Stel je voor: de telefoon gaat. Een vriendelijke stem aan de andere kant zegt dat hij van je IT-leverancier belt. Er is een urgent probleem met je account en hij heeft even je inloggegevens nodig om het op te lossen. Je medewerker, die al druk genoeg is, geeft ze. Klaar. Probleem opgelost, denkt hij. Maar een paar dagen later staat je bedrijfsnaam in het nieuws. En niet op de manier die je je had gewenst.

Herken je deze situatie? Dat telefoontje is precies hoe de beruchte cybercriminele groep ShinyHunters onlangs inbrak bij Aura, een Amerikaans bedrijf dat zichzelf specialiseert in identiteitsbescherming en digitale beveiliging. Het resultaat: 900.000 gestolen records. En de aanvalsmethode was geen technisch meesterwerk. Het was gewoon een telefoontje.

Wat is er precies gebeurd bij Aura?

ShinyHunters, een internationaal opererende hackersgroep die in Nederland ook bekend staat van de grootschalige aanval op Odido (voorheen T-Mobile), heeft de gegevens van 900.000 mensen buitgemaakt bij Aura. Namen en e-mailadressen, en in sommige gevallen meer. De data bleek afkomstig uit een marketingtool van een bedrijf dat Aura in 2021 had overgenomen. Die data stond er dus al jaren. Vergeten, maar zeker niet onschadelijk.

De aanval zelf verliep via een techniek die vishing wordt genoemd: telefonische phishing. Criminelen deden zich telefonisch voor als een vertrouwde partij, waarna medewerkers toegang verleenden of inloggegevens prijsgaven. Geen zero-day exploit. Geen geavanceerde malware. Gewoon een gesprekje.

Enkele dagen na de aanval eiste ShinyHunters publiekelijk de verantwoordelijkheid op. Dinsdagavond werd het lek gesignaleerd door Have I Been Pwned, de bekende dienst waarmee je kunt controleren of je gegevens ooit zijn gelekt. Aura bevestigde het incident en is nog volop in onderzoek.

Wat heeft dit met jouw bedrijf in Brabant te maken?

Misschien denk je nu: 'Dat is een Amerikaans bedrijf, dat overkomt mij niet.' Begrijpelijk. Maar laat me je drie dingen meegeven die deze gedachte nuanceren.

Ten eerste: als een professioneel beveiligingsbedrijf, waarvan cybersecurity het hele bestaansrecht is, slachtoffer wordt van een simpel telefoontje, dan is geen enkele organisatie immuun. Niet de grote multinational. En ook niet het mkb-bedrijf met twaalf medewerkers in Tilburg of Den Bosch.

Ten tweede: ShinyHunters is je al eerder tegengekomen, ook al wist je dat misschien niet. De aanval op Odido raakte miljoenen Nederlandse klanten. Omdat Odido weigerde losgeld te betalen, publiceerde ShinyHunters de data stap voor stap online. Reputatieschade als wapen. Dat is hun handtekening.

Ten derde: de aanvalsmethode vereist geen technische kennis. Een crimineel met een telefoon en een overtuigend verhaal kan morgen je medewerker bellen. Heb je daar al over nagedacht?

De Ratho-driehoek: Mens, Proces en Techniek

Bij Ratho kijken we altijd door de lens van drie pijlers: Mens, Proces en Techniek. De hack bij Aura illustreert precies waarom alle drie even belangrijk zijn. Goede technologie alleen is niet genoeg.

Mens: je medewerker is de eerste verdedigingslinie

De aanval op Aura slaagde niet omdat hun firewall faalde. Hij slaagde omdat een medewerker een telefoongesprek vertrouwde dat hij niet had moeten vertrouwen. Dat is geen verwijt aan die persoon. Vishing-aanvallen zijn zorgvuldig voorbereid en overtuigend. De criminelen weten vaak al veel over je organisatie voordat ze bellen.

Een klant van ons, een installatiebedrijf met zo'n dertig medewerkers in de regio, kreeg vorig jaar een soortgelijk telefoontje. Een 'medewerker van Microsoft' belde met het dringende bericht dat hun account gehackt was. De beller wist zelfs de naam van de directeur. Gelukkig had één van de medewerkers net onze security awareness training gevolgd en herkende het patroon. Ze verbrak de verbinding en belde ons direct. Dat scheelde een hoop ellende.

Bewustwording is geen eenmalig klusje. Het is een doorlopend proces. Bij Ratho bieden we IT-trainingen aan die specifiek gericht zijn op dit soort aanvallen, ook voor medewerkers die technisch niet onderlegd zijn. Juist voor hen.

Proces: wat doe je als het toch misgaat?

Aura had als beveiligingsbedrijf ongetwijfeld processen. Maar de gelekte data dateerde uit 2021, van een overgenomen bedrijf. Die data was ergens vergeten. Dat is een procesprobleem, geen technisch probleem.

Voor het MKB betekent dit concreet: weet je welke data je bewaart? Niet alleen wat je vandaag verzamelt, maar ook wat er jaren geleden in een marketingtool of een overgenomen systeem is terechtgekomen? Dataminimalisatie is niet alleen een AVG-verplichting, het is ook gewoon slim. Data die je niet hebt, kan ook niet worden gestolen.

Daarnaast is een incidentresponsplan essentieel. Wat doe je als morgen blijkt dat je systemen zijn gecompromitteerd? Wie bel je? Wie communiceert intern en extern? Welke stappen volg je? Een plan op papier, dat je nooit hebt geoefend, is bijna even weinig waard als geen plan.

Techniek: de basis moet kloppen

Technische maatregelen blijven uiteraard onmisbaar. Maar bij vishing-aanvallen zijn ze pas de tweede laag, niet de eerste. Multifactorauthenticatie had in dit geval mogelijk de schade beperkt, omdat gestolen wachtwoorden alleen niet voldoende zouden zijn geweest om in te loggen. Dat is een concrete technische maatregel die elk mkb-bedrijf vandaag kan activeren.

Verder: controleer je eigen organisatie via Have I Been Pwned (haveibeenpwned.com). Je kunt daar controleren of e-mailadressen van je medewerkers of je organisatiedomein ooit in een bekend datalek zijn opgedoken. Gratis, snel en verhelderend.

Vijf concrete stappen die je deze week kunt zetten

Je hoeft geen groot IT-budget te hebben om zinvolle stappen te zetten. Hieronder vijf acties die direct verschil maken.

Voer een datascan uit. Kijk welke oude klantdata er nog staat in marketingtools, CRM-systemen of erfenissen van overgenomen softwarepakketten. Verwijder wat je niet meer nodig hebt.

Train je medewerkers specifiek op telefonische phishing. Laat ze weten dat een beller die zich voordoet als IT-support, Microsoft of je bank nooit om inloggegevens vraagt. Nooit.

Activeer multifactorauthenticatie op alle kritische systemen. Dit is een technische maatregel met grote impact, die voor de meeste systemen binnen een middag is ingesteld.

Stel een incidentresponsplan op. Weet wie er belt bij wie, wat er gecommuniceerd wordt en welke stappen er worden gezet als er een incident is. Oefen het desnoods een keer per jaar.

Controleer je domein via Have I Been Pwned. Weet je of je medewerkers al in eerdere datalekken zijn opgedoken? Die informatie is waardevol voor aanvallers.

Wat Ratho voor je kan betekenen

Wij werken dagelijks met mkb-bedrijven en onderwijsinstellingen in Brabant die geen eigen IT-afdeling hebben of waarvan het IT-team versterking kan gebruiken. Security is daarin altijd een terugkerend thema. Niet als angstmiddel, maar als fundament.

Via ons Ratho Portaal houden we overzicht over je IT-omgeving en signaleren we kwetsbaarheden voordat ze een probleem worden. Met onze IT-trainingen zorgen we dat je medewerkers weten hoe ze verdachte situaties herkennen, ook als het gaat om een telefoontje dat heel gewoon klinkt. En als er toch iets misgaat, weet je dat je ons kunt bereiken.

Cybersecurity is geen eenmalige investering. Het is een doorlopende samenwerking tussen je mensen, je processen en de juiste technologie. Precies dat is waar Ratho je bij helpt.

Veelgestelde vragen

Wat is vishing en hoe verschilt het van gewone phishing?

Vishing staat voor 'voice phishing', oftewel phishing via de telefoon. Bij gewone phishing krijg je een nep-e-mail. Bij vishing belt een crimineel je op en doet zich voor als een vertrouwde partij, zoals je IT-leverancier, je bank of een overheidsinstantie. Omdat het persoonlijker aanvoelt, zijn mensen vaak minder op hun hoede. De aanval op Aura is een goed voorbeeld: een telefoontje was genoeg om toegang te krijgen tot systemen van een professioneel beveiligingsbedrijf.

Hoe controleer ik of mijn bedrijfsgegevens al eens gelekt zijn?

Je kunt dit eenvoudig controleren via haveibeenpwned.com. Vul een e-mailadres in en de dienst laat je zien of dat adres ooit is opgedoken in een bekend datalek. Voor bedrijven is er ook een domeincheck beschikbaar, waarmee je alle adressen binnen je organisatiedomein in één keer kunt controleren. Twijfel je over de interpretatie van de resultaten? Neem dan gerust contact op met Ratho.

Wij zijn een klein bedrijf. Lopen wij echt risico op dit soort aanvallen?

Ja. Sterker nog: kleinere bedrijven worden steeds vaker doelgericht aangevallen, juist omdat criminelen weten dat de beveiliging en bewustwording daar vaak minder volwassen zijn dan bij grote corporates. ShinyHunters richt zich op grote slachtoffers, maar veel van de technieken die zij gebruiken, worden ook ingezet door kleinere cybercriminelen die zich op het mkb richten. De aanvalsmethode, een telefoontje, vereist bovendien geen technische kennis en is daardoor laagdrempelig voor iedereen.

Wat moet ik doen als ik vermoed dat een medewerker slachtoffer is geworden van vishing?

Handel snel, maar zonder paniek. Stap één: wijzig onmiddellijk de wachtwoorden van de betrokken accounts en activeer multifactorauthenticatie als dat nog niet is ingesteld. Stap twee: informeer je IT-afdeling of leverancier, zodat zij de logs kunnen bekijken en kunnen vaststellen of er al toegang is geweest. Stap drie: beoordeel of je als organisatie een meldplicht hebt bij de Autoriteit Persoonsgegevens (dat is het geval als er persoonsgegevens zijn gelekt). Bij Ratho helpen wij je door deze stappen heen, ook buiten kantooruren.

Hack bij beveiligingsbedrijf Aura: wat leert dit jouw mkb?