Vijf vuistregels: zo bescherm je je tegen de gevolgen van de Odido-hack

Een geluk bij een ongeluk. Net in de week voordat Odido gehackt werd, was het tijd om mijn paspoort te verlengen. De pasfoto kon beter: een griephoofd, in de vroege ochtend vereeuwigd, geldig tot februari 2036. Maar het is een troostrijke gedachte dat er tussen de 21 miljoen ‘records’ die de Odido-hackers claimen te hebben, nu in ieder geval één verlopen paspoortnummer zit.

Hackersgroep ShinyHunters deelde materiaal met media die erom vroegen (NOS en RTL) en zette zo Odido ook publiekelijk onder druk om losgeld te betalen. Daardoor kantelde het sentiment: de provider weigert mee te werken, en de dieven presenteren zichzelf ondertussen als ‘redelijke’ onderhandelaars. „De groep zegt bereid te zijn te schikken voor een bedrag van circa een half miljoen euro”, schrijft NOS.

Niks redelijk, stelt cyberexpert Dave Maasland van beveiligingsbedrijf ESET. Hij trekt één lijn tussen de datadiefstallen en de georganiseerde misdaad. „De gelekte persoonsgegevens worden gebruikt door criminele bendes die bankhelpdeskfraude plegen. Zij huren vakantiehuisjes, stouwen die vol met jongeren en gaan daarna met nep‑politieagenten langs de deur om mevrouw Jansen ervan te overtuigen dat ze haar pinpas mee moet geven.” Ook mensen met cryptogeld zijn doelwit: hun geld is immers makkelijker weg te sluizen.

In vakantiehuisjes gebeuren dingen waar bungalowparkmascottes Koos Konijn en Bollo de Beer bleek van wegtrekken. De politie publiceerde een ‘signaalkaart’ om digitale roversnesten tussen de toeristen te herkennen: chalets waar de gordijnen overdag dicht blijven, de bedden onbeslapen zijn, de tafels volstaan met laptops en jonge gasten in dure merkkleding rondhangen. Als die hun verblijf ook nog eens cash willen betalen, is het foute boel, weet Bollo dan, en belt 112.

Inspiratie

Er zijn al zoveel datalekken geweest dat de Odido‑data niet tot een plotselinge piek in fraudepogingen zullen leiden, denkt Maasland. „Maar waarschijnlijk groeit het aantal slachtoffers, omdat de gegevens verser en geloofwaardiger zijn.”

De aandacht inspireert ook nieuwe huis‑, tuin‑ en keukenhackers om de datasets te downloaden en er op hun zolderkamer mee aan de slag te gaan. Fraudehelpdesk meldt dat er al sms’jes van een niet-bestaande Odido‑helpdesk rouleren en scamsites beloven een schadevergoeding. Allemaal nep.

Odido was zelf het slachtoffer van phishing – of vishing, via ‘voice’: een medewerker van de klantenservice werd door een nep it-helpdesk in de luren gelegd. ShinyHunters perst al jaren bedrijven af met soortgelijke hacks, gericht op Salesforce-software. Zo verkrijgen ze toegang tot het klantenrelatiesysteem, waar ze ongezien data proberen te exporteren.

Werknemers zijn geen waterdichte verdedigingslinie tegen zulke professionals. Maasland: „Het lukt altijd om een hardwerkende persoon onder druk te zetten en te ‘compromitteren’. Je moet dus van tevoren goed testen wat gebeurt, zodra een onbevoegde toegang krijgt tot de database. Wanneer gaan de alarmbellen af: als je tien records exporteert, of duizend?”

Wrijven helpt niet, alertheid wel. Vandaar: vijf vuistregels tegen phishing.

1. Alles wat urgent is, is verdacht. Als je via een appje of een mail de vraag krijgt om iets nú te doen – geld overmaken, boetes of rekeningen betalen, accounts redden – dan moeten alle alarmbellen afgaan. Neem de regie, bel zelf personen of instanties op de jouw bekende nummers.
2. Zoek hulp. Denk niet dat je phishing-mails kunt herkennen. Gooi mails die je niet vertrouwt in ChatGPT of een andere chatbot en vraag raad. Gebruik een phishingfilter – een actuele blacklist van verdachte sites, zodat je browser aan de noodrem trekt als je op een verkeerde link klinkt. Zo’n extra beveiligingslaag geeft Odido nu cadeau, als doekje voor het bloeden. KPN en VodafoneZiggo bieden iets soortgelijks al langer aan.
3. Verzin een geheim. Dankzij generatieve AI zijn niet alleen websites, boetes en facturen, maar ook gezichten en stemmen na te bootsen. Spreek met collega’s, familie of vrienden een codewoord of een controlevraag af om neppers eruit te vissen. Psst: WhatsApp laat je straks ook een extra wachtwoord toevoegen, om te voorkomen dat je nummer misbruikt wordt voor identiteitsfraude.
4. De no-brainers: activeer tweefactor-authenticatie waar het kan. Gebruik unieke wachtwoorden (van je browser of wachtwoordmanager) en meerdere mailadressen. Je kunt bij Gmail en Outlook aparte email-domeinen aanmaken, en Apple iCloud genereert verborgen mailadressen. Dat helpt de schade te beperken bij datalekken. Als je per se een paspoortscan moet aanleveren, gebruik dan Kopie-ID.
5. Beperk data die je deelt. Op odido.nl/privacy kun je inzage krijgen in de gegevens die de provider van je bewaart en ze desgewenst laten verwijderen. Odido blijkt klantendata veel langer vast te houden dan de beloofde twee jaar en het gaat om gevoeliger gegevens dan eerst beweerd werd, concludeerde NOS na inzage van gestolen gegevens.

The Day After

We doen niets geks met je gegevens, belooft Odido op zijn site. Maar een datalek maakt meer kapot dan je lief is. Bij de naamsverandering in 2023, toen Tele2 en T-Mobile werden samengevoegd, was Odido vooral druk met nieuwe logo’s en instant churn. Blijkbaar ontbrak de tijd om klantendatabases op te schonen of beter af te schermen.

Deze rebranding was de opmaat voor een beursgang. Op maandag 9 februari berichtte Reuters op basis van anonieme bronnen dat Odido dit plan uitstelde, zogenaamd wegens lauwe interesse en een matig beursklimaat. Maar het was ook The Day After: de maandag na het weekend waarin de hackers toesloegen, en die nieuwe, zorgvuldig gekozen merknaam synoniem zou worden voor ‘slordig’.