Waarom cybercrime ondernemers kopzorgen bezorgt

29-06-2016

'Koop hier twee dagkaarten voor een mooi prijsje!’ Een mail van de NS of van een brutale crimineel? Phishing-mails zijn vaak niet meer van echt te onderscheiden. En dat is een groot probleem voor ondernemers. Waarom doet niemand daar wat aan?

Dagelijks melden verheugde klanten zich bij de servicebalie van Media Markt. Enthousiast zwaaiend met een geprinte e-mail komen ze hun ‘gewonnen’ televisie of computer in ontvangst nemen. Althans, dat denken ze. ‘Kunnen wij weer uitleggen dat ze een nepmailtje hebben gekregen’, zegt Ton van der Meij, hoofd beveiliging bij Media Markt. ‘Behoorlijk frustrerend, zeker als ze dan ook nog gegevens kwijt zijn geraakt omdat ze op een link in de e-mail hebben geklikt.’
Naïeve klant die daar zomaar intrapt? Mwah, dat valt wel mee. Phishing-mails, waarmee criminelen de argeloze ontvanger gegevens of geld afhandig willen maken, lijken steeds echter. Ze haken in op de actualiteit, of op lopende acties van bedrijven. Slecht geschreven mailtjes vol spelfouten zijn het allang niet meer, zegt Van der Meij. ‘Media Markt heeft 49 filialen. Mensen ontvangen dan een valse e-mail over onze zogenaamde vijftigste winkel die we gaan openen. Met de belofte van een cadeau. Niet van echt te onderscheiden als je niet de hele e-mail naloopt.’

Echt of Nep? Media Markt krijgt dagelijks klanten in de winkel die iets ‘gewonnen’ hebben

Reputatieschade
In e-mails die zogenaamd van Albert Heijn afkomstig zijn, wordt klanten een cadeaukaart beloofd als ze hun telefoonnummer opgeven. Zo worden ze geabonneerd op een sms-service die hen al snel 5 euro per dag kost. Een bedrag dat rap oploopt als je maar één keer per maand je factuur checkt. Hiervoor waarschuwt Albert Heijn uitgebreid op haar website, net als bijvoorbeeld Media Markt, Jumbo en IKEA. Heel vervelend voor de consument, maar net zo goed voor het bedrijf dat reputatieschade lijdt. E-mail als effectief marketinginstrument wordt daardoor minder krachtig, merkt Jelle Gijsbers van Albert Heijn. ‘We mailen bijvoorbeeld wekelijks onze klanten met relevante aanbiedingen en informatie over de winkel in de buurt. Maar als mensen e-mails niet meer openen omdat ze de zaak niet vertrouwen, dan kun je als merk je klanten niet meer bereiken. Dat is echt ongewenst.’ Ook hij merkt dat criminelen slimmer worden. ‘Een jaar geleden kregen mensen nog e-mails met een matige opmaak en prijzen in Britse ponden. Nu zijn de mails vaak niet meer van echt te onderscheiden. En dat is een groot probleem, voor ons en voor de klant.’

Echt of Nep? Ook Albert Heijn merkt dat e-mails van criminelen nauwelijks van echt te onderscheiden zijn

Mondjesmaat aangifte
Bij de Fraudehelpdesk, het meldpunt van het ministerie van Veiligheid en Justitie waar internetfraude gemeld kan worden, nam het aantal meldingen van phishing de afgelopen tijd sterk toe. Kreeg de helpdesk in de eerste helft van 2015 64 meldingen over valse Jumbo-acties, in de tweede helft van dat jaar waren het er al zeshonderd. Dit jaar werden er al meer dan 250 duizend meldingen gedaan. Deels zal dat liggen aan betere bekendheid van het meldpunt, aan de andere kant: Albert Heijn en Media Markt kregen nog nooit zoveel meldingen als dit jaar.
Maar wat gebeurt daar vervolgens mee? Bedrijven doen aangifte van identiteitsmisbruik; burgers zelf melden maar mondjesmaat bij de politie wat hen is overkomen. Individueel zijn ze soms 10 of 50 euro kwijt, maar alles bij elkaar loopt de buit in de miljoenen. Gijsbers van Albert Heijn en Van der Meij van Media Markt hebben niet de indruk dat de politie op dit moment veel voor ze kan betekenen. Het is geen prioriteit, zegt Van der Meij. ‘Maar ook bij bedrijven valt het onderwerp soms tussen wal en schip’, stelt Gijsbers. ‘Je merkt dat men zoekende is. Alleen al bij de overleggen die leden van Detailhandel Nederland hebben: wij benaderen het onderwerp vanuit klantenservice, een ander doet dat vanuit beveiliging of public relations. Zaak is in elk geval dat we samen optrekken met andere partijen, ook bij het informeren van klanten of het melden van phishing.’ Van der Meij: ‘Ik vraag me ook af of de politie veel kan doen. Je pak er drie op, er komen er vijf bij.’ Bert van Steeg van Detailhandel Nederland vindt dat winkeliers er nog teveel alleen voor staan. ‘Winkelketens kunnen dit niet alleen oplossen, en gezien de snelle ontwikkeling van phishing zal dit de komende jaren alleen maar erger worden. Opsporende instanties zullen zich snel moeten ontwikkelen.’

Echt of Nep? Albert Heijn, Media Markt, KPN, Jumbo, NS: stuk voor stuk krijgen ze steeds vaker te maken met valse ‘acties’

Onderaan het prioriteitenlijstje
‘De opsporing is lastig’, zegt ook Wouter Stol, bijzonder hoogleraar Politiestudies en lector Cyber safety aan de NHL Hogeschool en op de Politieacademie. ‘Iemand proberen op te lichten is al strafbaar, dat is het probleem niet. Maar er zijn bijna geen aanknopingspunten, terwijl het toch wel zeker is dat er ook Nederlanders bij betrokken zijn gezien het hoge niveau van de e-mails. Daarnaast staat dit probleem voor de politie zeker niet bovenaan het prioriteitenlijstje.’ Ook het kennisniveau van de agenten speelt een grote rol, stelt de hoogleraar. Dat maakt efficiënt aanpakken al helemaal lastig. Bij de politie is het besef dat cybercriminaliteit niet meer weggaat te laat doorgedrongen, zegt Stol. ‘Toen het hightech crime team werd opgezet binnen de politie werd dat behandeld als een tijdelijk projectteam. Maar dit is geen project, digitalisering is een totale verandering van de samenleving. Daar moet de gehele politie in mee. Ze zijn nu bezig met een inhaalslag.’ Hij vergelijkt de verandering die op gang moet komen met de aanpak van verkeersveiligheid. In de jaren zeventig kwamen per jaar drieduizend mensen om het leven door een verkeersongeluk. 
Pas toen de hele samenleving in stelling werd gebracht – met beleid, politie-inzet, voorlichting, technische maatregelen – nam dat getal sterk af. ‘Zo kijk ik ook naar phishing. We zitten nu nog aan het begin van de ellende. Er moet een discussie op gang komen over wie wat aanpakt en wie waarvoor verantwoordelijk is. Publiek en privaat moeten met elkaar om tafel over dit onderwerp. Je kunt hier niet lichtzinnig over denken.’ En niet alleen om ervoor te zorgen dat Albert Heijn en Media Markt weer doeltreffend kunnen communiceren met hun klanten.

Wat is phishing eigenlijk?
Phishing is een vorm van internetfraude. De crimineel doet zich voor als een vertrouwd bedrijf of een betrouwbare instantie, bijvoorbeeld een bank, supermarkt of overheidsdienst, en probeert via e-mail zijn slachtoffers naar een nepwebsite te lokken. Daar wordt deze dan gevraagd om in te loggen met bijvoorbeeld een wachtwoord, creditcardnummer of telefoonnummer. Bedrijven die last hebben van phishing waarschuwen klanten hiervoor op hun website. Op de website van Albert Heijn staat bijvoorbeeld uitgelegd wel-ke nepmails in omloop zijn en hoe klanten een nepmail kunnen herkennen. Ook zijn er voorbeelden te vinden van phishing mails.
Spear phishing is een vorm van phishing die gerichter te werk gaat. Door me-dewerkers van een specifiek bedrijf te mailen, soms zogenaamd uit naam van de ceo, proberen criminelen de onderneming binnen te komen. Bijvoorbeeld om zo klantgegevens te stelen.

Gevaar vitale infrastructuur
De overheid vergeet dat er een sterke link van dit soort mailtjes is met de vitale infrastructuur, zegt Marianne Junger, hoogleraar Cyber safety aan de Universiteit Twente. Dan gaat het niet alleen meer om individuele schade en reputatieverlies voor het bedrijfsleven, maar om de veiligheid van de hele samenleving. ‘Je hebt geen tank nodig om door de barrières van een kerncentrale heen te komen. Een mailtje sturen is vaak al voldoende, ook naar het privé-mailadres van werknemers.’
De oplossing ziet Junger op verschillende fronten. Allereerst: het grote publiek bewuster maken. ‘Mensen zijn over het algemeen heel goed van vertrouwen. Dat merken wij ook in experimenten. Als onderzoekers bijvoorbeeld op de markt mensen vragen naar hun e-mailadres en naar hun bankrekeningnummer, geven ze dat zonder morren.’ Mensen worden opgevoed met het idee dat een ander niet zomaar in je gezicht liegt. En dat doet een phishing mail dus wél. ‘Naar mijn idee zijn er weinig instanties in Nederland die zich echt geroepen voelen om dat op te pakken. Een collega van mij heeft eens geprobeerd om aangifte te doen van phishing, maar hij kwam daar niet ver mee. Nooit meer wat van gehoord.’