Datalek door phishing

Uw organisatie kan het doelwit worden van pogingen tot phishing. Hierbij sturen internetcriminelen nepmails om te proberen informatie te achterhalen (zoals inloggegevens) en daarmee toegang te krijgen tot een netwerk of systeem. Heeft u of een medewerker van uw organisatie op een link geklikt in zo’n mail of een bijlage geopend? Dan kan dit een datalek hebben veroorzaakt.

U leest op deze pagina wat u moet doen bij een (mogelijk) datalek door phishing. Ook leest u hier wat u kunt doen om het risico op en de gevolgen van een datalek door phishing te verkleinen.

Op deze pagina

Dit is phishing

Bij phishing ontvangt het slachtoffer een e-mail en wordt diegene verleid om op een link te klikken of een bijlage te openen. De internetcrimineel die de mail verstuurt, probeert op diverse manieren het vertrouwen van het slachtoffer te winnen. Bijvoorbeeld door persoonlijke informatie te gebruiken. Of door e-mails te sturen die vrijwel niet te onderscheiden zijn van e-mails van uw organisatie of uw relaties.

Link naar website

Het slachtoffer ontvangt bijvoorbeeld een e-mail met een link naar een website, zogenaamd om een belangrijk document te bekijken. Wel moet het slachtoffer eerst inloggen. Het slachtoffer denkt op een betrouwbare website te zitten, maar vult in werkelijkheid gegevens in op de nepwebsite van de internetcrimineel. Die misbruikt de gegevens vervolgens, bijvoorbeeld door in te loggen in het e-mailaccount van het slachtoffer.

Mail met bijlage

Ook kan het slachtoffer een mail krijgen met een (besmette) bijlage. Opent het slachtoffer de bijlage, dan wordt malware op het systeem geïnstalleerd. Via die malware kan de internetcrimineel vervolgens toegang krijgen tot het systeem.

Phishing ontdekken

Vaak wordt een incident door phishing ontdekt omdat vanuit de mailbox van het slachtoffer nieuwe phishingmails worden verspreid. Of doordat het slachtoffer geen e-mails meer ontvangt, omdat er een mailregel is aangemaakt die e-mails automatisch doorstuurt naar de crimineel.

Datalek of niet?

Het is géén datalek als u (of een medewerker) een phishingmail heeft ontvangen, maar er niets mee heeft gedaan. Maar heeft u op een link geklikt, een bijlage geopend of gegevens op een website ingevuld? Dan  kan er wel sprake zijn van een datalek.

Maatregelen na phishing

Is een poging tot phishing geslaagd? Onderneem dan zo snel mogelijk actie om de gevolgen ervan te beperken.

Beëindig de inbreuk

Heeft een medewerker bijvoorbeeld inloggegevens ingevoerd of een bestand geopend en daarmee een internetcrimineel toegang verschaft tot een mailbox in uw organisatie?

  • Wijzig het wachtwoord en/of blokkeer het e-mailaccount. De eerste stap is om deze toegang zo snel mogelijk te beëindigen.
  • Controleer vervolgens of er geen mailregels zijn aangemaakt. Zo voorkomt u dat e-mails alsnog buiten uw organisatie terechtkomen.
  • Gebruikt u (of de getroffen medewerker) de inloggegevens van het e-mailaccount ook om in te loggen in andere applicaties of systemen van uw organisatie? Wijzig dan de wachtwoorden van alle applicaties en systemen waartoe de medewerker toegang heeft. 

Technisch onderzoek

Vervolgens moet u de omvang van het datalek vaststellen. Dat doet u door technisch onderzoek uit te voeren. Daarbij onderzoekt u of de internetcrimineel toegang heeft gehad tot persoonsgegevens en zo ja, tot welke persoonsgegevens.

Doordat de internetcrimineel toegang heeft gehad tot de mailbox, kan de crimineel inzage hebben gekregen in de contactpersonen en de inhoud van de e-mails en bijlagen die waren opgeslagen in het e-mailaccount. Deze gegevens kan de crimineel hebben doorgestuurd, gekopieerd of gedownload.

Vaak levert dat 2 groepen slachtoffers op die door het datalek zijn getroffen:

  1. Contactpersonen van het e-mailaccount. U moet deze groep slachtoffers informeren over het datalek. Zij lopen namelijk het risico om phishingberichten te ontvangen.
  2. Personen van wie gegevens in e-mails of bijlagen in de mailbox voorkomen. U moet deze groep slachtoffers informeren als het datalek waarschijnlijk een hoog risico oplevert voor hun rechten en vrijheden. Bijvoorbeeld als er een kopie van hun identiteitsbewijs is opgeslagen in de getroffen mailbox.

Controleren van loggegevens

Een belangrijke manier om te kunnen vaststellen waartoe de internetcrimineel toegang heeft gehad, is het controleren van de loggegevens. Heeft u geen of onvoldoende logging om precies te kunnen bepalen wat de internetcrimineel heeft gedaan? Dan kunt u er niet van uitgaan dat de inbreuk beperkt is gebleven tot toegang of het verder verspreiden van phishing.

Melden datalek door phishing bij AP

Bij een datalek door phishing gelden dezelfde criteria voor melden bij de AP als bij een datalek met een andere oorzaak. Dat betekent dat u het datalek door phishing moet melden bij de AP, tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor de rechten en vrijheden van de betrokkenen (slachtoffers).

Toegang tot e-mailaccount

Krijgt een internetcrimineel door phishing toegang tot uw e-mailaccount of dat van een medewerker? Dan is dit meestal een datalek dat u moet melden bij de AP.

Niet alleen de inloggegevens van die medewerker zijn bij een derde partij terechtgekomen, maar mogelijk ook persoonsgegevens van contactpersonen en relaties. Bovendien zijn de bedoelingen van de internetcrimineel kwaadaardig en gericht op het verkrijgen van toegang tot uw bedrijfsnetwerk of informatie van andere personen.

Is er geen bewijs dat de internetcrimineel persoonsgegevens heeft gebruikt of gekopieerd? Biedt uw logging bijvoorbeeld geen uitsluitsel over het lezen of doorsturen van e-mails? Dan moet u er nog steeds van uitgaan dat de crimineel mogelijk wél iets met de persoonsgegevens heeft gedaan. En dan is er sprake van een datalek. De AP kan u vragen de logging of nadere informatie hierover ter onderbouwing te verstrekken.

Informeren slachtoffers over datalek door phishing

Bij een datalek door phishing gelden dezelfde criteria voor het informeren van de slachtoffers als bij een datalek met een andere oorzaak. Dat betekent dat u de slachtoffers moet informeren als het datalek waarschijnlijk een hoog risico oplevert voor hun rechten en vrijheden.

Hoog risico

Bij datalekken door phishing is vaak sprake van een hoog risico. Want de internetcriminelen hebben zich met kwade bedoelingen toegang verschaft tot gegevens. In de meeste gevallen moet u daarom de slachtoffers informeren over het datalek.

Zijn er bij een datalek door phishing geen bijzondere persoonsgegevens gelekt, zoals gegevens over de gezondheid? En ook geen gevoelige gegevens, zoals kopieën van identiteitsbewijzen? Dan kan er toch sprake zijn van een hoog risico. Internetcriminelen kunnen met persoonsgegevens die onschuldig lijken, zoals een e-mailadres, al veel schade aanrichten bij uw organisatie of uw relaties.

Spear fishing

Zo kunnen de criminelen met verkregen informatie een gerichte phishingactie uitvoeren naar (andere delen van) uw organisatie of uw relaties. Dit wordt ook wel 'spear phishing' genoemd. Met de persoonsgegevens en informatie verkregen uit uw e-mailaccount kunnen de criminelen zich hierbij voordoen als een medewerker van uw organisatie. En zo gericht berichten sturen naar uw relaties. Bijvoorbeeld met het verzoek om zogenaamd onbetaalde facturen te betalen of bedragen in het vervolg over te maken naar een andere bankrekening.

Tips om risico en gevolgen datalek door phishing te verkleinen

Om het risico op een datalek door phishing en de gevolgen hiervan te verkleinen, zijn er deze tips voor u en uw medewerkers:

  • Implementeer meerfactorauthenticatie als extra toegangsstap op de e-mailaccounts in uw organisatie.
  • Verwijder regelmatig oude e-mailberichten.
  • Verwerk zo min mogelijk bijzondere persoonsgegevens en gevoelige persoonsgegevens via e-mail. Maak bijvoorbeeld gebruik van een aparte applicatie om dergelijke gegevens vertrouwelijk te versturen en te ontvangen.
  • Zorg voor voldoende bewustwording onder uw medewerkers, zodat zij phishingmails kunnen herkennen. Bijvoorbeeld door een training te geven.
  • Beperk de toegang van buiten de organisatie tot de e-mailaccounts en applicaties in uw organisatie. Bijvoorbeeld door gebruik te maken van een VPN-verbinding, IP-adres-whitelisting of vertrouwde apparaten.