Ben jij (oud-)klant van Odido en heb je gehoord dat jouw gegevens mogelijk zijn gepubliceerd? Dan is de kans groot dat je de komende weken extra slimme phishingmails, sms’jes en telefoontjes krijgt.

In deze blog lees je:

• wat jij (nu) kunt doen als (oud)klant van Odido;

• hoe de Odido hack is ontstaan en hoe jij de kans kunt verkleinen dat het jouw bedrijf overkomt.

Gehackt? Dit moet je nu doen als je mails of telefoontjes krijgt

De Odido hack is voor veel mensen persoonlijk geworden: want criminelen hebben misschien wel jouw klantgegevens in handen. Het nare is dat jij hier weinig aan kan doen, behalve extra alert zijn op vreemde berichten en telefoontjes.

In deze blog neem ik je mee in wat je wel en niet moet doen. En, hoe het zover heeft kunnen komen en hoe jij jouw bedrijf kunt beschermen hiertegen. Want, had jij al wel eens gehoord van vishing?

Inhoudsopgave

1. Wat is er gebeurd bij de Odido hack?

2. Wat moet je doen als je een vreemd bericht of telefoontje krijgt?

3. Wat kun jij leren van deze hack.

4. Vishing is het nieuwe oplichten

5. FAQ

6. Wil jij zo'n hack voorkomen in jouw bedrijf? Begin bij jouw medewerkers!

   
   

Wat is er gebeurd bij de Odido hack?

Odido is getroffen door een cyberaanval waarbij criminelen toegang kregen tot gegevens uit een klantcontactsysteem. Odido geeft aan dat er geen wachtwoorden, belgegevens of factuurgegevens zijn gelekt, maar wél persoonsgegevens uit het klantcontactsysteem.

De lek is extra pikant, want met de gestolen persoonsgegevens zijn combinaties te maken, bijvoorbeeld van van namen en rekeningnummers. Daarnaast zijn de gegevens de beste brandstof voor:

• gerichte phishingmails

• identiteitsfraude

• telefonische oplichting (vishing)

Doordat men een combinatie kan leggen tussen verschillende gegevens kunnen cybercriminelen net doen alsof ze je kennen. Denk bijvoorbeeld aan de situatie dat een medewerker van de bank jou belt met de vraag om jouw wachtwoord te veranderen.

"Hallo Annemarie, je spreekt met Marloes van de Rabobank. Ik wilde je informeren dat jouw data helaas is gelekt bij de Odido hack. Hierdoor kunnen criminelen nu bij jouw rekening. Wij bellen zoveel mogelijk klanten op om zo snel mogelijk hun wachtwoord te wijzigen. Kun jij voor mij bevestigen dat jouw geboortedatum xx is, en jouw IBAN nummer yy?

Dan stuur ik je nu via sms een link naar onze website om jouw wachtwoord meteen te veranderen. Let op: omdat de hackers ook bij onze gegevens kunnen komen hebben we speciaal voor onze klanten een aparte locatie gemaakt. Dit moet echter wel zo snel mogelijk, anders krijgen criminelen toegang tot jouw bankrekening!".

Dit klinkt echt hè? Zeker als Marloes een vriendelijke, sympathieke stem heeft en vertelt dat ze bij jou in de buurt woont... cybercriminelen snappen namelijk precies hoe ze jouw vertrouwen moeten winnen.

⚠️ Maar let op: een bankmedewerker zal jou nooit via de telefoon vragen om je wachtwoord te wijzigen!

Gebruik daarom altijd de officiële apps en websites om het verhaal te controleren. Bel desnoods met de instantie om dit te checken.

Wat moet je doen als je een verdachte mail of vreemd telefoontje krijgt?

Stap 1: Klik nergens op (ook niet op ‘afmelden’)

Phishingmails gebruiken knoppen voor:

• “Inloggen”

• “Bevestigen”

• “Registratie voltooien”

• “Download document”

Zelfs “afmelden” kan een tracking- of phishinglink zijn.

Stap 2: Check de afzender, maar vertrouw het niet blind

Een afzendernaam kan “Odido” tonen terwijl het e-mailadres nep is. Controleer daarom

• het volledige e-mailadres

• het domein (exact gespeld?): dat is wat voor de .nl of .com komt.

• het subdomein (inloggen.odido.nl is onderdeel van het domein, odido.inloggen.nl niet)

• rare tekens, extra streepjes etc

Odido noemt zelf voorbeelden en waar je op kunt letten bij berichten die zogenaamd namens hen komen.

Stap 3: Ga buiten de mail om naar de echte website/app

Moet je toch ergens zijn? Doe het zo:

• open zelf je browser

• typ zelf het adres

• log in via de normale route

• gebruik een officiële app indien aanwezig

Stap 4: Deel nooit codes of wachtwoorden (ook niet “even ter verificatie”)

De bank, Odido en overheidsinstanties vragen niet op die manier om gegevens. Wees extra alert op mails die je persoonsgegevens willen “controleren” of “aanvullen”.

Stap 5: Maak bewijs veilig (screenshot + headers) en meld het

• Maak een screenshot (zonder op links te klikken)

• Stuur de mail door naar een meldpunt (bijv. Fraudehelpdesk) en/of de organisatie die wordt nagebootst.

  
  

Wees ook bewust van jouw wachtwoord(en), met name die op jouw mailaccounts. Verander ze meteen in een sterke wachtwoorden. Dit betekent: minimaal 16 tekens met combinaties van cijfers, hoofd- en kleine letters en speciale tekens.

Wat kun jij leren van deze hack? Hoe het zo simpel mis kon gaan.

Bij veel hacks denk je aan iemand via code en technische kennis inbreekt of een virus verspreidt. Maar in dit soort zaken zie je vaak iets anders: de mens als zwakke schakel.

In het geval van Odido hebben de hackers via phishing de inloggegevens en wachtwoorden weten te bemachtigen van (klantenservice) medewerkers. Bijvoorbeeld door hen een misleidende mail te sturen waarin gevraagd werd naar het wachtwoord. Maar gelukkig had Odido een extra laag ingebouwd, genaamd multifactor authenticatie. Hiermee krijgt de inlogger een persoonlijke code of die ingetoetst moet worden. Wel zo veilig toch? Niet voor deze hackers. Want zij deden zich klaarblijkelijk voor als interne IT-collega's en vroegen deze medewerkers om hun verificatie codes te geven. Mogelijk met de boodschap dat hun account werd gehackt en dat ze zo snel mogelijk actie moesten ondernemen. Een combinatie van vertrouwen (collega), urgentie (het moet nu) en dreiging (dan verlies je jouw toegang).

En zo wisten deze hackers toegang te krijgen tot een enorme hoeveelheid klantgegevens.

Vishing is het nieuwe oplichten

Het voorbeeld van Odido gebeurt helaas steeds vaker en is een vorm van Vishing, oftewel Voice Phishing. Waar phishing zich richt op het achterhalen van inloggegevens en wachtwoorden via mail is het bij vishing juist door iemand aan de telefoon te krijgen. In een grote organisatie weet je ook niet altijd wie alle collega's zijn. En door de komst van AI kunnen stemmen dusdanig worden nagebootst dat iedereen op de wereld kan doen alsof het jouw collega is.

En dat is precies waarom dit deze hack van Odido nog meer: want als criminelen jouw persoonlijke gegevens hebben, kunnen ze je veel geloofwaardiger benaderen. Ze kennen nu immers jouw naam, bank, adres en geboortedatum. Even zoeken op Social Media en ze weten ook dat je een hond hebt en graag op fietsvakantie gaat....

FAQ

1) Kan ik gehackt worden door alleen een telefoontje op te nemen?

Nee, een gesprek aannemen is op zichzelf geen hack. Het risico is vishing: dat je in het gesprek wordt verleid om codes, wachtwoorden of betalingen te doen.

2) Wat als een mail mijn echte naam en klantnummer bevat?

Juist dát maakt phishing na een datalek gevaarlijk. Behandel het als verdacht en controleer alleen via de officiële kanalen (app/website), niet via de mail.

3) Moet ik al mijn wachtwoorden nu veranderen?

Begin bij je e-mailaccount en accounts die je e-mail gebruiken voor reset. Zet direct 2FA aan. Als je overal unieke wachtwoorden gebruikt, is de schade kleiner.

4) Hoe herken ik een phishingmail het snelst?

Let op: urgentie, verzoek om inlog/gegevens, vreemde afzender/domein, taal- of stijlfouten, en links die niet naar officiële domeinen gaan.

5) Waar meld ik verdachte Odido-mails?

Meld ze bij een meldpunt zoals de Fraudehelpdesk en bij de organisatie die wordt gebruikt in de phishingpoging.

Wil jij zo'n hack voorkomen? Begin bij jouw medewerkers!

Odido had een belangrijke beveiligingslaag (zoals multifactorauthenticatie) geregeld maar er was maar één medewerker nodig die in de menselijke val trapte. Hoe voorkom je dit als organisatie?

Door jouw medewerkers te trainen!

De mens is de zwakke schakel en klikt in snelheid of vertrouwen op links. Of vergeten de nodige maatregelen te nemen zoals sterke wachtwoorden of werken op betrouwbare apparaten.

Daarom is training aan alle medewerkers cruciaal! MKB Academy heeft hiervoor het Cyberplatform ontwikkeld met:

• Basistrainingen over digitale weerbaarheid voor alle medewerkers

• Specifieke trainingen voor managers en IT-ers

• Realistische phishingsimulaties die testen

• Een nulmeting hoe jouw organisatie ervoor staat

• Jouw eigen cyberbeleid die medewerkers gelezen moeten hebben.

Dit platform is er voor zowel de ZZP-er als de grotere organisaties en kost tussen de €5 en €10 euro per medewerker per maand. In ieder geval stukken minder dan de schade die ontstaat bij een hack!

Hieronder zie je een voorbeeld van een phishing mail.

Een greep uit de trainingen voor beginners.

En een voorbeeld van de vragenlijst voor de nulmeting.