De politie heeft sterke aanwijzingen dat Nederlandse criminelen betrokken zijn geweest bij de hack van provider Odido. De data van miljoenen Nederlanders kwam begin februari op straat te liggen na een telefoongesprek waarin iemand zich voordeed als IT-medewerker.
De klantenservice van Odido werd tot tweemaal toe gebeld door iemand die zich voorstelde als IT-medewerker van de provider zelf. De tweede keer was het raak en in no time hadden criminelen de gegevens van meer dan zes miljoen klanten in handen.
De politie laat donderdag weten dat de zogenaamde IT'er Nederlands sprak en zeer waarschijnlijk betrokken was bij de hack. Het is reden om aan te nemen dat Nederlandse criminelen betrokken zijn bij een van de grootste datadiefstallen in Nederland. De politie sluit daarbij niet uit dat ook criminelen uit andere landen betrokken zijn.
Wat er in dat gesprek is gezegd, wil de politie niet vertellen. Wel is duidelijk dat Odido vervolgens via phishing is misleid. Tisha van Lammeren, de chief commercial officer van Odido, zegt in een interview met NU.nl dat het allemaal heel snel ging. Na het eerste telefoongesprek met de zogenaamde IT'er werden alle medewerkers gewaarschuwd. Een dag later, op 6 februari, ging het alsnog mis.
Weer een dag later volgde een mail van ShinyHunters, de criminele bende achter de hack. Alle data van de getroffen Odido-klanten werden openbaar gemaakt nadat het bedrijf had geweigerd het gevraagde bedrag te betalen.
De politie heeft de afgelopen maanden onderzoek gedaan, maar dat heeft nog niet tot aanhoudingen geleid. Over mogelijke verdachten die al in beeld zijn worden geen uitspraken gedaan, omdat het onderzoek nog loopt.
"Dit soort onderzoek is vaak complex en vraagt tijd, maar ook cybercriminelen zijn kwetsbaar en laten sporen achter", zegt Stan Duijf, die als hoofd Operatiën verantwoordelijk is voor de aanpak van cybercrime. "Op meerdere momenten in het onderzoek naar de hack bij Odido zijn sporen veilig gesteld, waar het onderzoeksteam verder mee aan de slag is gegaan."
Het telefoontje van de nepmedewerker is opgenomen en in handen van de politie. Er wordt overwogen de stem op een later moment openbaar te maken. "We geven mensen nu eerst de kans om zich te melden", zegt Duijf. "Wellicht dat de dader zichzelf meldt. We zijn in principe van plan om het fragment te delen, mits er informatie komt die maakt dat dat niet nodig is."
De politie heeft de opname door deskundigen laten analyseren. Op basis daarvan wordt ervan uitgegaan dat de stem echt is en niet is gefilterd of met AI is bewerkt.
Het onderzoeksteam gaat er daarnaast van uit dat de daders online of in hun omgeving over hun betrokkenheid bij de hack hebben gepraat. De politie weet dat binnen de cyberwereld over de hack bij Odido wordt gesproken, bijvoorbeeld door mensen die meer weten over de daders. De politie roept ook hen op zich te melden.
Duijf noemt het een moedig besluit van Odido om de criminelen niet te betalen. "Wij geven dat advies altijd", zegt hij. "Odido heeft het zelf besloten."
Volgens het hoofd Operatiën hebben alle bedrijven en organisaties die veel persoonsgegevens verwerken de verantwoordelijkheid om daar zo voorzichtig en veilig mogelijk mee om te gaan. "Maar het is ook zo: als jij met 20 euro in je zak op straat loopt en je wordt overvallen, dan is de crimineel schuldig", vult hij aan. "Je kunt 100 procent veiligheid nooit garanderen."
De hack bij Odido stond niet op zichzelf. In de maanden daarna volgden bij verschillende bedrijven soortgelijke datadiefstallen. Buitgemaakte gegevens werden door andere criminelen op grote schaal misbruikt.
De politie en het Openbaar Ministerie verwachten dat zulke ingrijpende cyberaanvallen in de toekomst vaker voorkomen. Ze roepen bedrijven op zeer alert te zijn en meer werk te maken van hun digitale weerbaarheid.
Source: Nu.nl Tech