Slachtoffers van cybercrime: ‘In een paar uur tijd was al mijn spaargeld weg, en volgens de bank was het mijn eigen schuld’

Dat cybercriminaliteit flink in de lift zit, blijkt uit cijfers van de Veiligheidsmonitor van de federale politie. Vergeleken met 2017 kende cybercrime in 2018 een stijging van zo’n 40 procent. Slechts een klein deel van de slachtoffers doet aangifte, maar de politie schat hun aantal op ongeveer 49.000 per jaar. Dat zijn er 135 per dag, of één om de tien minuten.

Eén van hen is Lisa, die op WhatsApp volgend bericht kreeg toegestuurd kort nadat ze een oude laserprinter te koop had aangeboden op 2dehands.be:‘Goedendag ik heb u nummer van 2e hands ik bericht u inverband met de printer die u aanbied heeft u die nog? Mvg’ Naast het Nederlandse telefoonnummer prijkt een foto van de geïnteresseerde koper: het gaat om een koppel – hij een grijsaard, zij wat jonger en zongebruind – dat breed glimlachend in de lens kijkt. Behalve wat flagrante taalfouten en een schrijnend gebrek aan leestekens valt hun op dat moment nog niets te verwijten.

Lisa: “Het was zomervakantie en ik wilde het huis opruimen. Die printer stond al jaren stof te vergaren. Ik had vroeger al wat spullen verkocht op 2dehands.be en dat was altijd vlot gegaan. Ook bij de berichten van deze kandidaat-koper stelde ik me geen vragen. Hij zei dat hij uit Nederland kwam – dat verklaarde het Nederlandse telefoonnummer – maar nu in Antwerpen woonde. De 25 euro die ik voor de printer wilde vond hij prima, maar hij vroeg wel of ik hem kon opsturen naar Antwerpen.

“De koper sms’te me zijn adres in Antwerpen. Hij zou het geld meteen op mijn rekening storten, alleen wilde hij graag nog even een bewijs dat het echt wel om mijn rekening ging. Nu denk ik: ‘Dat was verdorie omgekeerde psychologie!’ Híj was de oplichter, maar ík moest bewijzen dat ik geen bedrieger was.

“De koper zou me een betaalverzoek voor 0,01 eurocent sturen via Pengo. Dat bleek een chatbot te zijn waarmee je betalingen kunt doen via sociale media. Na mijn storting zou hij het bedrag voor de printer en de verzendkosten op mijn rekening overmaken. De link die hij me doorstuurde, kreeg ik eerst niet open. ‘Niet erg,’ sms’te hij, ‘ik stuur ’m nog eens.’ Toen lukte het wel. Ik kwam op een pagina terecht die er krek hetzelfde uitzag als de pagina die ik gebruik om online te bankieren. Alles zag er perfect normaal uit: ik kon de 0,01 eurocent storten.

“Twee dagen later checkte ik mijn rekeningen. Ik was stomverbaasd: er was bijna 1.500 euro verdwenen. Mijn eerste reactie was: ‘O nee, mijn man is weer zijn bankkaart kwijt!’ (lachje) Toen viel mijn frank: ‘Dit is mijn fout.’ Ik heb meteen Cardstop gebeld, maar het was te laat: ik zag op mijn afschriften dat iemand de dag voordien een nieuwe Apple-computer had gekocht in een Antwerpse MediaMarkt. Met míjn geld.

“Ik heb contact opgenomen met de politie en MediaMarkt. Ik hoopte dat ze de dieven zouden kunnen traceren via de camerabeelden in de winkel of via het serienummer van die computer. Ze hebben me alleen het kassaticket van de aankoop doorgestuurd, verder reikte het spoor naar de dader niet.”

Heeft u ook contact opgenomen met uw bank?

Lisa: “Ja, maar hun reactie valt eenvoudig samen te vatten: ‘Jammer, hè.’ Met een Visakaart was het niet zo’n probleem geweest, zeiden ze. Maar aan fraude met een gewone bankkaart, waarbij je dan ook nog eens zelf je code weggeeft, valt niets te doen. Op die nagemaakte Pengo-pagina had ik de oplichters, zonder het te beseffen, al mijn codes doorgespeeld. Zo hadden ze vrij spel. Achteraf zag ik dat ze eerst nog geld hadden overgezet van de spaarrekening van mijn dochter naar mijn zichtrekening, zodat er voldoende centen op zouden staan voor hun rondje shoppen.

“Toen ik aangifte ging doen bij de politie, bleek meteen dat ik er niet veel van moest verwachten. ‘Voor zo’n klein bedrag zou ik er mijn tijd en moeite niet in steken’, klonk het. Zo klein vond ik dat bedrag helemaal niet.”

Naar uw geld kunt u dus fluiten?

Lisa: “Toevallig kreeg ik vandaag een brief van het Openbaar Ministerie, waarin ze laten weten dat de dader van de oplichting niet kon worden geïdentificeerd. Ze hebben mijn dossier afgesloten.

“Ik dacht altijd dat ik vrij alert was. De code van mijn bankkaart aan een onbekende geven zou ik nooit doen. Maar ik ging er altijd van uit dat transacties met zo’n kaartlezer van de bank veilig waren. Kennelijk is dat een vals gevoel van veiligheid. Nu word ik al achterdochtig wanneer iemand me mijn rekeningnummer vraagt. Ik voel me nog altijd heel erg dom. Daarom vertel ik mijn verhaal aan iedereen die ik ken. Ik wil mensen waarschuwen: maak niet dezelfde stomme fout.”

En uw printer?

Lisa: “Die staat hier nog steeds. (lacht) Ik waag me niet meer op 2dehands.be, ook al ben ik helemaal gewonnen voor het idee van het recycleren van oude spullen. Misschien probeer ik het ooit nog wel eens, maar dan zullen ze hun spullen zelf mogen komen ophalen. Of misschien moet ik het eens proberen op een ouderwetse rommelmarkt.”

Darkweb

De vorm van cybercriminaliteit waarmee gewone gebruikers, net als Lisa, nog altijd het meest te maken krijgen, is phishing, weet Bart Preneel, professor en hoofd van de afdeling Computerbeveiliging en Industriële Cryptografie aan de KU Leuven.

Hoe gaat phishing doorgaans in zijn werk?

Preneel: “Je krijgt een mail met de melding dat er een probleem is met je bankrekening, of dat je dringend een betaling moet doen. Als je op de link in zo’n mail klikt, word je omgeleid naar een nepwebsite, waar men je inloggegevens probeert te bemachtigen. Als dat lukt, plunderen ze je bankrekening. Het geld wordt meestal zo snel mogelijk doorgesluisd naar landen als Rusland, waaruit het heel moeilijk te recupereren is.

“Omdat jongeren veel minder gebruikmaken van e-mail, verschuift phishing naar sociale media. Hackers sturen vandaag de dag vooral berichten via sms, WhatsApp of Facebook Messenger.”

Hoe kun je je het best wapenen tegen phishing?

Preneel: “Wees altijd voorzichtig met financiële transacties en kijk goed uit aan wie je betaalt. Het is niet zo’n goed idee om zomaar over te gaan tot betaling als je een mail ontvangt. Maar de wereld wordt nu eenmaal steeds digitaler en meer en meer facturen komen via digitale weg binnen. Dat opent deuren voor dit soort criminaliteit.”

Volgens de politie is phishing veel gesofisticeerder geworden. De tijd dat zulke mails vol flagrante taalfouten stonden, en op die manier makkelijk te herkennen waren, is voorbij.

Preneel: “In de klassieke misdaad had je mensen die op de uitkijk stonden terwijl kompanen gestolen goederen heelden. Zo werkt het ook online: je hebt aan de ene kant lui die kwaadaardige toepassingen ontwikkelen en aan de andere kant criminelen die ze gebruiken. De mensen die phishingmails schrijven, worden steeds beter. Op het darkweb (de duistere uithoeken van het internet die voor zoekmachines onbereikbaar zijn, red.) is er een uitgebreide zwarte markt waarop zulke mensen hun diensten aanbieden.”

Wat moet je doen als je slachtoffer bent geworden?

Preneel: “Naar je bank bellen en hopen dat ze de cybercriminelen nog kunnen tegenhouden. Of vragen dat ze je vergoeden.

“Als je bezorgd bent dat er nog andere malware op je computer is achtergebleven – een toepassing die persoonlijke gegevens doorsluist naar hackers – kun je beter alles herinstalleren en al je wachtwoorden wijzigen.”

Hollanderhaat

Vandaag vereenzelvig je hem met Brussel, maar schrijver en komiek Joost Vandecasteele groeide op in Zwevegem, een rustige, landelijke gemeente. In een van de rustige, landelijke straten aldaar ligt een bankfiliaal van BNP Paribas. “Mijn hele leven was ik er klant – ik heb er als kind ooit een sporttas gekregen. Maar nu ben ik geen klant meer”, foetert hij.

Wat is er gebeurd?

Vandecasteele: “De bank had besloten dat mijn vader een volmacht moest hebben over mijn rekening. Ook al was ik al ver voorbij de dertig. De bank dacht: ‘Die jongen in het verre Brussel moeten we beschermen tegen zichzelf.’ Ik was in die tijd veel aan het gokken, dus helemaal ongelijk hadden ze niet, maar toch had ik liever op voorhand geweten dat ze mijn vader toegang hadden gegeven tot mijn rekeningen.

“Dan gebeurt het: mijn vader wordt opgebeld door een vrouw met een Hollands accent. Ze beweert van BNP Paribas te zijn: ‘Meneer Vandecasteele, we hebben ontdekt dat er een probleem is met uw bankkaart. Zou u me even wat codes kunnen geven?’ Mijn goedgelovige vader neemt zijn kaartlezer van de bank en geeft codes door aan de vrouw. Na dat gesprek begint hem toch iets te dagen, dus beslist hij even langs te lopen bij de bank, die om de hoek ligt. (nadrukkelijk) Om de hoek! Hij stapt binnen: ‘Wat was er nu eigenlijk mis met mijn kaart?’ De bankbediende komt uit de lucht vallen. Hij opent mijn vaders rekening op zijn computer en ziet dat er op dat moment een poging wordt gedaan om duizenden euro’s af te halen. ‘Hou dat tegen!’, roept mijn vader. Ze blokkeren de rekening en mijn vader haalt opgelucht adem. Alleen zijn rabiate haat voor Hollanders is verstevigd door het voorval.

“Maar nu komt het: omdat mijn vader ook toegang had tot mijn rekening, konden de criminelen ongemerkt hun gang gaan met mijn centen. Pas wanneer mijn vader een paar uur later zijn rekening nog eens checkt, ziet hij dat mijn rekening op nul staat. (verheft zijn stem) Op nul! Alleen op mijn spaarrekening rest er nog een schamele 1.000 euro. In een paar uur tijd is er 10.000 euro, in verschillende fases, van mijn zichtrekening gehaald. Meer nog: het geld is nog diezelfde dag cash opgehaald in het filiaal op het De Brouckèreplein, mijn filiaal in Brussel. Begrijpe wie kan: de oplichters konden in één dag met duizenden euro’s aan de haal, terwijl ík nog niet eens 500 euro per dag kan afhalen aan een bankautomaat. Mijn moeder belt me in paniek: ‘Je bent opgelicht!’ Ik herinner me nog dat ik aan één oor doof werd terwijl ze het me vertelde.

“Ik haast me naar het De Brouckèreplein, maar de bank is dicht. Dan maar naar de politie, voor een proces-verbaal. Ik leg alles uit, waarop die agent zegt: ‘Je had je code niet moeten geven.’ (boos) Ik héb mijn code niet gegeven! Hij geeft me een document, waarmee ik de volgende ochtend terugkeer naar de bank. Terwijl ik aan het loket sta, staat voor me een vrouw zich kwaad te maken omdat haar rekening is geblokkeerd. Ik word een glazen kantoortje binnengeleid; de roepende vrouw krijgt een plaats in het glazen hok naast me. Opnieuw krijg ik te horen dat ik mijn code niet had moeten geven: ‘Want we hebben een policy dat we het geld niet terugstorten als je zelf je code hebt weggegeven.’ (zucht) ‘Nogmaals: ik héb mijn code niet gegeven.’ Ze draait het scherm van haar computer naar me toe. Ik zie dat 6.000 euro gestort is naar de rekening van een zekere Bompanda – de naam zal ik nooit vergeten. De bankbediende vraagt nog of ik die Bompanda écht niet ken. ‘Nee, zeker weten.’ Opmerkelijk is dat de oplichters bij de storting zelfs een mededeling hebben gezet, in het Nederlands: ‘Verbouwingen.’ Zo lijkt het allicht minder verdacht – wat doen dertigers anders dan verbouwen? Maar het geld voor mijn zogezegde verbouwingen is dus weg.

“Terwijl ik daar zit, komt een andere bankbediende binnen: ‘Bent u Joost Vandecasteele?’ Blijkt dat die vrouw naast me in het bezit is van de bankkaart waarmee mijn geld is afgehaald. Dáárom was ze dus boos: omdat die kaart intussen is geblokkeerd kan ze niet meer aan de rest van mijn centen. De vrouw die ik aan de andere kant van het glas zie zitten, is dus een spil in het netwerk van mijn oplichters. De bank beslist de politie te bellen en de vrouw zolang bezig te houden. Een halfuur lang had ik zicht op mijn oplichtster. Wat ik zie, is een vrouw in totale controle: geen paniek, geen stress, geen druppel zweet. Geen idee of ze dan al weet: ‘Ik ben erbij.’

“Het heeft nog een maand geduurd voor BNP Paribas ervan overtuigd was dat het niet mijn schuld was en ik mijn geld terugkreeg. Heeft mijn vader zijn lesje geleerd? Dat denk ik wel. Maar ik heb voor alle zekerheid mijn rekening losgekoppeld van de zijne en een andere bank gekozen. Wat me vooral boos maakt: als een bank wil zeuren dat wij, sukkels, onze codes niet mogen weggeven, dan moet die bank het onmogelijk maken dat iemand op eenzelfde dag, op duidelijk frauduleuze wijze, duizenden euro’s kan versluizen en cashen, zonder dat er ook maar één alarmpje afgaat.”

Eén troost: je hield er een geweldig verhaal aan over.

Vandecasteele: “En een column, waarmee ik 200 euro heb verdiend. (lacht) In mijn nieuwe roman Wraakengel heb ik het voorval ook verwerkt. Sindsdien ben ik geobsedeerd door cyberveiligheid. Ik heb onderzoek gedaan naar de truken die worden gebruikt om jou en mij op te lichten. Fascinerend! Wist je dat mensen van mijn leeftijd de gewoonte hebben dezelfde code te gebruiken voor hun bankkaart als voor hun smartphone? Aan een bankautomaat schermen we die code angstvallig af, maar op onze telefoon tikken we de cijfers zonder nadenken in. Nog zoiets: 90 procent van de mensen boven de 60 heeft de neiging de code 8-5-2-0 te gebruiken, omdat die cijfertjes handig onder elkaar staan op het scherm. Bij 70 procent is het hun geboortedatum. Zulke dingen boeien me.

“We moeten echt teruggrijpen naar pen en papier: niets mis met moeilijke en onlogische codes of wachtwoorden, die je thuis ergens opschrijft. Geen enkele oplichter zal bij je inbreken om je code te zoeken.”

Intussen heb jij de code van je bankkaart natuurlijk veranderd in...

Vandecasteele: “Een andere code dan die van mijn telefoon. Je klinkt niet Hollands genoeg om een oplichtster te zijn. (lacht)”

Blij dat je hebt bijgeleerd.

Vandecasteele: “Mij hebben ze niet meer liggen. Ik zeg niet dat we constant in een staat van paniek moeten leven, maar we mogen niet naïef zijn.”

Hack eens een CEO

Ondanks alle waarschuwingen en campagnes gebruiken veel mensen nog makkelijk te hacken wachtwoorden als ‘password’, ‘123456’ of ‘azerty’. We leren het kennelijk niet.

Preneel: “Je denkt maar best heel goed na over je wachtwoorden. Maak ze complex en moeilijk te raden, zeker voor alles wat te maken heeft met geld, gezondheidszorg, je werk en je e-mailadres. Als je slordig omspringt met Gmail, kunnen aanvallers daarvan gebruikmaken om ál je wachtwoorden te wijzigen en al je andere accounts over te nemen.

“Als je er liever niet zo veel moeite insteekt, installeer je gewoon een wachtwoordmanager: een programma dat al je wachtwoorden voor jou beheert.

“Maar eigenlijk zijn wachtwoorden een verouderd en weinig gebruiksvriendelijk systeem waar we van af moeten. Bill Gates heeft in 2004 al het einde van het wachtwoord aangekondigd, maar we gebruiken ze nog steeds. Vooral omdat het een goedkoop systeem is.”

Hackercollectief OurMine Security wist enkele jaren geleden de accounts van een reeks techberoemdheden over te nemen, onder meer Mark Zuckerberg, Sundar Pichai, Travis Kalanick en Jack Dorsey, respectievelijk de bazen van Facebook, Google, Uber en Twitter. Als het hun zelfs al kan overkomen…

Preneel: “Zij zijn natuurlijk een high profile-doelwit. Voor hackers is het kraken van zo’n account een soort trofee. Maar ‘CEO-fraude’, zoals de FBI het noemt, is ook op een andere manier interessant voor criminelen. Door zo’n account over te nemen, kun je niet alleen geld proberen te stelen, maar ook aan beursgevoelige informatie raken die ook weer geld kan opbrengen. De FBI zegt dat CEO-fraude hackers de laatste vier jaar 21 miljard euro heeft opgebracht.”

Nog een goede reden om regelmatig van wachtwoord te veranderen: eind vorig jaar werden op een hackingforum 770 miljoen e-mailadressen en wachtwoorden ontdekt, waarvan een deel al jaren geleden werd gestolen. Een wachtwoord en adres waarmee je lang geleden eens op een forum hebt ingelogd, zou dus nog op zo’n lijst kunnen staan. Als je dat wachtwoord of adres nog steeds gebruikt, zit je met een serieus probleem.

Preneel: “Alles bij elkaar worden jaarlijks van meer dan een miljard mensen gegevens gestolen. Wachtwoorden en e-mailadressen die op die hackersforums worden aangeboden, kunnen ook worden gebruikt voor identiteitsfraude. Meer dan een wachtwoord en een e-mailadres heb je niet nodig om in iemand anders’ naam een account te openen. Als je wilt weten of je eigen e-mailadres door iemand anders gebruikt is om een account aan te maken, kun je dat controleren op de website haveibeenpwned.com.”

Best regelmatig van wachtwoord veranderen, dus?

Preneel: “Elke maand je wachtwoorden wijzigen lijkt me nu ook weer niet nodig. Maar ze té lang gebruiken, is echt niet verstandig.”

Om toch maar niets te hoeven missen van het leuks dat vrienden, diklippige influencers en zongebruinde celebs op Instagram en Facebook beleven, springen we met onze laptop en smartphone ook vlot van de ene wifi-verbinding naar de andere. Dat is blijkbaar niet zonder risico.

Preneel: “Sommige providers doen niet de moeite om de beveiliging van wifiverbindingen correct in te stellen. Dat betekent dat al je communicatie draadloos kan worden onderschept door iedereen in de buurt. Met een speciale antenne kan dat zelfs van op een kilometer afstand. In een koffiebar de krant lezen op wifi kan geen kwaad, maar er bankverrichtingen doen is geen goed idee.

“Het goede nieuws is dat steeds meer informatie op het internet versleuteld is en dus onleesbaar is gemaakt: zo’n 70 procent van alle webverkeer. Vroeger was dat 30 à 40 procent, maar sinds de onthullingen van Edward Snowden zien we een gevoelige verbetering.»

Kale reis

Twee zomers geleden vat Peter Meyfroidt het plan op om samen met zijn gezin en twee andere koppels een vakantiehuis te huren in la douce France. Na enkele muisklikken dient zich al een potentiële vakantiebestemming aan.

Meyfroidt: “Een vriendin was op een leuk vakantiehuisje gebotst op Airbnb. De foto’s zagen er geweldig uit: een villa in Antibes, volledig nieuw, met een prachtig zwembad. Wie wil daar nu níét een week naartoe? Een goedkope vakantie zou het niet worden – de huurprijs bedroeg 6.450 euro per week – maar met drie koppels vonden we het net te doen. Alleen zat er meteen al een kink in de kabel: de eigenaar had die vriendin laten weten dat de villa niet vrij was in de week die wij voor ogen hadden. ‘Laat mij eens proberen’, zei ik. Ik mailde of we de villa de week nadien konden huren. Dat was geen probleem.”

Op dat moment vermoedde je nog niks?

Meyfroidt: “Nee. Een oplichter hapt toch onmiddellijk toe als een gewillig slachtoffer zich aandient? Maar het maakte allemaal deel uit van zijn strategie. Bovendien stonden er een paar lovende recensies op Airbnb en zag zijn mail er legitiem uit, met het logo van het verhuurplatform en een wervende tekst: ‘Proficiat! Jullie gaan naar Antibes!’ Ook aan de telefoon klonk de eigenaar altijd gemoedelijk en spontaan: ‘Jullie gaan het daar naar jullie zin hebben.’ Niets deed me vermoeden dat zijn verhaal niet klopte. Wel was me één ding opgevallen: toen ik het huis ging zoeken met Street View op Google Maps, zag ik onze villa niet. Ik mailde de eigenaar en hij stelde me gerust: ‘Het huis is net af, het stond er nog niet toen de camerawagen passeerde.’

“Pas toen de datum van ons vertrek dichterbij kwam, begon me iets te dagen. Ik mailde de eigenaar hoe we zouden afspreken, maar hij antwoordde niet meer. Eerst dacht ik nog: ‘Hij is misschien zelf op reis.’ Maar op mijn volgende mails en telefoons kwam evenmin gehoor. We zijn toch maar afgereisd naar het zuiden van Frankrijk – voor de eerste overnachting hadden we sowieso een B&B geboekt. Daar heb ik opnieuw Airbnb gecontacteerd. ‘We vinden in onze data niets terug van jullie boeking’, klonk het plots. Aangezien we in de buurt waren, zijn we zelf nog een kijkje gaan nemen in de straat. Onze villa was onvindbaar. Wie weet staat ze niet eens in Frankrijk.

“Achteraf bekeken had ik iets in de gaten moeten krijgen toen ik het mailadres kreeg. Het eindigde op iets als bookingrequest.airbnb.com. Het leek net genoeg op een officieel Airbnb-mailadres om niet op te vallen.”

Zijn jullie aangifte gaan doen bij de politie?

Meyfroidt: “Ja, in Antibes. Na een uur of drie wachten mochten we eindelijk ons verhaal doen aan een agent, maar die lachte ons vierkant uit: ‘Dat horen we hier elke dag.’ Hij vond het zelfs niet de moeite onze verklaring neer te pennen.

“Terug in België was het antwoord van de politiediensten hier kort: ‘Die bendes zijn zo goed georganiseerd. De kans dat we ze kunnen traceren, is haast onbestaand.’ Een maand later kregen we bericht dat de zaak was geseponeerd.

“Omdat Airbnb evenmin veel interesse leek te tonen, hebben we ons verhaal op sociale media gegooid. De respons was enorm: het regende vergelijkbare verhalen. Ik hoorde zelfs van mensen die de sleutel van hun onbestaande Italiaanse appartement toegestuurd hadden gekregen. Eén man liet ons weten dat hij hetzelfde vakantiehuis in Antibes twee weken voor ons had willen huren. Toen hij de betaling wilde doen via de Airbnb-app, had hij gemerkt dat er iets niet pluis was: er was in de app niets terug te vinden van zijn reservatie. Hij heeft Airbnb nog verwittigd, maar zij hebben de malafide verhuurder niet meteen van hun platform verwijderd, waardoor wij in zijn val konden lopen. Die man stuurde ons screenshots van zijn conversatie met Airbnb, waardoor we aantoonbaar bewijs hadden dat zij nalatig waren geweest. Ze konden niet anders dan ons terugbetalen. Dat maakte het toch een beetje goed, want een droomvakantie is het niet geworden. Maar ik probeer het positief te bekijken: van zo’n ervaring kun je alleen maar slimmer worden. Wij zijn een stukje goedgelovigheid kwijt.”

Gevaar: webcams

De verwachting is dat het Internet of Things (IoT), waarbij we steeds meer apparaten aan ons thuisnetwerk koppelen, in de toekomst flink zal groeien. Maar veel van die slimme thermostaten, camera’s en koelkasten zouden voor hackers bijna een uitnodiging zijn om het systeem binnen te dringen.

Preneel: “Elk IoT-toestel is een kleine computer en kan dus ook worden gehackt. Het probleem is dat die dingen vaak goedkoop zijn en weinig aandacht besteden aan veiligheid. Er wordt de laatste jaren veel werk gemaakt van veiligheidsupdates voor smartphones en computers. Voor veel IoT-toestellen komen er echter geen updates.

“In Californië heeft men zelfs een wet gestemd die enkele veiligheidsmaatregelen verplicht maakt. De aanleiding voor die wet was een aanval door het Mirai-botnet, dat in 2016 voor serieuze brokken zorgde. Bij zo’n botnet worden computers met kwaadaardige software besmet, waarna ze worden ingeschakeld om websites massaal met verkeer te bestoken en zo de servers plat te leggen. Mirai maakte gebruik van fouten in de software van goedkope Chinese webcams en kon zo massa’s computers overnemen.”

De Europese politiedienst Europol maakte dit jaar bekend dat hij een website had opgerold waar je tegen betaling – het goedkoopste maandabonnement kostte 15 euro – botnetaanvallen kon laten uitvoeren op wie je maar wilde. Opvallend: onder de ruim 150.000 geregistreerde gebruikers bevonden zich ook een vijftiental Belgen, van wie de helft minderjarig was.

Preneel: “Dat bewijst andermaal dat criminelen zich thuis voelen op het internet. Je moet geen infrastructuur meer hebben. Een website is snel op te zetten, en als ze je betrappen, begin je op een ander adres gewoon opnieuw. Het is heel moeilijk af te stoppen, omdat de daders zich overal ter wereld kunnen bevinden en niet makkelijk op te sporen zijn.”

Hebt u nog advies voor wie toch nog een webcam wil installeren?

Preneel: “Vermijd goedkope modellen en beveilig je webcam met een wachtwoord. Je kunt thuis ook een firewall opzetten om je apparaten af te schermen, maar dat vergt al enige expertise.”

Afgelopen zomer dook een nieuw fenomeen op: zogenaamde cryptofraude, waarbij mensen werden verleid om in bitcoins te investeren middels nepadvertenties met bekende koppen als Marc Coucke, Gert Verhulst en Philippe Geubels. Wie erop inging, was natuurlijk zijn centen kwijt.

Preneel: “Zulke fraude maakt, net zoals de piramidespelen van vroeger, gebruik van de hebzucht en de goedgelovigheid van de mens. Op zich is er niets mis met cryptomunten, maar je moet wel opletten dat je niet bij de verkeerde aanbieders terechtkomt.”

Virtuele assistenten à la Google Home en Alexa worden steeds populairder. Hoe veilig zijn die digitale huishulpjes?

Preneel: “Bedrijven als Google en Amazon weten wel hoe ze die dingen moeten beveiligen, maar toch zijn er al bugs opgedoken. Het is bijvoorbeeld niet zo moeilijk voor een hacker om een geluidssignaal te maken dat niet hoorbaar is voor de mens, maar wel voor Alexa. Zo kan een hacker allerlei dingen online bestellen. Op jouw kosten.”

De VRT onthulde onlangs nog dat medewerkers van Google gebruikers gewoon kunnen afluisteren via Google Home. Dan is dat voor hackers wellicht ook een koud kunstje.

Preneel: “De ophef over het afluisteren van die gesprekken heb ik nooit goed begrepen. Hoe moeten ze bij Google anders hun systemen beter maken? Als je dat toestel in huis haalt, moet je beseffen dat ze zoiets kunnen doen. Dat ze daar geen toestemming voor hebben gevraagd, zoals de privacywetgeving voorschrijft, is natuurlijk wél een grote fout.”

Crimitsunami

Volgens een recent onderzoek in opdracht van netwerkbeveiliger SpotIT voelt 30 procent van de 18- tot 34-jarigen, de zogenaamde digital natives, zich onveilig op internet. Paradoxaal genoeg beveiligt 33 procent van hen zich slecht. Hoe is dat te verklaren?

Preneel: “Met een bekend fenomeen uit de psychologie: cognitieve dissonantie. Dat wil zeggen dat mensen vaak nalaten dingen te doen waarvan ze weten dat ze die eigenlijk wél zouden moeten doen. Een interessant voorbeeld is de fietshelm: volwassenen weten dat die letsels voorkomt en verplichten hem voor hun kinderen, maar zelf dragen ze hem niet. Met digitale beveiliging gaat het net zo: iedereen beseft dat er een probleem is, maar toch blijft men laks.”

Is het ook geen kwestie van educatie? Volgens diezelfde enquête had 16 procent van de digital natives nog nooit van phishing gehoord.

Preneel: “Het onderwijs moet inderdaad ook een rol spelen. Het is nu cybersecuritymaand en er komt een nieuwe campagne van de Belgische overheid rond phishing. Dat zijn nuttige initiatieven, maar je kunt niet alles oplossen door gebruikers beter te informeren. Je kunt ook aan de andere kant van het spectrum werken en de technologie veel veiliger maken. Ik denk dat daar de kern van het probleem zit. Waarom zou een gebruiker moeten opletten of een website al dan niet beveiligd is? Eigenlijk zou iedere website encryptie moeten gebruiken.”

Waarom gebeurt dat dan niet?

Preneel: “Er is helemaal geen druk vanuit de markt. Banken en internetgiganten werken met encryptie, maar veel kleine bedrijven niet. Als jij in een koffiebar zit te surfen en wordt gehackt, is dat niet het probleem van die koffiebar. Hetzelfde met die webcams van daarnet. Er is helemaal geen stimulans om extra ingenieurs in dienst te nemen om een veiliger product te maken dat 20 procent duurder is. Consumenten zullen er toch niet voor willen betalen. En uiteindelijk zal een concurrent met een onveilige, maar goedkopere webcam je marktaandeel inpalmen.

“Wat nodig is, is meer regulering. Europa heeft dat begrepen. Er is nu de Cybersecurity Act, die de lat hoger wil leggen voor techproducten en -diensten. Of dat zal lukken, is een andere zaak. Je mag de invloed van de softwarelobby niet onderschatten. Die installeert allerlei software op onze machines en zegt vervolgens dat ze niet meer aansprakelijk is voor wat er daarna mee gebeurt. Dat is de omgekeerde wereld.”

Beseffen we voldoende wat er op ons afkomt? Onlangs klonk het bij de voorstelling van de Veiligheidsmonitor dat er ‘een tsunami van cybercriminaliteit’ op komst is. En dat het online straks gevaarlijker wordt dan op straat.

Preneel: “Onze maatschappij wordt digitaler, en dus zal de criminaliteit zich in die richting verplaatsen. De politie zal veel meer moeten investeren om in de online wereld aanwezig te zijn en op te treden. Er is wel een Federal Computer Crime Unit opgericht, maar vergeleken met het buitenland is die sterk onderbemand.

“Nu, gesofisticeerde cybercriminelen kun je alleen maar klissen via internationale samenwerking. Maar de kleine crimineel is makkelijker te pakken. In de EU wordt de locatie van elke telefoon, elk gesprek dat wordt gevoerd, elke e-mail bijgehouden, de zogenaamde metadata: een digitaal spoor dat achterblijft. Na de arrestatie van terrorist Salah Abdeslam, die betrokken was bij de aanslagen op Zaventem, heeft de politie via metadata kunnen reconstrueren waar hij overal had uitgehangen. De politie heeft vandaag veel meer toegang tot informatie dan ooit tevoren.

“Toch staat het buiten kijf dat er nog veel meer investeringen nodig zijn. Dat betekent niet dat er meer geld naar de politie moet gaan, maar dat een groter deel van het nu al beschikbare budget naar digitaal speurwerk moet gaan. Er zullen keuzes moeten worden gemaakt, maar op dit moment gebeurt dat niet altijd.”

© Humo