Na twee weken van onduidelijkheid is duidelijk geworden wat er op het spel staat voor telecombedrijf Odido. Criminele groepering ShinyHunters claimt op het darkweb gegevens van miljoenen klanten te hebben buitgemaakt en eist een bedrag met zeven cijfers — naar verluidt tussen de 1 en 10 miljoen euro.
Als Odido niet betaalt, dreigen de hackers de gestolen data openbaar te maken. Daarmee zouden andere cybercriminelen klanten kunnen oplichten of op andere manieren schade kunnen veroorzaken.
Onderhandelen om tijd te winnen
Wat doet een bedrijf in zo’n situatie? Ransomware-onderhandelaar Joey Fennis kan niets zeggen over deze specifieke zaak, maar begeleidt regelmatig organisaties die met digitale afpersing te maken krijgen.
Volgens hem schuiven bedrijven in dit soort gevallen meestal toch aan tafel — of beter gezegd: in een digitale chatomgeving. ‘Door te onderhandelen koop je tijd. Je probeert te achterhalen welke data er daadwerkelijk is buitgemaakt en houdt zo enigszins regie op de situatie.’
> LEES OOK: ‘Odido-klanten moeten BKR checken en ongeautoriseerde incasso’s controleren’
De rekensom: wat zijn de data waard?
De beslissing om wel of niet te betalen draait uiteindelijk om een kosten-batenafweging. De hackers beweren 21 miljoen regels aan data van in totaal 8 miljoen klanten te bezitten, waaronder inloggegevens. Dat zou de buit zeer waardevol maken.
Tegelijkertijd plaatsen experts daar kanttekeningen bij. Aanvallers overdrijven geregeld de omvang of gevoeligheid van hun buit om de prijs op te drijven. Odido stelt dat er geen wachtwoorden zijn gestolen, maar zogenoemde verificatiewoorden die klanten gebruiken bij contact met de klantenservice. Wie gelijk heeft, is van buitenaf niet vast te stellen.
Een ‘voorproefje’ als bewijs
Cybercrime-expert Tom Sturme, die eveneens vaak optreedt als onderhandelaar, ziet dat criminelen hun claims meestal onderbouwen. ‘Slachtoffers krijgen doorgaans een overzicht van de bestanden die zijn buitgemaakt. Op verzoek leveren ze vaak een kleine steekproef — bijvoorbeeld één procent van de data — als bewijs.’
Opvallend in deze zaak is dat er geen sprake lijkt van klassieke ransomware, waarbij systemen worden versleuteld en pas na betaling weer toegankelijk worden gemaakt. Volgens bronnen die eerder spraken met de NOS, zouden inloggegevens van medewerkers zijn buitgemaakt. Daarmee kregen de aanvallers toegang tot cloudomgevingen die Odido gebruikt, waarna de data werd gekopieerd.
Technisch is zo’n aanval relatief eenvoudig, aldus Sturme, maar de betrokken groep is er al jaren succesvol mee. Eerder werden via vergelijkbare methoden gegevens gestolen bij onder meer Louis Vuitton, Jaguar en Pornhub.
> LEES OOK: Odido-hack begon met phishingmail en neptelefoontjes van ‘ICT-afdeling’
Betalen bedrijven vaak?
De grote vraag blijft: gaat Odido betalen? Volgens zowel Fennis als Sturme kiezen veel bedrijven uiteindelijk eieren voor hun geld. Fennis stelt dat het afgelopen jaar meer dan een kwart van de Nederlandse organisaties die met vergelijkbare afpersing te maken kregen, losgeld betaalde.
Ironisch genoeg speelt daarbij ook de reputatie van de hackers een rol. Houden ze zich aan hun ‘woord’ als er betaald wordt? In het geval van ShinyHunters zouden zij volgens Fennis bekendstaan als relatief ‘betrouwbaar’: na betaling zouden zij doorgaans geen data alsnog publiceren of doorverkopen en soms zelfs bewijs leveren dat gegevens zijn verwijderd. Sturme herkent dat beeld. ‘In 99 van de 100 gevallen worden de data niet openbaar gemaakt als er betaald is.’
Toch blijft het een fundamentele afweging: betalen om schade te beperken — of principieel weigeren en het risico nemen dat miljoenen klantgegevens op straat belanden.
Bron: NOS
Volg Security Management op LinkedIn
