Het boek geeft een inkijk in operaties van veiligheidsdiensten, die veelal via digitale kwetsbaarheden infiltreren in netwerken van overheden en bedrijven. De verhalen zijn spannend en toegankelijk beschreven. Vertellingen over hackers en cybercriminelen geven internetcriminaliteit een gezicht.
Ik werd geraakt door het verhaal van hacker Edwin Robbe uit Rotterdam. Als zeventienjarige lukt het Edwin om diep door te dringen in het netwerk van KPN. Hij pronkt daarmee in hackerskringen en loopt uiteindelijk tegen de lamp. De politie komt hem op het spoor en betrapt Edwin op heterdaad achter zijn computer. De ouders zijn tot dan toe nog onwetend van de werkelijke computeractiviteiten van hun zoon en worden volledig verrast door zijn arrestatie in hun huis. ‘Waar de computer voor zijn ouders puur een gebruiksartikel is, is het voor Edwin de toegangspoort naar avontuur, begrip en vooral erkenning’, schrijft Modderkolk. Voor ouders van computerverslaafde jeugd is het verhaal van de jonge hacker een waarschuwing.
Edwin Robbe had geen kwade bedoelingen en betaalde toch een hoge prijs voor zijn avontuur in de digitale wereld. Echte cybercriminelen opereren vanuit het buitenland en zijn ongrijpbaar. Afgelopen jaar wisten ze toe te slaan bij een toenemend aantal bedrijven en overheidsinstellingen. Door het massale thuiswerken verschoof de aandacht van cybercriminelen naar thuiswerkomgevingen. Via phishingmails of door gebruik te maken van kwetsbaarheden in de IT-systemen proberen ze de inloggegevens van medewerkers te stelen om zichzelf toegang tot het bedrijfsnetwerk te verschaffen. Daarna zetten ze gijzelsoftware in die bestanden en systemen versleutelt en beloven deze vrij te geven als het slachtoffer een bedrag overmaakt.
Organisaties moeten hun medewerkers digitaal weerbaar maken. Door het testen van klikgedrag en training worden medewerkers geleerd de gevaren via mail en sociale media te herkennen. Regelmatig ontvang ik gesimuleerde phishingmail in mijn mailbox. Die moet ik vervolgens rapporteren als phishingmail, waarna ik een berichtje ontvang met een bedankje voor mijn alertheid. Meestal zie je alleen aan het emailadres al dat het bericht niet deugt, maar toch ging ik laatst in de fout. Ik wilde me aanmelden voor een Zoom-vergadering. Normaal ontvang ik direct daarna een bevestiging per mail dat ik ben toegelaten. Dit keer lukt het aanmelden niet, maar ik ontving wel een mail met de ‘correcte’ link. Ik klikte daarop en bleek gezakt voor de phishingtest. Binnen een week moest ik een training inhalen over spearphishing. Dit is een aanval gericht op een persoon, waarbij gebruik wordt gemaakt van gerichte en persoonlijke informatie. Spearphishing is veel effectiever is dan een grootschalige phishingaanval. Naar schatting openen slachtoffers 30 procent van de spearphishingmails, vergeleken met minder dan 3 procent van de gebruikelijke phishingmails.
Cybercriminelen gaan steeds gerichter te werk. Zij onderzoeken hun doelwit en sturen dan bijvoorbeeld namens een collega een mail met een kwaadaardige link of bestand. In toenemende mate worden we niet direct door cybercriminelen geraakt, maar via onze leveranciers. Afgelopen zomer ging de Garmin-dienst Connect meerdere dagen offline, als gevolg van serveronderhoud volgens de sporthorlogemaker. Later werd bekend dat het bedrijf was getroffen door een digitale gijzeling en 10 miljoen dollar had betaald om de gijzeling te beëindigen. Het is niet duidelijk of cybercriminelen daarbij ook gebruikersgegevens hebben gestolen. Via website haveibeenpwned kun je eenvoudig controleren of jouw gegevens zijn gelekt. Het gaat daarbij bijvoorbeeld om datalekken bij Adobe (153 miljoen accountgegevens) in oktober 2013, LinkedIn (164 miljoen e-mailadressen en wachtwoorden) in mei 2016 en MyFitnessPal (144 miljoen e-mailadressen en wachtwoorden) in februari 2018. Het is dus essentieel om voor iedere onlinedienst een uniek en sterk wachtwoord te gebruiken.
‘In 2018 werden volgens beveiligingsbedrijf Symantec 3,3 miljoen Nederlanders slachtoffer van cybercriminaliteit. De zwakke plekken waar criminelen toeslaan, ontstaan vaak door gemakzucht.’ concludeert Modderkolk in zijn boek.
Jan Willem Boissevain 