Cyberaanvallen vanuit het darkweb: hoe gestolen whatsapp-gegevens gebruikt worden voor smishing en vishing

Gepubliceerd op 24 augustus 2024 om 07:00

3,2 Miljoen Belgische WhatsApp-gebruikers getroffen

In augustus 2024 werd België opgeschrikt door het nieuws dat de WhatsApp-gegevens van maar liefst 3,2 miljoen gebruikers te koop werden aangeboden op het darkweb. Deze enorme hoeveelheid gegevens omvat telefoonnummers en gebruikers-ID’s van WhatsApp-accounts, en volgens experts zoals Michele Rignanese van het Centrum voor Cybersecurity, is dit een ernstige dreiging die vraagt om onmiddellijke actie van gebruikers.

Wat betekent dit precies? In feite zijn de gegevens niet gestolen door een traditionele hack waarbij inbreuk wordt gemaakt op de servers van WhatsApp. In plaats daarvan is deze informatie verzameld via een proces dat bekend staat als scraping. Dit houdt in dat iemand op een geautomatiseerde manier publieke gegevens van WhatsApp-gebruikers heeft verzameld en deze vervolgens heeft geanalyseerd en gecombineerd. De ethische hacker Inti De Ceukelaire verduidelijkt dat scraping legaal kan zijn, maar dat het in deze context ernstige risico’s met zich meebrengt, vooral als deze informatie in handen valt van kwaadwillende actoren.

Het incident benadrukt de kwetsbaarheid van onze persoonlijke gegevens op digitale platforms. Hoewel veel mensen ervan uitgaan dat hun informatie veilig is op diensten zoals WhatsApp, toont dit lek aan dat zelfs publieke informatie kan worden misbruikt. Het roept de vraag op in hoeverre we nog controle hebben over onze persoonlijke gegevens zodra we deze delen op sociale media en andere digitale platforms.

Wat cybercriminelen kunnen doen met jouw WhatsApp gegevens

De vraag die veel mensen zich nu stellen is: wat kunnen cybercriminelen precies doen met de informatie die ze via deze scraping-techniek hebben verzameld? Het antwoord is helaas verontrustend veelzijdig. De gestolen gegevens, zoals telefoonnummers en profielfoto’s, kunnen worden gebruikt voor verschillende vormen van cybercriminaliteit die gericht zijn op het manipuleren en bedriegen van gebruikers.

Smishing en vishing zijn twee van de meest voorkomende dreigingen die voortvloeien uit het gebruik van gestolen telefoonnummers. Smishing, een samenvoeging van ‘sms’ en ‘phishing’, verwijst naar pogingen om via sms persoonlijke of financiële informatie te stelen door zich voor te doen als een legitieme organisatie, zoals een bank of een nutsbedrijf. Deze berichten bevatten vaak links naar frauduleuze websites die speciaal zijn ontworpen om jouw gegevens te stelen.

Bij vishing (een combinatie van ‘voice’ en ‘phishing’) proberen aanvallers je telefonisch te misleiden. Ze doen zich vaak voor als vertegenwoordigers van bekende bedrijven of zelfs overheidsinstanties, met als doel jou gevoelige informatie te ontfutselen. Ze kunnen bijvoorbeeld beweren dat er een probleem is met je bankrekening en dat je snel moet handelen om je geld te beschermen, waardoor ze je overtuigen om je wachtwoorden of pincodes door te geven.

Naast smishing en vishing kunnen cybercriminelen de gestolen gegevens ook gebruiken voor identity theft (identiteitsdiefstal) en social engineering aanvallen. In het geval van identiteitsdiefstal kunnen criminelen je persoonlijke gegevens gebruiken om frauduleuze accounts te openen, leningen aan te vragen, of zelfs aankopen te doen op jouw naam. Social engineering, een bredere term voor manipulatieve technieken, kan worden ingezet om bijvoorbeeld je vrienden of familie te bedriegen door te doen alsof ze jou zijn, vooral als ze toegang hebben tot je profielfoto’s en naam.

Dit soort aanvallen kan bijzonder effectief zijn als de aanvaller voldoende persoonlijke details heeft verzameld om zijn verhaal geloofwaardig te maken. Het is niet moeilijk voor hen om bijvoorbeeld je profielfoto te gebruiken om een vals WhatsApp-profiel te maken en vervolgens contact op te nemen met je vrienden of familieleden met een overtuigend verhaal.

Bescherm je privacy: Wat je wel en niet moet doen

Gezien de gevaren die gepaard gaan met het recente datalek, is het essentieel dat gebruikers proactieve stappen ondernemen om hun privacy te beschermen. Hier volgen enkele belangrijke maatregelen die je kunt nemen om ervoor te zorgen dat je WhatsApp-informatie niet toegankelijk is voor onbekenden, inclusief cybercriminelen.

Allereerst is het van cruciaal belang om je privacy-instellingen op WhatsApp te controleren en aan te passen. Dit kan eenvoudig worden gedaan door naar de privacy-sectie van de app te gaan. Zorg ervoor dat de instellingen voor ‘laatst gezien’, ‘online’, en ‘profielfoto’ zijn ingesteld op ‘niemand’ of ‘alleen contacten’. Dit beperkt de toegang tot je gegevens en zorgt ervoor dat alleen mensen die je persoonlijk kent je informatie kunnen zien.

Een andere belangrijke stap is het bewust omgaan met inkomende berichten en telefoontjes. Beantwoord nooit berichten van onbekende nummers en wees voorzichtig met telefoontjes van organisaties die vragen om persoonlijke informatie. Dit geldt vooral als de communicatie onverwacht is of als je onder druk wordt gezet om snel te handelen. Vertrouw geen verzoeken om persoonlijke of financiële informatie, zelfs als deze legitiem lijken. Banken, bijvoorbeeld, zullen nooit via WhatsApp om je wachtwoord of pincodes vragen.

Wat je vooral niet moet doen, is nalaten om je privacy-instellingen regelmatig te controleren en te updaten. Cyberdreigingen evolueren voortdurend, en wat vandaag veilig lijkt, kan morgen een zwakke plek blijken te zijn. Deel ook nooit persoonlijke gegevens via WhatsApp, zelfs niet met mensen die je vertrouwt. Een simpel screenshot van een gesprek kan onbedoeld in verkeerde handen vallen en ernstige gevolgen hebben.

Daarnaast is het belangrijk om waakzaam te blijven voor pogingen tot social engineering. Criminelen kunnen zich voordoen als je vrienden, familie of collega’s, vooral als ze toegang hebben tot je profielfoto en naam. Als je ooit een ongebruikelijk verzoek ontvangt van iemand die je kent, zoals een vraag om geld of om gevoelige informatie te delen, bel die persoon dan direct om te bevestigen dat het verzoek legitiem is.

Blijf voorbereid: Voorkom dat je volgende slachtoffer bent

Het incident met de WhatsApp-gegevens van 3,2 miljoen Belgen onderstreept een bredere les: de noodzaak om voortdurend alert te blijven en je voor te bereiden op mogelijke cyberdreigingen. Deze voorbereiding begint met een grondig begrip van hoe jouw gegevens worden verzameld en gebruikt door digitale platforms.

Een van de beste manieren om jezelf te beschermen is door regelmatig je privacy-instellingen te controleren en aan te passen op alle sociale media en communicatiediensten die je gebruikt. Dit is niet beperkt tot WhatsApp; Facebook, Instagram, en andere platforms bieden soortgelijke privacy-instellingen die je kunt gebruiken om te bepalen wie toegang heeft tot jouw informatie.

Daarnaast is het verstandig om waakzaam te blijven voor verdachte activiteiten. Als je ooit wordt benaderd door een onbekend nummer, of als je een bericht ontvangt dat lijkt te komen van een legitieme bron maar om persoonlijke informatie vraagt, wees dan extra voorzichtig. Vertrouw nooit blindelings op wat je ziet of hoort. Het is altijd een goed idee om de bron te controleren door zelf contact op te nemen met de organisatie waarvan beweerd wordt dat ze contact met je hebben opgenomen. Dit kan eenvoudig worden gedaan door het officiële nummer van de organisatie op te zoeken en hen direct te bellen.

Proactieve maatregelen zoals deze kunnen je helpen om een stap voor te blijven op cybercriminelen. Maar het is ook belangrijk om je vrienden en familie te informeren over deze dreigingen. Veel mensen zijn zich niet bewust van de risico’s die gepaard gaan met het delen van persoonlijke informatie online, en door hen te waarschuwen, kun je helpen om hen te beschermen tegen mogelijke aanvallen.

Neem vandaag nog actie

Het datalek waarbij de WhatsApp-gegevens van 3,2 miljoen Belgen zijn gestolen, dient als een krachtige herinnering aan de gevaren die schuilen in de digitale wereld. Cybercriminelen zijn voortdurend op zoek naar manieren om onze gegevens te misbruiken, en het is aan ons om ervoor te zorgen dat ze geen kans krijgen.

Controleer vandaag nog je WhatsApp-privacyinstellingen en zorg ervoor dat je gegevens niet voor iedereen toegankelijk zijn. Beantwoord geen berichten van onbekende nummers en geef nooit persoonlijke informatie door via WhatsApp. En misschien wel het allerbelangrijkste: informeer je vrienden en familie over deze dreiging, zodat ook zij de nodige maatregelen kunnen nemen om zich te beschermen.

De digitale wereld biedt talloze voordelen, maar het brengt ook aanzienlijke risico’s met zich mee. Door waakzaam te blijven en je privacy-instellingen goed te beheren, kun je een stap voorblijven op cybercriminelen. Deel deze informatie en help mee om anderen te beschermen tegen deze groeiende dreiging.

Begrippenlijst:

  • Smishing: Een vorm van phishing waarbij aanvallers via sms berichten versturen om persoonlijke informatie te verkrijgen.
  • Vishing: Een vorm van phishing waarbij aanvallers proberen informatie te verkrijgen via telefoongesprekken.
  • Scraping: Het geautomatiseerd verzamelen van gegevens van websites, vaak zonder toestemming.
  • Identity theft (Identiteitsdiefstal): Het gebruik van andermans persoonlijke gegevens om frauduleuze acties uit te voeren, zoals het openen van rekeningen of het maken van aankopen.
  • Social engineering: Manipulatietechnieken die door cybercriminelen worden gebruikt om mensen te misleiden en gevoelige informatie los te krijgen.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.

Bron: DeMorgen

Meer artikelen over het darkweb

De jacht op Bohemia/Cannabia: Een kijken achter de schermen van Darkweb-criminaliteit

In deze podcast bespreken we de recente aanpak van de Nederlandse politie tegen een van de grootste darkweb-markten, Bohemia/Cannabia. Deze markt was een belangrijke hub voor illegale activiteiten, waaronder drugshandel en cybercriminaliteit, met een geschatte maandelijkse omzet van 12 miljoen euro. De politie, met behulp van internationale samenwerking en geavanceerde technische middelen, slaagde erin de markt te ontmantelen en de hoofdbeheerders te arresteren. Daarbij werd 8 miljoen euro aan cryptovaluta in beslag genomen. Deze operatie laat zien dat de politie steeds effectiever darkweb-criminelen kan opsporen, ondanks hun pogingen om anoniem te blijven.

Lees meer »