Vergeet het beeld van de jonge, sociaal incapabele geek-met-hoodie die in een donkere kamer misbruik maakt van zijn computerkennis om ons het leven zuur te maken. Het strookt niet meer met de realiteit. Ook cybercriminelen worden volwassen. En een groot aantal onder hen heeft van zijn hobby een beroep gemaakt. Cybercriminaliteit is een dienst, en de bedrijven die deze dienst leveren, zijn goed geoliede machines.
Dagelijks krijgt het parket gemiddeld meer dan 57 klachten binnen over internetfraude, bedrijfsspionage, gegevensdiefstal en digitale afpersing. Je kan het zo gek niet bedenken of je kan het kopen alsof het consulting of webdevelopment betrof. Zoals veel bedrijven oplossingen verkopen, zo verkopen georganiseerde cybercriminele organisaties problemen: Cybercrime-as-a-Service.
Spoor
Criminele bendes hebben geld geroken in de digitalisering en volgen nu in het spoor van reguliere it-bedrijven. En ze zijn even goed georganiseerd. Bij Cybercrime NV lopen, net als bij een legitiem it-bedrijf, heel wat specialisten rond. Van de social engineers die je vakkundig om de tuin leiden als volleerde gedragswetenschappers en zo belangrijke informatie stelen, tot de hackers die computers en systemen naar hun hand zetten. Ze hebben zelfs salesteams en callcenters. Geloof het of niet, ook criminele organisaties dragen de klantenervaring hoog in het vaandel.
Bovendien komen die callcenters goed van pas om slachtoffers te ‘helpen’. Niemand gelooft nog dat hij een mail gekregen heeft van een Nigeriaanse prins of een, tot dan toe onbekende, rijke oom overleden is en een mooie erfenis nalaat. De nieuwe vormen van cybercriminaliteit zijn subtieler. Je denkt dan dat je de klantendienst van je favoriete webwinkel aan de lijn hebt, maar je belt met gewiekste criminelen aan wie je straks geld of gegevens kwijtraakt.
Zwaar te verduren
Wereldwijd onderzoek van NTT en Dimension Data leert dat vooral de financiële en zakelijke dienstverleningssector in Europa het zwaar te verduren krijgt, net als de overheid. Negen procent van alle cyberaanvallen is gericht op overheidsinstellingen. Als je weet dat de beveiligingssystemen van (lokale) besturen niet goed zijn, dan is dat een groot probleem. Ransomware (het blokkeren van een computer en de daarop aanwezige gegevens tot de gebruiker losgeld betaalt) is daarbij veruit de populairste techniek wereldwijd (30%).
Ook bij ons gaan oplichters steeds creatiever te werk. Met spear phishing voeren ze zeer gerichte aanvallen uit op een bedrijf om de gegevens van werknemers te pakken te krijgen en zich zo toegang tot het bedrijfsnetwerk te verschaffen.
Je hebt ze ongetwijfeld al gehad, die e-mails waarvan het adres van de afzender nauwelijks verschilt van het echte adres van een contactpersoon? Niet zelden doen ze zich voor als een leidinggevende van een bedrijf en vragen ze aan een medewerker om een som geld over te schrijven of het rekeningnummer van een klant te wijzigen. En als de baas het vraagt…
Creativiteit
Het wordt er voor bedrijven niet makkelijker op hun systemen te beschermen tegen de creativiteit en het probleemoplossend vermogen van cybercriminelen. Je kan de ene firewall na de andere optrekken, je bedrijf digitaal zo goed mogelijk afschermen van de buitenwereld, het maakt allemaal geen moer uit als de medewerkers zich onvoldoende bewust zijn van de risico’s. Een cyberattack is altijd maar een appje of mailtje van je bedrijf verwijderd.
Meer investeren in beveiliging is belangrijk, maar zal het risico nooit volledig wegnemen. Bedrijven moeten inzetten op preventie, in de eerste plaats door de medewerkers continu te informeren. De vraag is immers niet óf je bedrijf ooit een cyberaanval moet afslaan, eerder wanneer dat zal gebeuren. En de nieuwe privacyregeling indachtig, kan je dan maar beter op scherp staan.
Overigens: dat laatste weten ook de cybercriminelen maar al te goed. De prijs om je data terug te kopen is een heel stuk in waarde gestegen.