Cybercriminelen slaagden er afgelopen jaar in om de WhatsApp-accounts van verschillende politici over te nemen. Het gaat om de accounts van leden van de Eerste en Tweede Kamer, Hoge Colleges van Staat en ambtenaren van meerdere ministeries. De oplichters probeerden op deze manier geld te verdienen, maar er hadden ook vertrouwelijke gegevens buitgemaakt kunnen worden.
Onderzoek Algemene Rekenkamer
Uit onafhankelijk onderzoek van de Algemene Rekenkamer blijkt dat cybercriminelen er afgelopen jaar in geslaagd zijn om de WhatsApp-accounts van meerdere politici te hacken. Het gaat om tenminste vijf leden van de Tweede Kamer, één lid van de Eerste Kamer, topambtenaren van het ministerie van Economische Zaken en Klimaat en verschillende medewerkers van nagenoeg alle ministeries.
Het overnemen van een WhatsApp-account is technisch gezien niet ingewikkeld, zo schrijft Rekenkamer. Een cybercrimineel of hacker meldt zich aan met het telefoonnummer van zijn slachtoffer. Voordat de oplichter daadwerkelijk berichten kan versturen, moet hij zijn identiteit bevestigen. Daarvoor verstuurt WhatsApp per sms een verificatiecode naar het nummer van het slachtoffer. De dader doet zich voor als een bekende van het slachtoffer en vraagt of hij de verificatiecode kan doorsturen. Als het slachtoffer zijn code doorstuurt naar de oplichter, kan hij zijn WhatsApp-account overnemen. Nu kan hij zich voordoen als een ander en mensen proberen op te lichten. Deze vorm van criminaliteit noemen we ook wel WhatsApp-fraude.
WhatsApp niet gebruiken voor zakelijke doeleinden
Ambtenaren en Kamerleden binnen de Rijksdienst worden ontraden om WhatsApp te gebruiken voor zakelijke doeleinden. Toch houden veel medewerkers zich daar niet aan en gebruiken de chatapplicatie zowel privé als zakelijk. Gelukkig pakte het goed uit. “Het ging deze hackers om geld, maar het is denkbaar dat het ook om informatie had kunnen gaan”, aldus de Algemene Rekenkamer.
Mogelijk is dit nog maar het topje van de ijsberg. Onderzoekers waarschuwen dat de ICT-helpdesks van de overheid geen ondersteuning bieden voor WhatsApp. Mogelijk wordt een deel van de overnames, of pogingen daartoe, niet gemeld. Als criminelen erin slagen om WhatsApp-accounts van politici en ambtenaren over te nemen die zakelijk worden gebruikt, bestaat de mogelijkheid dat gevoelige informatie op straat belandt. “Dit onderstreept het belang van permante aandacht en bewustwording voor veilig gebruik van WhatsApp op alle niveaus binnen de rijksoverheid”, zo schrijft de Rekenkamer.
Focus op digitaal thuiswerken
Eind vorig jaar publiceerde de Algemene Rekenkamer het onderzoeksrapport ‘Focus op digitaal thuiswerken’. In het onderzoek kwam naar voren dat er geen uniforme afspraken zijn over hoe ambtenaren, ministers, staatssecretarissen en andere overheidsmedewerkers die thuis werken op een veilige en verantwoorde manier met elkaar kunnen communiceren.
Dat leidt niet alleen tot onduidelijkheid, maar brengt tevens risico’s met zich mee op het gebied van informatiebeveiliging, privacy en adequate archivering van informatie. “Als er geen archivering is ingericht, leidt dat tot een gebrekkige inzicht in wat is afgesproken en het besluitvormingsproces daarbij”, schreef de Rekenkamer destijds. Het afleggen van verantwoording is daardoor niet mogelijk.
Niet de eerste keer
Het is niet de eerste keer dat er berichten opduiken over WhatsApp-accounts van politici die zijn overgenomen door cybercriminelen. In november vorig jaar gebeurde dat bij zes ambtenaren van de gemeente Den Bosch, waaronder het hoofd van de communicatieafdeling. Hij zei een ‘vertrouwelijk lijkend bericht’ te hebben ontvangen dat hij per ongeluk een verkeerde verificatiecode had ontvangen. “Daar heb ik op gereageerd. Even later kreeg ik een bericht van een vriendin met de opmerking dat zij van mij een verzoek had gehad voor een betaling. Toen was duidelijk dat het niet goed zat”, zo vertelde hij aan het Brabants Dagblad.
In de weken die hieraan voorafgingen, werden WhatsApp-accounts van verschillende politici in heel het land overgenomen. Uit interne stukken zou blijken dat er lokaal minimaal twintig slachtoffers te betreuren waren.
WhatsApp instellingen
De eenvoudigste manier om je WhatsApp-account te beschermen tegen cybercriminelen en hackers, is door verificatie in twee stappen in te schakelen. Naast een verificatiecode moet je dan tevens een zes cijferige code invoeren om in te kunnen loggen op je WhatsApp-account. Deze code wordt niet naar je opgestuurd door WhatsApp en is zodoende alleen bekend bij de eigenaar. Om deze feature in te schakelen open je WhatsApp en ga je naar Instellingen > Account > Verificatie in twee stappen.
Wat ook verstandig is om gelijk mee te nemen in je WhatsApp instellingen is er voor te zorgen dat niet iedereen je zomaar in een groep kan toevoegen zonder dat je het weet. Het gevaar van phishing, malware en oplichting ligt dan op de loer. Dus pas deze instelling aan naar mijn contacten i.p.v. iedereen. Om deze instelling aan te passen ga je naar Instellingen > Account > Privacy > Groepen > Verander (Iedereen) naar (Mijn contacten). Nog beter is eigenlijk WhatsApp in te ruilen voor bijvoorbeeld 'Signal (van de maker van WhatsApp)' waarom lees je hier.
WhatsApp niet de enige zorg voor de Rijksoverheid
De Algemene Rekenkamer stelt niet alleen vast dat er WhatsApp-accounts van diverse politici en ambtenaren zijn overgenomen. Het onderzoeksinstituut concludeert dat de informatiebeveiliging bij de Rijksoverheid niet op orde is. Bij elf van de achttien onderzochte departementen en politiek-bestuurlijk organisaties zijn onvolkomenheden aangetroffen. Onderzoekers stelden tevens een datalek op het ministerie van Buitenlandse Zaken en twee ‘ernstige onvolkomenheden’ op het departement van VWS en Defensie vast.