null Hoe je jezelf beschermt tegen sluwe cybercriminelen

INF_FabianVanDenBroek_Whatsappfraude_18924_head_large.jpg

Hoe je jezelf beschermt tegen sluwe cybercriminelen

Of je nu een stofzuiger bestelt, je auto laat keuren of een afspraak maakt bij de GGD. Op internet moet je te pas en te onpas met persoonsgegevens strooien. Via datalekken komen deze gegevens steeds vaker bij cybercriminelen terecht. Om dat te voorkomen kun je jezelf maar beter op een slimmere manier identificeren, zegt universitair docent Informatica Fabian van den Broek van de Open Universiteit. Met minimale uitwisseling van gegevens en maximale privacy.

Er gaat geen week voorbij zonder nieuws over het zoveelste datalek bij bedrijven en instellingen. De Autoriteit Persoonsgegevens (AP) spreekt over 'een explosieve toename van datalekken door malware, phishing of hacking'. In 2020 ontving de toezichthouder AP twaalfhonderd meldingen van gelekte persoonsgegevens in de criminele sfeer. Een stijging van dertig procent ten opzichte van het jaar daarvoor.

Tientje voor persoonsgegevens

Cybersecurity deskundige Fabian van den Broek knippert al lang niet meer met zijn ogen bij het horen van dit soort getallen. 'Vooral universiteiten, scholen, gemeentes en ziekenhuizen zijn de laatste tijd de dupe van datalekken. Ze hebben niet genoeg budget om de boel te beveiligen, maar verwerken wel veel persoonsgegevens en gevoelige informatie. Via afpersing of doorverkoop van gegevens valt daar voor criminelen het grote geld te verdienen.'

'Als gegevens worden doorverkocht, komen ze eerst op het darkweb terecht. Voor geboortedatum en telefoonnummer van mevrouw x betaalt een crimineel daar tien à twintig euro. Een schijntje als je bedenkt dat die informatie vaak genoeg is om iemand voor duizenden euro’s te tillen via telefoon, e-mail of WhatsApp. Hoe meer privégegevens er voorhanden zijn - denk adres, namen van kinderen -, hoe makkelijker het wordt om mensen te verleiden om geld over te maken. Dat gebeurt bijvoorbeeld via een nepbericht van een familielid.'

Hoe bescherm je persoonsgegevens?

De vraag die veel mensen bezighoudt: hoe voorkom je dat criminelen je privégegevens te pakken krijgen? 'Door zo min mogelijk persoonsgegevens te delen', zegt Van den Broek. 'Punt is: voor zo’n beetje elke transactie op internet vragen ze om je geboortedatum, telefoonnummer én emailadres in te vullen. Want je moet tenslotte wel bewijzen dat jij echt jij bent.'

'Maar authenticatie, zoals dit met een mooi woord heet, kan ook anders. Waarom moet Bol.com weten hoe oud jij bent? Onze vakgroep Informatica deed afgelopen jaren samen met de Radboud Universiteit Nijmegen onderzoek naar methoden waarmee mensen zichzelf veilig online kunnen identificeren. Dat wil zeggen: met minimale uitwisseling van persoonsgegevens en maximale privacy.'

IRMA-app

Dit onderzoek droeg bij aan de ontwikkeling van de IRMA-app, die inmiddels door de Stichting Privacy by Design wordt beheerd. 'IRMA is een app die je op je telefoon installeert en fungeert als een soort digitale portemonnee met persoonsgegevens', vervolgt Van den Broek. 'Met IRMA kun je selectief enkel relevante gegevens van jezelf onthullen om in te loggen - bijvoorbeeld geen naam, maar wel je adres en dat je ouder bent dan zestien jaar. Dat is anders dan de veel gebruikte DigiD-app van de overheid; daarmee deel je automatisch je burger-servicenummer.'

Beter geen data

'Het mooie aan IRMA is dat de app niet alleen burgers beschermt, maar ook bedrijven en instellingen die hun gegevens ontvangen. Van oudsher was de gedachte: 'laten we zoveel mogelijk gegevens van klanten opslaan, je weet maar nooit waar het goed voor is.' Maar ook bedrijven zitten niet te wachten op het risico van een datalek, omdat dit serieus geld kost. Zij kunnen zichzelf het beste beschermen door dan maar gewoon geen data te hebben.'

'Oorspronkelijk was IRMA enkel bedoeld voor de authenticatie van burger naar bedrijf. Op dit moment gaan we een stap verder en proberen we IRMA ook bruikbaar te maken voor burgers onderling. Waarom? We zien dat oplichters steeds gehaaider te werk gaan. Bij WhatsApp fraude doen criminelen zich bijvoorbeeld niet meer alleen voor als familie, maar kapen ze hele WhatsApp-accounts door slachtoffers slinks een verificatiecode te ontfutselen. Dit soort fraude kun je voorkomen als mensen alleen nog maar reageren op betaal- of verificatieverzoeken met een digitaal bewijs dat aantoont dat het bericht ook echt afkomt van de beweerde afzender.'

Op stoom

'Het project IRMA begint met 30.000 gebruikers langzaam op stoom te komen. Amsterdammers kunnen bijvoorbeeld al inloggen via IRMA. En dat leverde de gemeente onlangs een nominatie op voor de Dutch Interactive Awards. Ook huisartsen in Den Hoorn en Den Bosch omarmen de app.

De technologie wordt inmiddels ondersteund door Stichting Internet Domeinnamen Nederland. Dat betekent dat de app goed kan opschalen en we meer partijen kunnen benaderen om er gebruik van te maken. Onze bedoeling is dat IRMA zich langzaam als een olievlek over Nederland verspreidt en dat we bovenal een veiligere digitale omgeving creëren waarin mensen niet door Jan en alleman worden gevolgd.'