JD Sports, Casa, Game Mania, MediaMarkt: zomaar wat retailers die de afgelopen 2 jaar werden getroffen door een cyberaanval. Cybercriminaliteit is een groot en soms nog onderschat risico van de digitaliserende wereld. Gina Doekhie, cybercrimespecialist en digitaal detective, legt uit hoe retailers zich kunnen wapenen.

Ransomware: grootste gevaar voor merken

 “De grootste actuele dreiging voor retailers is ransomware. Daarmee gijzelen criminelen alle data binnen jouw bedrijf en kun je niet meer bij je gegevens: niet meer bij informatie over klanten, leveranciers, boekhouding. Je hele bedrijf ligt plat.

Ransomware is software die cybercriminelen installeren als ze je bedrijf digitaal binnensluipen. Na de hack versleutelen ze alle data en stelen ze zelfs vertrouwelijke gegevens. Om weer toegang te krijgen moet je losgeld betalen. Dat is het verdienmodel. MediaMarkt kreeg 2 jaar geleden te maken met ransomware. Een deel van de organisatie kon toen niet functioneren.”

‘Een cybercrimineel kan zich met een deepfake of voice-cloning voordoen als een ceo en vragen om zo snel mogelijk geld over te boeken’

De hack als businessmodel

“Hackers hebben het gemunt op retailmerken, omdat die veel data hebben. Die informatie is waardevol genoeg om er geld voor te vragen. Net als bij ransomware proberen ze grote bedrijven te hacken, omdat ze meestal een percentage van de jaaromzet als losgeld eisen om de data weer te ontgrendelen. In principe krijg je na betaling altijd weer toegang tot je gegevens. Hoewel ik betalen niet wil stimuleren, weet je wel dat het daarna grotendeels is opgelost. Het is hun businessmodel. Als iedereen blijft betalen, kunnen hackers meer en meer gaan vragen. Als ze na betalen geen toegang geven tot de data, vertrouwt niemand ze ooit meer. Dan verdwijnt het verdienmodel en kunnen ze, behalve data lekken, niets meer. Bedrijven die niet betalen worden overigens vaak gechanteerd met gevoelige data. Op de fora van hackers wordt verspreid dat bepaalde bedrijven niet betalen. Ook worden dan stukjes data gelekt, om te laten zien dat ze bepaalde informatie echt in handen hebben.”

Wie zijn die hackers?

“Je kunt een hackersgroep zien als een normaal bedrijf. Ze zijn heel professioneel. Er zijn een leidinggevende, financiële medewerkers en developers of IT’ers. Daarnaast is er een helpdesk voor de slachtoffers van de aanvallen. Misschien loopt er ook nog wel een witwasser rond.

Er is iemand die het proces coördineert, iemand die de hacksoftware schrijft en als je de data terug wilt, kun je bellen of chatten. De onderhandelaar doet een bod en via de helpdesk kun je betalen en krijg je je gegevens terug.

Het groepje hoeft elkaar niet goed te kennen of fysiek bij elkaar te komen. Ze kunnen elkaar ontmoeten op het darkweb en daar een coalitie vormen. De technische hackers ondersteunen vaak degenen die niet-technisch onderlegd zijn.

Daarnaast kun je bepaalde pakketten op het darkweb kopen of iemand inhuren om de hack voor je uit te voeren. Het komt meer en meer voor dat een hack wordt gefaciliteerd. Daardoor kunnen nu veel meer mensen hacken en brengen ze ook weer veel meer schade toe. Ook dat maakt dat het een lucratieve business wordt. Je hoeft niet zelf te hacken om veel geld te verdienen.”

Weg met de cyberschaamte

“Veel bedrijven kampen met cyberschaamte. Ze zijn bang dat ze een slechte naam krijgen na een hack. Daar moeten we vanaf. Het kan iedereen overkomen – goed of slecht beveiligd. Hoe meer bedrijven het naar buiten brengen, hoe meer kennis we vergaren en hoe beter we andere partijen kunnen beschermen. De hackers worden beter en slimmer, dus die slag moeten wij ook maken. Vertellen is de beste vorm van schadebeperking voor de hele markt. Gelukkig neemt de cyberschaamte wel af. Voor een deel komt dat doordat bedrijven binnen 72 uur een melding moeten doen bij de Autoriteit Persoonsgegevens als er persoonsgegevens gelekt zijn.
Daarnaast snappen veel partijen inmiddels wel dat ze klanten en personeel moeten vertellen waarom het bedrijf platligt. Want dat is de realiteit: je kunt soms helemaal niks meer met je organisatie. Dat moet je toch vertellen. Men wordt meer dan vroeger gedwongen om naar buiten te treden maar ik denk dat ons dat juist allemaal helpt.”

‘Om echt veilig te zijn moeten we terug naar een minder digitale wereld’

Waar gaat het heen?

“De toekomst ziet er in deze wereld donker uit. Met de nieuwste snufjes is niet meer te onderscheiden wat echt is en wat is gemaakt met AI. AI maakt het criminelen bovendien veel gemakkelijker om aanvallen uit te voeren.

Iemand die niet zo technisch is kan met bots als ChatGPT opeens coderen en malware schrijven. Ook phishingmails worden door ChatGPT beter, netter en meer foutloos. Vroeger kostte dat soort activiteiten veel meer tijd. Doordat het nu sneller gaat kan cybercrime massaler plaatsvinden.

Een ander groot probleem is digitale factuurfraude. Een voorbeeld daarvan is ceo-fraude. Een cybercrimineel kan zich met een deepfake of voice-cloning via beeld of geluid voordoen als de bestuurder en de financiële afdeling vragen om zo snel mogelijk geld over te boeken. Als een hacker via de telefoon overboekingen doorgeeft aan de financiële afdeling, dan worden deze vaak gewoon uitgevoerd. In de ogen van de werknemer is het immers de ceo die deze call heeft gemaakt. Het is dus heel belangrijk dat je een goed verificatiesysteem hebt. (Wehkamp kreeg in 2020 met iets vergelijkbaars te maken. Het onlineplatform maakte geldbedragen over aan cybercriminelen in plaats van aan de curatoren van modemerk Didi. Het koste de webwinkel uiteindelijk 144.000 euro. De hackers hadden e-mailadressen gemaakt die leken op de mailadressen van curatoren, red.)

Aan de cybersecurityteams is het de taak om mechanismen te bouwen die dit soort dingen aankunnen. Maar misschien is het wel het meest ironisch dat we terug moeten naar een minder digitale wereld om echt veilig te zijn. Zorg dat je vaker bij elkaar bent, maak grote beslissingen alleen nog als je elkaar persoonlijk ziet. Het menselijke aspect is uiteindelijk het beste schild binnen cybersecurity.”