Waarom een Internet Risico Profiel?

En wat is de noodzaak van Online Reputatie Management (ORM)?

Net als een securitymanager kan ook een cybercrimineel een risicoanalyse maken. Hoe meer kwetsbaarheden er van een persoon of zijn directe omgeving achterhaald kunnen worden, des te meer kans er bestaat dat hier gevoelige bedrijfsinformatie of privé-informatie tussen zit.

Het hedendaagse internet, de diverse social media bronnen, de besloten betaalde bronnen, maar ook de toegankelijkheid van semi-openbare bronnen, zoals het Kadaster en de Kamer van Koophandel, maken het steeds eenvoudiger om de gehele privé-omgeving van een persoon in kaart te brengen.

Naar aanleiding van een incident bij een multinational werd ons begin 2018 gevraagd om een drietal internet risico profielen van leden van de directie op te stellen. Na voltooiing van deze opdracht werd ons weer duidelijk, dat er in Nederland nog steeds te weinig aandacht aan deze vorm van persoonlijke bedrijfssecurity wordt besteed.

Afgelopen week leverden we voor een groot landelijk bekend bedrijf, een risico profiel van één van de directeuren. Deze casus wil ik hier graag toelichten:

Het subject (de directeur) was zelf niet actief op social media. Hij bezat alleen een LinkedIn profiel en was niet actief op Facebook of Twitter.

Helaas was dit niet het geval bij zijn vrouw en dochter. Zowel zijn echtgenote als dochter waren zeer actief op social media, waaronder Facebook, Twitter, Instagram en Pintrest.

Allereerst zijn mijn collega’s en ik gestart met het in kaart brengen en veiligstellen van alle beschikbare bronnen. Deze hebben we opgenomen en verwerkt in een rapportage die uiteindelijk meer dan 90 pagina’s bevatte.

De door ons aangetroffen foto’s, Twitter en Facebook berichten zouden voor menig sensatieblad geweldige artikelen opleveren. Voor ons als onderzoekers is dit gegeven echter nog het minst belangrijk.

Vakanties

Door de gevonden informatie samen te voegen, lukte het ons om alle gezinsvakanties vanaf 2011 in kaart te brengen. Data en bestemmingen. Als deze informatie wordt gevonden op het moment dat het gezin alweer terug is in Nederland, is er op zich nog geen groot probleem.

Het risico ligt echter in het feit dat de gezinsleden, separaat van elkaar, al ruim voordat de vakanties aanbraken op internet kenbaar maakte hoe lang men nog moest werken voor de vakantie zou beginnen, dat het in Nederland regende maar dat op bestemming X te Rhodos de zon al heerlijk scheen, er nieuwe koffers gekocht moesten worden etc.

Vanaf 2011 genoot dit gezin 12 keer van een korte of lange vakantie in hun eigen vakantiewoning op Rhodos. Tijdens het merendeel van deze vakanties werd door echtgenote en/of de dochter ‘live’ verslag gedaan van al het moois waar men op dat moment van kon genieten. Ook troffen we diverse verslagen van vriendinnen van de dochter die mee mochten op vakantie aan.

Waar zit het gevaar van al deze informatie? Het is evident dat als er niemand thuis is, dit de kans op een inbraak in de woning groter maakt. Maar ligt hier nu het grote bedrijfsrisico?

Iedere dag wordt het een criminele hacker er niet makkelijker op gemaakt om beveiligingen te omzeilen of te kraken, al dan niet met behulp van social engineering. Om toch toegang te krijgen tot gevoelige bedrijfsinformatie moeten zij steeds innovatiever worden. En dat is wat gebeurt.

Terug naar die verlaten woning. De dief van nu breekt nog wel fysiek in, maar heeft heel andere interesses. Hij gaat op zoek naar de bedrijfslaptop, de tablet en misschien wel de zakelijke telefoon. Zijn deze allen netjes (ergens anders) in een kluis opgeborgen, dan verlegt hij zijn aandacht naar persoonlijke items zoals bankafschriften, foto’s, medische informatie, dagboeken en andere privé informatie waarmee hij het subject in diskrediet zou kunnen brengen.

Met deze info kan hij vervolgens overgaan tot directe afpersing, of hij kan de fysiek gevonden informatie bundelen met online gevonden informatie en zo proberen om de integriteit van het subject aan te tasten.

De moderne crimineel zal in eerste instantie niet meer gaan voor direct financieel gewin, maar heeft meer interesse in afgeschermde bedrijfsinformatie als inlogcodes, innovaties, afgeschermde product informatie enz.

Identiteitsfraude

Een ander, vooral in het buitenland bekend scenario, is dat men gedurende de drie weken vakantie van het subject een tweede bedrijfsprofiel aanmaakt op bijvoorbeeld een site als XING. Hiermee worden bestaande of nieuwe relaties benaderd om zo bedrijfsinformatie te verkrijgen, CEO fraude te plegen of om de directeur op deze manier opzettelijk te beschadigen.

Met de informatie die in de huidige casus voorhanden was, zou het niet moeilijk zijn geweest om een heel geloofwaardige tweede online identiteit van deze directeur, die toch even ver weg is, te creëren.

Is bovenstaand scenario voor u toch een ‘ver van mijn bed show’, dan moet u echt wakker worden geschud. De geruchten dat ook buitenlandse opsporings- en spionagediensten op soortgelijke manieren werken worden namelijk steeds sterker!

In deze betreffende casus werd door gezinsleden veel persoonlijke informatie op social media gedeeld. Informatie over hobby’s, interesses, locaties, familieleden en vooral veel foto’s. Met deze gegevens voorhanden is het vrij makkelijk om één (of meer) fake online profielen op een site als Instagram aan te maken. Door een fake profiel precies op maat te maken met dezelfde hobby’s, interesses en eventueel gemeenschappelijke vrienden zal iemand sneller geneigd zijn om deze te accepteren als ‘vriend of volger’.

Reputatie management

Na het overhandigen van de rapportage met het Internet Risico Profiel blijft uw reputatie en/of die van uw bedrijf natuurlijk ook nog gevaar lopen en daarom is social media management en online reputatie management 24/7 een must.
Het is zaak zo snel mogelijk te weten wat er online over u of uw bedrijf wordt geschreven of is de ophef, al dan niet terecht, over Willem Vermeend en Rene van der Gijp u afgelopen week ontgaan?

Tips bij het plaatsen van een online (social media privé) bericht.

Vraag uw voor het publiceren af:

  1. Wat staat er nu eigenlijk precies in het bericht?
  2. Mag iedereen dit eigenlijk wel van mij, mijn partner of ons gezin weten?
  3. Wat laat deze foto nu op dit moment allemaal zien?
  4. Wat zijn de risico’s voor mij en anderen als ik dit bericht nu plaats?
  5. Wie kan deze informatie allemaal zien? (privacy instellingen)

Wilfred van Roij

Directeur Digitale Opsporing BV

 

Scroll naar top