Fraude

"Ik vind het leuk om boef te spelen"

  • Interview
  • Redactie KVK
  • Bijgewerkt 19 apr 2018
  • 4 min lezen
Uit KVK-onderzoek (2017) blijkt dat bijna 2 op de 5 ondernemers te maken heeft gehad met vormen van digitale onveiligheid. Meestal met financiële schade tot gevolg. Bij ondernemers is nog veel winst te behalen als het gaat om kennis van digitale veiligheid en hoe zij preventieve maatregelen kunnen nemen. Daarom laten we ethisch hacker Stan Hegt aan het woord. Hij neemt je mee in de wereld van de cybercrime en geeft praktische tips om jouw digitale veiligheid aan te scherpen.

Wat is een ethisch hacker?

"Een ethisch hacker is een goedaardige hacker. Ik word samen met mijn team door bedrijven ingehuurd om in te breken in hun computersystemen en check of er gaten zitten in de beveiliging. Bedrijven schakelen mij ook in als ze slachtoffer zijn geworden van cybercrime. Maar meestal laten bedrijven door mij een preventieve test doen. Daarbij beeld ik mij altijd in wat de echte boeven doen. Ik probeer ze na te apen om zo bedrijven en hun medewerkers te testen. Ik vind het leuk om boef te spelen. Maar dan wel een goede boef, die mensen helpt."

Trends in cybercrime

Als je alle berichten over cybercrime in de media bijhoudt, lijkt het alle kanten op te gaan. "Dat valt wel mee", stelt Hegt. "Afpersing via phishing en ransomware vindt nog steeds veel plaats. Ook moeten we nog steeds oppassen voor alle vormen van malware. Techniek is niet de uitdaging voor een hacker maar wel hoe hij met cybercrime zijn geld verdient en uit handen van politie en justitie blijft. De opkomst van cryptocurrency, zoals de bitcoin, maakt het makkelijker om gestolen geld wit te wassen en om onder de radar te blijven. Als bedrijven getroffen worden door ransomware eisen de daders tegenwoordig om het losgeld in bitcoins te betalen."

Stan Hegt, ethisch hacker (foto: IXXI Bedrijfsfotografie)Stan Hegt, ethisch hacker (foto: IXXI Bedrijfsfotografie)

Een andere trend is dat ondernemers steeds meer 'in de cloud' werken. Daar passen cybercriminelen hun werkwijze op aan. "Ze vallen nu direct de cloudsystemen aan in plaats van de computersystemen van een ondernemer. Momenteel zie je bijvoorbeeld heel veel phishingmailtjes met Office 365. Deze mailtjes lijken bedrieglijk echt en de kans is groot dat je erin trapt. Als de hacker eenmaal in je mailbox zit dan kan hij bijvoorbeeld alle belangrijke informatie uit mailtjes automatisch verzamelen zonder dat je het merkt."

Voorbeelden van geslaagde hacks

Hegt noemt 3 voorbeelden van cybercrime bij kleinere mkb'ers. In het eerste voorbeeld is een bedrijf ruim honderdduizend euro afgetroggeld. De inloggegevens van de accountant van deze ondernemer kwamen voor in een datalek. Cybercriminelen kwamen zo in een online boekhoudpakket. Door stamgegevens van leveranciers aan te passen werden facturen niet aan hen maar aan de cybercriminelen uitbetaald.

Een andere mkb'er heeft een goedlopende webshop en is inmiddels goed in de zoekmachines te vinden. Op een gegeven moment lag zijn webshop door een DDoS-aanval een dag lang plat. De volgende dag kreeg hij een mail van de cybercrimineel: bitcoins betalen of je webshop ligt de volgende keer een hele maand plat. "Dat kan het einde van je bedrijf betekenen', concludeert Hegt.

Tenslotte een voorbeeld van phishing. De ondernemer krijgt een mailtje in Office 365 met een ogenschijnlijk belangrijke bijlage. Om de bijlage te openen moet hij zijn wachtwoord invullen. Pas maanden later blijkt zijn mail al die maanden ook te zijn doorgestuurd naar een mailadres van een cybercrimineel. Hegt: "De verzamelde informatie leek niet misbruikt, maar je hebt wel een gigantisch datalek. Leg dat maar eens uit aan je klanten. Bovendien ben je verplicht dit datalek te melden bij de Autoriteit Persoonsgegevens".

De grootste bedreigingen

"Zzp'ers en mkb'ers moeten vooral oppassen voor malware, phishing en factuurfraude. Grote bedrijven worden meestal gericht aangevallen. Bij kleine bedrijven gebeurt dat zelden en gebruikt de hacker de sleepnetmethode. De hacker gooit een sleepnet uit over een grote groep kleine bedrijven. Er staan altijd wel een paar deurtjes open waar de hacker naar binnen kan glippen. Vergelijk het met een schot hagel dat altijd wel iets treft. Malware en phishing zijn de meest voorkomende fraudevormen bij de sleepnetmethode". De buit per bedrijf is misschien niet groot, maar alle hacks bij elkaar leveren wel veel op. "Zorg daarom dat je digitale voordeur goed op slot zit, zo voorkom je dat je blijft hangen in het sleepnet van een hacker", adviseert Hegt.

Tips voor zzp'ers en mkb'ers

Een cyberaanval is meestal in 3 stappen opgebouwd. Hegt heeft voor elke stap een tip om het de hacker zo lastig mogelijk te maken.

  • Tip 1: werk met tweestapsverificatie
    De hacker verzamelt informatie over zijn slachtoffer, bijvoorbeeld inloggegevens uit een eerder datalek. In de hoop dat deze inloggegevens op nog veel meer plekken werken. Werk daarom altijd met tweestapsverificatie. Er is dan een extra toegangscode nodig naast de gebruikelijke gebruikersnaam en wachtwoord.

  • Tip 2: installeer de laatste updates
    De hacker probeert met de verzamelde informatie in je computersystemen binnen te dringen. Zorg ervoor dat je altijd de laatste updates hebt geïnstalleerd.

  • Tip 3: zorg voor back-ups
    De hacker zit in je computersysteem en probeert daar geld mee te verdienen. Zorg ervoor dat je een goed beschermingspakket hebt geïnstalleerd en altijd back-ups hebt.
Hoe zorg je dat je de technische zaken goed op orde zijn? Bekijk het webinar ‘Een digitaal veilig bedrijf, hoe pak je dat aan?’.
Redactie KVK

Redactie KVK

De KVK-redactie verzorgt en publiceert inspirerende informatieve artikelen voor ondernemers op KVK.nl, waaronder interviews en how to’s.

InspiratiePage