Maria Genova over onoplosbare cybercrime

‘Komt een vrouw bij de h@cker’ van onderzoeksjournalist Maria Genova is toe aan de 21ste druk maar van sleet is totaal geen sprake. Genova hoeft nieuwe versies nauwelijks te actualiseren omdat de aloude trucs van cybercriminelen nog volop worden gebruikt. Haar pragmatische en originele verhaal op TBX is een must voor iedereen die zich wil wapenen tegen hackers.

Iedere week een streepje erbij. Of twee. Of tweehonderd. Het aantal gehackte bedrijven blijft maar groeien. Al meer dan tien jaar klinkt de alarmbel. En al meer dan tien jaar verandert er vrijwel niets. De urgentie dringt kennelijk niet door tot de samenleving en keer op keer worden dezelfde waarschuwingen afgegeven. Neem alleen al het gebruik van wachtwoorden, een pain in the ass van iedereen die cybersecurity een warm hart toedraagt. Gebruik geen korte en voor-de-hand-liggende wachtwoorden als ‘willem73’ of ‘abcd123’. Dat is niet zo moeilijk toch? Gebruik lange en complexe wachtwoorden met kleine letters én hoofdletters, cijfers én leestekens. Zoals bijvoorbeeld ‘bP38Sn!L9AH’. Een kind kan de was doen. Toch zijn knullige wachtwoorden van acht tekens nog bijna overal toegestaan waar cybercrime-specialist Maria Genova presentaties geeft.

Fascinerend

En dus is gehackt worden iets wat in 2022 bij ondernemen hoort, een bedrijfsrisico waarvoor je budget moet reserveren, net als voor medewerkers met een burn-out of voor de periodieke reparatie van de liftschacht. Het aantal namen van gehackte bedrijven is immens. In de week van Prinsjesdag werd Wintermute, een groot Amerikaans cryptohandelshuis, gehackt. (Er werd voor 160 miljoen euro aan cryptomunten buitgemaakt, zo meldde het FD.) In diezelfde week liep ook Take-Two Interactive tegen de lamp, een uitgever van computerspellen. Een hacker wist beelden te publiceren van GTA VI, een nog niet uitgebracht spel van Take-Two Interactive. Ook in Nederland was het goed raak in september. De gemeente Groningen, IHG Management, Bitvavo, Intratuin, DGTL Amsterdam, DigiD, de Belastingdienst, Farel College en Universiteit Leiden waren in de eerste drie weken van september slachtoffer van de een of andere vorm van cybercrime of -lekkage.

Hoe klunzig en amateuristisch de oorzaak van cybercrime vaak ook is, het onderwerp an sich is fascinerend. Genova raakte acht jaar geleden in de ban omdat ze wilde weten wie de slachtoffers zijn van cybercrime en hoe zij slachtoffer zijn geworden. Ze schreef ‘Komt een vrouw bij de h@cker’, dat toe is aan de 21ste druk. Daarna verscheen ‘What the h@ck’ over de 13-jarige André, die besluit de strijd aan te gaan met cybercriminelen. (André bedenkt een game en het anti-hack­platform Hackshield.) Onlangs verscheen Genova’s nieuwste boek: ‘Snel geleerd, slim online’ over nieuwe vormen van online fraude, een thema waar ze dieper op ingaat tijdens haar keynote op TBX.   

Wachtwoordmeuk

Wat is dat toch altijd weer met die slecht gekozen wachtwoorden? Is het niet eens tijd om te stoppen met ‘appeltje01’ en andere makkelijk kraakbare wachtwoordmeuk?
‘Dat roep ik al jaren. Bij gemeente Hof van Twente werd het wachtwoord ‘welkom2020’ gekraakt. Dat kostte de gemeente vier miljoen euro. Of neem het gebruik van voornamen. Die scoren ook hoog op de lijst van meest gehackte wachtwoorden. Vooral ‘willem’ is om de een of andere reden populair. Ook verschillende soorten fruit worden veel gebruikt en ‘banaan’ scoort wel het hoogst. Dan zijn er nog wachtwoorden die als grapje zijn bedoeld, zoals ‘geheim’, ‘w8woord’ of ‘vergeten’. Het klinkt logisch, maar gebruik ze gewoon niet. Hoe gemakkelijk wil je het criminelen maken? En waarom staan bedrijven dit nog steeds toe? Ik erger me dood aan gemakzucht. Mensen zijn hardleers. Of ze denken dat alleen grote bedrijven gehackt worden. Nou nee dus. Ook het mkb wordt keihard getroffen. Aan ons de taak het hackers zó moeilijk te maken dat ze het opgeven en het bij de volgende gaan proberen.’

Wat is je advies als het om wachtwoorden gaat?
‘Mijn oproep is simpel: maak wachtwoorden lang, minimaal 13 tekens. De nieuwste hackprogramma’s zijn zó snel geworden dat ze miljoenen bewerkingen per seconde aan kunnen en wachtwoorden van acht tekens vaak snel hebben gekraakt. Je moet tegenwoordig al naar dertien, veertien tekens toe. Daar zijn de hackprogramma’s nog niet tegen bestand want er zijn dan miljarden combinaties mogelijk. Verder adviseer ik zinnen te gebruiken. Zinnen zijn simpel te onthouden en lastig te hacken. Dat komt vooral door de lengte. Woorden uit het woordenboek kun je beter niet als wachtwoord gebruiken want die worden vaak binnen een paar seconden gekraakt met hackprogramma’s. Als je per se woorden uit het woordenboek wilt gebruiken, koppel dan meerdere woorden aan elkaar of bedenk een zin.’

‘Snel geleerd, slim online’ is net verschenen. Waarover gaat dit boek?
‘Volgens het CBS zijn jaarlijks 2,5 miljoen Nederlanders slachtoffer van online fraude. Dat onderwerp behandel ik in het boek. Het verhaal gaat over Irene en Frans, die allebei online zijn opgelicht. Hun wegen kruisen elkaar als Irene weer slachtoffer lijkt te worden van een fraudeur. Deze keer besluiten ze samen om er iets aan te doen. Het boek staat vol met handige tips om je te wapenen tegen oplichters. Hoe kun je voorkomen dat je gehackt wordt? Hoe herken je valse e-mails en links? Hoe kun je je geld terugkrijgen als je opgelicht bent?’

Dubbele afpersing

Wat zijn de nieuwste trends?
‘Dubbele afpersing, een ransomware-variant, is echt een trend. Heel langzaam, zonder dat het opvalt, wordt alles gestolen. Uiteindelijk zijn niet alleen je bestanden gegijzeld maar wordt er ook nog eens gedreigd met het publiceren van jouw data als je niet betaalt.’

Op het darkweb is alles te koop. Raidforums.com was een populair platform voor de handel in buitgemaakte wachtwoorden, suckerlists, databestanden, telefoonnummers, klantgegevens, porno-accounts, ID-bewijzen en gelekte informatie. Het goede nieuws is dat Raidforums inmiddels is gesloten na een gezamenlijk actie van de Amerikaanse, Engelse, Zweedse en Roemeense politie. Andere forums gaan gewoon door. Steeds vaker hebben de hackers alle klantgegevens gekopieerd. Daarmee persen ze de bedrijven af. Wat is je advies? 
‘Het bewustzijn onder de medewerkers is in bijna alle sectoren nog steeds bijzonder laag. Medewerkers rekenen op de it-afdeling, die de boel vaak ook niet kan redden. Goede manieren van awareness creëren is de grote uitdaging.’

Het kabinet besteedt in de Miljoenennota voor 2023 volop aandacht aan ict. Denk bijvoorbeeld aan de implementatie van de Nederlandse Cybersecurity Strategie en de doorontwikkeling van het Nationaal Cyber Security Centrum (NCSC) in de richting van een ’toekomstbestendig cybersecuritystelsel’. Het kabinet vergroot het budget van het NCSC van zeven miljoen euro naar 23 miljoen euro. Het budget blijft de komende jaren groeien en bedraagt 42 miljoen euro in 2027. Is dat voldoende?
‘Ik word niet warm of koud van budgetten als tegelijkertijd de verkeerde maatregelen worden toegepast. Waar gaat dat geld naartoe? Gaan ze weer nieuwe werkgroepen opzetten? Nog meer praten en rapporten schrijven? Ik ben een pragmaticus en geloof in dingen uitproberen. Kijk, organisaties worden gehackt omdat de it-afdeling geen updates uitvoert of omdat medewerkers stomme dingen doen. Mensen blijven maar klikken op verkeerde links. Geef hun een training over hoe ze phishing-mails herkennen, want die worden steeds echter. Mensen hebben concrete tips nodig om bijvoorbeeld honderd verschillende wachtwoorden te kunnen onthouden of kwaadaardige qr-code te herkennen. En het mkb heeft toegankelijke e-learning nodig. We vinden het toch belangrijk dat bedrijven cyberweerbaar worden? Geef ze dan ook de middelen. Ik werk graag samen met organisaties die e-learning belangrijk vinden. Mijn enige voorwaarde is dat we die gratis beschikbaar stellen.’

Perfecte timing

Hoe echt zijn phishing-mails inmiddels?
‘Wat me opvalt is dat de timing vaak perfect is. Je hebt bijvoorbeeld net iets online besteld en krijgt een mail van ‘PostNL’. Voer je jouw gegevens in? Dan wordt je bankrekening leeggetrokken. Maar vergis je niet, ook op slechte phishing-mails wordt nog steeds geklikt. Mensen denken echt dat de it-afdeling hen tegenhoudt als ze op iets verkeerds klikken of een verkeerd vinkje zetten.’

De politie is de laatste tijd actief geweest op het gebied van bankhelpdeskfraude door nepbankmedewerkers. Die tak van sport schijnt populair te zijn. Soms zien de slachtoffers in het beeldscherm van hun telefoon zelfs het echte nummer van de bank verschijnen. Wat is je advies?
‘Dat is inderdaad een probleem. Je wordt gebeld door ‘de bank’ met de mededeling dat je bankrekening gehackt is en dat je een veilige kluisrekening moet openen. Mijn advies is niet zo ingewikkeld. Kluisrekeningen bestaan niet. Als je die term hoort, moet je meteen ophangen.’

De nieuwskoppen in de kranten klinken bijna als satire. Een kleine greep: Nepberichten verstuurd uit naam van burgemeester Den Helder; Hackers vallen prentenkabinet Beverwijk aan; Zwembad Enkhuizerzand waarschuwt: niet op linkje klikken; Albert Schweitzer Ziekenhuis wiste 513.000 oude patiëntdocumenten; Na cyberaanval 120 Nederlandse tandartspraktijken tijdelijk dicht; Medewerker GGD IJsselland lekt namenlijst 148 genodigden apenpokkenvaccinatie. Het lijkt erop dat cybercriminelen heel Nederland hebben gegijzeld.
‘Echt bizar wat er gebeurt. Het is een vicieuze cirkel. En mensen blijven maar denken dat ze onkwetsbaar zijn. Iedereen is hackable. Bedrijven betalen tonnen aan criminelen of gaan failliet. Sinds 2016 zet ik met it’er Joram Teusink alle hacks die we tegenkomen op Datalekt.nl. Ik haal cyberincidenten uit nieuwsbrieven, politieberichten, rechtszaken en de media. Op Datalekt.nl staan al 296 datalekken en 96 ransomware-aanvallen, met een totale schade van 87 miljoen euro.’

Je geeft vaker presentaties bij bedrijven. Hoe wordt er op jouw verhaal gereageerd?
‘Mensen schrikken er erg van. In de pauze gaan ze massaal wachtwoorden veranderen. Op TBX wil ik eindigen met een paar positieve voorbeelden om te laten zien dat het ook goed af kan lopen als je iets beter je best doet.’

(Dit artikel staat ook in Computable-magazine #05/06-22.)