We zijn allemaal kwetsbaar voor cybercriminaliteit. Cybercriminelen richten hun pijlen immers niet alleen op bedrijven of overheden, maar ook op individuen. Vaak gaat het niet over complexe technische aanvallen, de meeste incidenten gebeuren omdat mensen op professionele wijze om de tuin worden geleid, waarna ze hun account verliezen of veel tot zeer veel geld kwijt zijn.
‘Er zijn veel vormen van online oplichting, maar phishing in alle mogelijke vormen is de belangrijkste. Die mails zijn vandaag professioneler, in de juiste toon en in je eigen taal,’ vertelt Katrien Eggers van het Centrum voor Cybersecurity België, de organisatie achter onder meer Safeonweb. ‘Dat iemand zo’n mail ontvangt is op zich geen probleem, maar wel als mensen op de link klikken. Dan kom je vaak uit op een website die helemaal lijkt op die van je bank of op een vals investeringsplatform. Vandaag zijn die sites zo goed gebouwd dat zelfs experts het verschil niet met het blote oog zien.’
Hou je aandacht erbij
Of het nu gaat om een onoplettende klik, een zwak wachtwoord of software die al lang niet meer werd geüpdatet: cybercriminelen liggen op de loer. Ze maken misbruik van onoplettendheid, routines die we uitvoeren zonder er veel bij na te denken, tijdsdruk die ons misschien minder alert maakt of van de misvatting die bij veel mensen leeft: ‘mij zal het wel niet overkomen’.
Een paar voorbeelden van hoe het fout kan lopen:
- Je klikt op een link in een mail die eruitziet als die van je bank, hoewel je weet dat je bank gewoonlijk geen mails stuur met een link in.
- Je gebruikt hetzelfde wachtwoord op vijf verschillende platformen, want dat is gemakkelijk om te onthouden en het zijn geen platformen die je voor belangrijke zaken gebruikt.
- Je deelt een document met een collega via een chatapp omdat je daar toch met elkaar aan het overleggen was en het dan sneller gaat.
- Je laat je laptop onbewaakt achter zonder schermvergrendeling, want je gaat gewoon even een koffie halen en bent zo terug.
Herkenbaar? Waarschijnlijk is elk van die situaties je ook al overkomen. We kiezen allemaal wel eens voor een snelle, gemakkelijke oplossing. Op het werk, maar misschien nog vaker thuis, waar we net zelf moeten instaan voor onze online veiligheid. Wat is immers de kans dat het uitgerekend jou – of je ouders, vrienden, kinderen… - zou overkomen. Het zijn zulke onachtzaamheden waarop cybercriminelen op rekenen. Het is een gedeelde verantwoordelijkheid. En het begint bij bewustwording.
Om zeker te zijn dat een website wel de juiste is, of die nu van je bank, Bpost, My eBox of een ander platform is, helpt het om te link te controleren. Eggers: ‘Weinig mensen doen dat, maar vaak is dat de grootste weggever. Bij een mail ‘van Argenta’ ga je met je muis over de link en zie je of die effectief naar Argenta.be gaat en niet naar Argenta.com of Argenta.ar gaat. Weet ook hoe een URL werkt, wat vlak voor de .be staat is van belang: Argenta.info.be is ook geen link naar Argenta, maar naar Info.be. Kom je echt uit op een .be-domein, dan mag je al vrij zeker zijn dat het om een betrouwbare website gaat.’
Wat kan jij doen?
Denk twee keer na voor je klikt. Controleer links en afzenders, zeker als een bericht dringend lijkt. Als je twijfelt, vraag dan even de mening van een collega, een vriend, je partner. ‘Is het bericht van My eBox of Bpost, ga dan bij twijfel zelf naar hun website of via hun app. Zo voorkom je dat je via een link in een valse e-mail op een frauduleuze site uitkomt,’ zegt Eggers.
Gebruik sterke, unieke wachtwoorden. Of beter nog: werk met een wachtwoordmanager en schakel waar mogelijk tweestapsverificatie in. ‘Tweestapsverficiatie gaat zo goed als alle pogingen om op een account in te breken kunnen voorkomen’, zegt Eggers.
Installeer software-updates. Het kan op een vervelend moment komen, maar naast nieuwe functies bevat zo’n update ook bescherming tegen recent ontdekte kwetsbaarheden. Hou zowel je besturingssysteem (Windows, MacOS, Android, iOS...) als de software of apps die je gebruikt up-to-date.
Wees voorzichtig met het delen van informatie. Ga voorzichtig om met vertrouwelijke gegevens van je organisatie, klanten, leveranciers. Deel gevoelige gegevens alleen via veilige kanalen – nooit via WhatsApp of e-mail zonder encryptie. Ga er ook niet op in wanneer iemand je vraagt om iets te bevestigen via Itsme, of om codes van je bank door te geven per mail of telefoon.
‘Je kan erop rekenen dat alle vitale aanbieders al het mogelijke doen om hun dienstverlening voldoende veerkrachtig uit te bouwen.'
Wat kan je als organisatie doen?
Blijf informeren
Cyberdreigingen evolueren snel. Regelmatige training of awarenessmomenten houden mensen scherp.
'Maar dat gaat breder dan phishingtesten. Ze zijn nuttig, maar zeker niet zaligmakend. Doe je dat bij elke werknemer dan zal er altijd wel iemand op klikken. De bewustmaking is nodig, maar het sluit niet uit dat er bij een echte phishingmail toch nog iemand intrapt', aldus Eggers.
Maak werk van cybersecurity
Als organisatie kan je heel wat doen op het vlak van cyberbeveiliging. Zorg ervoor dat je data, systemen en diensten goed beveiligd zijn. Schakel daarvoor experten in. Ga zeker na wat de wettelijke verplichtingen zijn binnen je sector en zorg dat je daaraan voldoet.
‘Europa lanceerde wetgevende initiatieven zoals NIS, NIS2 en de Cybersecurity Resilience Act. Het doet dat om bedrijven en overheden ertoe aan te zetten alles zo goed mogelijk te beveiligen en om onze digitale samenleving cyberweerbaar te maken’, zegt Kristof Tuyteleers, security officer bij DNS Belgium.
‘Je kan erop rekenen dat alle vitale aanbieders (denk aan ziekenhuizen, luchthavens…) al het mogelijke doen om hun dienstverlening voldoende veerkrachtig uit te bouwen. Om cyberaanvallen te weerstaan en de onderliggende infrastructuur snel terug online te brengen als ze worden aangevallen.’
Wat kost oplichting?
Phishing en investeringsfraude komen vandaag veel voor in ons land. De impact van beiden is telkens anders. Phishing is het grootste probleem omdat er veel meer slachtoffers zijn. Al zijn de bedragen daar kleiner, gemiddeld duizend tot tweeduizend euro. Bij investeringsfraude zijn er minder slachtoffers, maar zij verliezen gemiddeld dertigduizend euro.
Let bij investeringsfraude ook op voor een laatste ‘hulplijn’. Wie al is opgelicht wordt dan opnieuw gecontacteerd door de daders die zich voordoen als een expert of de FSMA (de bankenregulator, nvdr), met de belofte dat geld te recupereren. ‘Ook dat is een truc om nog een laatste keer toegang te krijgen tot je rekeningen. Mensen krijgen dan weer hoop, terwijl ze in werkelijkheid de laatste centen van hun rekening zien verdwijnen.’
Meld inbreuken bij de minste twijfel
Vermoed je misbruik, kom je iets verdacht tegen? Neem geen risico en meldt het. Zorg er als organisatie ook voor dat de rapportageprocedures gekend zijn en dat mensen weten waar ze iets moeten melden en hoe ze dat doen.
Niemand is ‘de schuldige’
Eggers wil wel nuanceren dat opgelicht worden, bewust of onbewust op een link klikken of je gegevens invullen geen schande is, of je niet degradeert tot een ‘domme’ internetgebruiker. ‘We moeten weg van die blaming en shaming want vaak gaat het niet op onnadenkend gedrag. Je bent in een heel goed opgezette val getrapt. We zien bij het CCB vaak mensen die goed nadenken, die de waarschuwingen kennen en toch op iets klikken, iets ondertekenen terwijl ze een telefoon beantwoorden of andere dingen doen.’
‘De dader aan de overkant is een professional. Die kent de verkoopstechnieken, de oplichtingstrucs, die weet hoe mensen overtuigd worden. Je bent niet dom als je daar voor valt, je bent het slachtoffer van een getrainde crimineel.’
‘De dader aan de overkant is een professional. Die kent de verkoopstechnieken, de oplichtingstrucs, die weet hoe mensen overtuigd worden.'
Iedereen is vatbaar voor oplichting, maar de ene zal sneller opgelicht worden via een mail over een vals pakketje, de andere via een online vriend die na een tijdje geld vraagt, of voor een unieke investeringskans. In het kader daarvan waarschuwt het CCB via Safeonweb momenteel voor beleggingsfraude. ‘Mensen worden gelokt via nagemaakte profielen van BV’s, reclame, whatsappgroepen en zelfs via datingsites. Zo komen ze in een investeringscaroussel, inclusief perfect gebouwde websites en zelfs een helpdesk waar ze de oplichters aan de lijn krijgen. Ze worden telkens overtuigd om te blijven investeren, desnoods door leningen aan te gaan. Veel slachtoffers geloven daarbij zelfs niet dat ze slachtoffer zijn en hun geld nooit meer terugzien’
Wat doen we bij DNS Belgium?
Bij DNS Belgium nemen we cybersecurity uiteraard ernstig. Niet alleen door te zorgen voor een veilig internet in België, maar ook door mensen te informeren over en bewust te maken van het belang van online veiligheid.
Onnadenkend gedrag komt frequent voor bij jongeren en ouderen. Daarom richten we ons met specifieke bewustwordingscampagnes tot die twee groepen.
We ondersteunen daarom ook actief de campagnes van Safeonweb. Dat is een project van het Centrum voor Cybersecurity België en wil mensen informeren en adviseren over actuele digitale dreigingen en online veiligheid. Dit najaar gaat de campagne over het voorkomen van beleggingsfraude.
Recente campagnes van het Centrum voor Cybersecurity België (CCB) richtten hun aandacht op verschillende vormen van cybercriminaliteit:
- Campagne 2024: Tweestapsverificatie (2FA)
- Campagne 2023: Phishing, het zit in de details!
- Campagne 2022: OK is niet altijd OK!
- Campagne 2021: Wees slimmer dan een phisher
- Campagne 2020: Wachtwoorden zijn niet meer van deze tijd
Cybercriminaliteit kan grote gevolgen hebben. Voor bedrijven is er sinds enkele jaren daarom een cyberverzekering. Is dat een nuttige buffer tegen de risico’s van cybercrime. Of creëert het eerder een gevoel van valse zekerheid?
- Dat lees je binnenkort in een volgend artikel
Met dit artikel ondersteunen we de Duurzame Ontwikkelingsdoelen van de Verenigde Naties.