Odido is slachtoffer geworden van een grote cyberaanval. Gegevens van miljoenen klanten liggen op straat en zijn zodoende in handen van hackers en andere kwaadwillenden. Kortom: phishing die je weet dat gaat komen!
Banken, online diensten, WeTransfer, woningnet, Vattenfall, belastingdienst, McAfee, Rabo, ABN AMRO, Apple, KvK, Handelsregister, Overheid, DigiD, Netflix, BOL.com, Zilveren Kruis, Vewin, cloud-opslag, telefoon-aanbieders, Facebook, credit-cards, Interpol, PostNL, WhatsApp, de Rijksdienst voor Ondernemend Nederland, SMS, MijnOverheid, Facebookโฆ geen bedrijf, dienst of instelling ontkomt aan pogingen van criminelen om klanten (veel) geld af te troggelen.
Deel 63. Odido
Donderdag kregen klanten van telecomprovider Odido een onheilspellende mail:
โJe ontvangt deze e-mail omdat we je uit voorzorg willen waarschuwen voor mogelijke risicoโs als gevolg van een cyberaanval bij Odido.โ
Vanzelfsprekend betreurt Odido โdeze situatie enormโ en wordt er samengewerkt met externe cyberbeveiligingsexperts om hierop adequaat te reageren.
In de mail waarschuwt Odido al dat er phishing aan zit te komen. Dus:
โWees extra alert op verdachte activiteiten. Helaas komen cyberincidenten zoals deze steeds vaker voor en is geen enkele organisatie immuun. Niet elk datalek leidt tot daadwerkelijk misbruik, maar we kunnen de mogelijkheid van misbruik van jouw gegevens niet uitsluiten.โ
Odido komt ook met enige wenken:
Eerder schreven we al over de volgende phishingpogingen:
- Corona-phishing
- Woningnet-phishing
- ING-phishing
- Rabo en SNS-nepmail
- KvK-phishing
- PostNL-phishing
- WeTransfer-phishing
- DigiD-phishing
- ICS/creditcard-phishing
- MijnOverheid (Energietoeslag)-phishing
- Mail-account (limiet overschreden)
- iCloud-phishing: โgratisโ 50 GB
- WeTransfer-phishing (II)
- Credit Card-phishing (II)
- T-Mobile phishing
- Netflix-phishing
- Controle Handelsregister? Nee, phishing!
- EHerkenning waarschuwing? Nee: online fraude!
- In het vizier bij Interpol? Nee: Oplichting!
- Bunq
- McAfeeยฉ-Phishing
- BOL.com
- Vattenfall
- Belastingdienst-phishing
- RABO (II)
- MijnOverheid (QR-code)
- Cloud-opslag
- FedEx
- ICS-sms
- Bunq II
- Mail-wachtwoord
- BOL.com (II)
- Belastingdienst (II)
- Ziggo
- Belastingdienst (III)
- Netflix (II)
- ANWB
- Woningisolatie
- PostNL (II)
- Credit Card (III)
- Rijksoverheid: Noodpakket
- KvK (II)
- DigiD (II)
- MijnOverheid (III)
- MijnOverheid (IV)
- RABO (III)
- MijnOverheid (V)
- WhatsApp / SMS (II)
- PostNL-sms (III)
- Rabo (IV) & Zilveren Kruis
- Simkaart
- BENU
- ABN AMRO
- Vewin
- Rijksdienst voor Ondernemend Nederland
- Cloud-phishing (III)
- Netbeheer
- ABN AMRO
- Odido
Hoe herken je phishing? De boodschap bevat een dreigement (account afgesloten of opgeschort, een boete of aanslag) of beloning (prijs, korting, geld terug) en meestal wordt gevraagd om snel te reageren (laatste waarschuwing, binnen 24 uur). Spelling en stijl vertonen tekortkomingen. De afzender (mailadres) komt niet overeen met de domeinnaam van die zogenaamde afzender. De mail (of sms) bevat het verzoek om persoonsgegevens te controleren of bij te werken. De links in de mail (zichtbaar maken door er met de muis overheen te gaan) verwijzen vaak naar vreemde websites en domeinen (niet klikken dus), ook een verkorte link (bit.ly) is verdacht.
Door Di-Lan Sun. Info uit mail Odido.
Ik ben het niet eens met je dat je voer bent voor spam als je outlook of gmail gebruikt, het hangt er namelijk vanaf waar je deze mail adressen gebruikt om je ergens voor te registreren (bij veel registraties heb je een email adres nodig om je account te activeren)
Er zijn trouwens ook heel veel sites waarbij je allerlei onzin in kunt vullen om door een registratie te komen
Naam, adres, postcode en plaatsnaam kan je zo creeren door een willekeurige straat in open street maps op te zoeken, bijvoorbeeld ergens in Venlo en dan krijg je dit
Jantje contantje
Molenstraat 17
5914 XS, Venlo
Een email adres heb je wel nodig maar die kun je simpel aanmaken in outlook of gmail, bv, jantje_contantje@outlook.com of jantje_contantje@gmail.com
Als je ergens een telefoonnummer moet invullen dan doet 06-12345678 wonderen, of 077-1234567 (om in de stijl van Venlo te blijven)
Deze identiteit kan je dus makkelijk aanmaken en dan jezelf registreren op websites waar je een online spelletjes speelt, of websites waar je graag kijkt naar schaars geklede dames en/of heren (maar ik meen begrepen dat niemand op deze websites kijkt.) Of je kan je op allerlei AI websites registreren
Wordt er echt naar een werkend telefoonnummer gevraagd dan haak ik af want niemand heeft mijn telefoonnummer nodig om mij een rekening via email te sturen (recent meegemaakt bij Nationale Nederlanden, je kan daar geen account aanmaken zonder werkend 06 nummer en toch krijg ik de rekening via de mail...)
Ik vind trouwens dat mensen veel te makkelijk zijn met het weggeven van hun persoonlijke gegevens aan allerlei commerciele bedrijven en men zou veel kritiescher moeten zijn en ik weet dat het soms lastig is omdat je dan soms de dingen niet kan krijgen omdat het een zogenaamd een vereiste is. Mijn mening is dan, dan maar niet
Maar goed, de wereld zit nu eenmaal in mekaar als die in mekaar zit, de grote (Amerikaanse) commerciele bedrijven bepalen en niet de consument (en ik heb het hier niet over de overheid, alhoewel, Digid wordt waarschijnlijk ook Amerikaans)
Wat ik persoonlijk een groter probleem vind is dat wij zo afhankelijk zijn van de grote Amerikaanse tech bedrijven en in het licht van deze reeks berichten over phising, hacken, enz, zou ik het wel leuk vinden als de Orkaan ook eens aandacht geeft aan Alternatieven voor deze grote Amerikaanse Tech bedrijven die heel anders omgaan met privacy en de regels rondom privacy
Dus Orkaan, maak eens een reeks artikelen over Europese alternatieven zoals Fairphone (voor de mobiele telefoon), Proton mail (email, docs, sheets, enz) Open office (spreekt voor zich) , Open street maps ( ipv google maps) , Le chat (ipv chatgpt) , enz
Ik hou me aanbevolen mochten jullie bij de orkaan er ook niet zo bekend mee zijn ๐
Niet Odido is slachtoffer, maar medeplichtig.
Standaard straf voor deze slordige bedrijven.
Voor alle echte slachtoffers, wiens data is gestolen, een standaard vergoeding van minimaal 100.000 euro.
Dan worden die bedrijven wel voorzichtiger met onze data!
Een beetje zichzelf slachtofferrol aanmeten, ga toch weg!
Het is nog veel ernstiger dan wordt voorgesteld. De buitgemaakte gegevens zijn niet zomaar wat losse persoonsgegevens, maar precies de informatie die bedrijven gebruiken om te controleren of hij bent wie je zegt dat je bent.
Iedereen kent de vragen: โKunt u ter controle uw postcode en huisnummer geven? Uw geboortedatum? De laatste vier cijfers van uw bankrekening?โ
Dit zijn exact de gegevens die nu op straat liggen dankzij Odido. Met andere woorden: criminelen hebben in veel gevallen alles in handen om zich overtuigend als jou voor te doen. En toch blijven bedrijven doen alsof die controlevragen nog enige echte beveiliging bieden.
Dit probleem ligt niet alleen bij hackers, maar ook bij bedrijven die structureel veel te veel gegevens verzamelen en bewaren. Waarom mag een bedrijf meer van mij eisen dan strikt noodzakelijk is? Dat zou wettelijk veel strenger moeten worden aangepakt. Dataminimalisatie moet geen vrijblijvend advies zijn, maar een harde verplichting.
Neem een simpel voorbeeld: een sim-only abonnement. Wat is daarvoor รฉcht nodig? Je naam, je telefoonnummer en je betaalgegevens. Meer niet. Als je door je data-, bel- of sms-bundel heen bent, stopt de dienst gewoon totdat je bijbetaalt. Het financiรซle risico voor het bedrijf is nihil. Toch worden vaak extra persoonsgegevens bewaard โvoor het geval datโ.
Zolang bedrijven meer gegevens opslaan dan nodig, blijven klanten kwetsbaar. En uiteindelijk is het altijd de burger die de schade moet herstellen en betalen, terwijl bedrijven wegkomen met een persbericht en een excuus. Bewijs maar als klant dat de oplichting komt door de hack bij Odido. Dat moet anders.
En ja er zijn oplossingen voor, voor ieder account dat je aanmaakt een nieuw emailadres. Maar dat is niet voor iedereen weggelegd.
idd. om makkelijk van provider te kunnen wisselen is een eigen domein de simpele oplossing. Dat hoeft niet veel te kosten en je hebt het dan in eigen beheer.
Apart, ik heb bij Gmail zo goed als geen last van spam en zo, waarschijnlijk gebruiken ze goede filters.
Voor registraties en ander gerommel gebruik ik altijd een weggooi-emailadres.
Phishing?
Pislink!
Houd uw provider-mail schoon en gebruik een vast alternatief
Omdat ik regelmatig van internetprovider wissel โ simpelweg vanwege aantrekkelijke aanbiedingen โ heb ik enkele jaren geleden een e-mailadres bij Outlook.com aangemaakt. Dat leek een praktische oplossing: een vast adres dat niet gekoppeld is aan รฉรฉn provider.
Maar wie zoโn algemeen mailadres gebruikt, weet wat dat betekent. De ene na de andere aanbieding voor digitale rommel, spam en phishingberichten stroomt binnen. Hoe goed de filters ook zijn, er glipt altijd wel iets tussendoor. Het kost tijd en aandacht om die stroom bij te houden en ongewenste berichten te verwijderen.
Toch heb ik dat Outlook-adres niet voor niets. Wie een e-mailadres bij zijn provider gebruikt โ bijvoorbeeld bij KPN of Ziggo โ loopt tegen een bekend probleem aan: zodra je overstapt, raak je dat adres uiteindelijk kwijt. Dan begint het rondsturen van nieuwe contactgegevens weer van voren af aan. Gelukkig kun je bij de meeste instanties tegenwoordig via je online account eenvoudig je e-mailadres aanpassen, maar het blijft een terugkerend klusje.
Mijn oplossing is daarom eenvoudig en misschien ook voor anderen bruikbaar. Ik gebruik mijn provider-mailbox uitsluitend voor belangrijke zaken: communicatie met overheidsinstanties, banken, verzekeraars en bijvoorbeeld MijnOverheid. Op dat adres ontvang ik nauwelijks spam of phishing. Providers filteren immers al veel ongewenste berichten voordat ze in de inbox verschijnen.
Het algemene, vaste e-mailadres gebruik ik voor minder cruciale registraties en online aankopen. Zo scheid ik belangrijke communicatie van commerciรซle ruis. Dat geeft overzicht en voorkomt dat essentiรซle berichten ondersneeuwen in een stortvloed van aanbiedingen.
In een tijd waarin we steeds makkelijker overstappen van aanbieder, is het verstandig om ook bewust met onze digitale bereikbaarheid om te gaan. Een kleine scheiding in mailgebruik kan al veel rust en veiligheid opleveren.
Zo is het maar net. ik doe vrijwel hetzelfde, en het werkt prima. Maar Mijn Overheid komt er niet in. Daarvoor hebben we Post.nl.....
Ik ben een klein stapje verder gegaan. Ik heb enkele domeinnamen geregistreerd om problemen bij provider wisselingen te vermijden en op outlook.com en gmail ben je sowieso voer voor de spam haaien.
Met je mailadressen in eigen beheer kan je adressen aanmaken specifiek voor zakelijk/overheidscontact/ziekenhuis e.d. Dat soort mail moet je echt niet in gmail ofzo willen hebben.
Daarnaast wat adressen voor webshops en aparte voor mijn vrouw.
Aangezien ik ook blijkbaar slachtoffer ben van de Odido hack heb, heb ik het mail adres wat ik daarvoor gebruikte gewijzigd en alles wat op het oude adres binnekomt behandel ik voorlopig als verdacht.
@ Ferry
Inderdaad dat is ook een prima optie om het zo te doen, en ik heb daar eigenlijk ook niet bij stil gestaan. Outlook en gmail lopen echt de spuigaten uit.
Inderdaad, Cor. Zeker als je een belangrijk belletje verwacht van een ander en die rare eifoon gaat niet over. Gebeurt bij mij om de drie keer.
Zolang een apparaat een draadje, drukknoppen of een draaischijf heeft lijkt dat wel altijd goed te gaan.
Gebruik vaste aangesloten waar, dan komt het voor elkaar......
Wat een zegen hรจ, die digitalisering!