Het aantal gevallen van datadiefstal door cybercriminelen is in 2024 bijna verdubbeld ten opzichte van het jaar ervoor. Dat blijkt uit het nieuwste datalekkenrapportage van de Autoriteit Persoonsgegevens (AP). Vooral bij aanvallen met zogeheten ransomware is de impact groot: cybercriminelen versleutelen niet alleen data en eisen losgeld, maar dreigen ook met het openbaar maken van gestolen persoonsgegevens. En door gebruik te maken van kunstmatige intelligentie (AI) worden de boodschappen van cybercriminelen steeds geloofwaardiger.
AP-bestuurder Katja Mur waarschuwt voor de risico’s: “Wees ontzettend alert op je gegevens, waar je die bewaart en met wie je die deelt. Criminelen kunnen met alleen al je telefoonnummer of e-mailadres overtuigende phishingberichten sturen om je op te lichten. En met een kopie van je paspoort kunnen ze zich voordoen als jou, met alle gevolgen van dien.”
Het is voor cybercriminelen steeds eenvoudiger is om cyberaanvallen uit te voeren, constateert AP. Zo kunnen criminelen phishingmails met kunstmatige intelligentie (AI) opstellen die moelijker zijn te onderscheiden van echte e-mails. Omdat AI-tools steeds beter worden, kan dit ervoor zorgen dat mensen eerder in phishingmails ‘trappen’, waardoor na het klikken op de phishinglink persoonsgegevens worden buitgemaakt.
De toezichthouder ziet ook dat cybercriminelen hun tactieken aanpassen aan de verdediging van organisaties. Waar bedrijven zich steeds beter voorbereiden door back-ups te maken, reageren hackers hierop door de gestolen gegevens zelf ook te bewaren. Als het losgeld niet wordt betaald, dreigen zij de data te verkopen of online te publiceren. Daarmee proberen ze alsnog hun verdienmodel veilig te stellen.
Uit een enquête van de AP onder getroffen organisaties blijkt dat datadiefstal in 2024 ongeveer twee keer zo vaak voorkwam als in 2023. In totaal werden minstens 112 succesvolle ransomware-aanvallen geregistreerd. “We kunnen spreken van een zorgwekkende trend,” aldus Mur.
De financiële gevolgen voor organisaties zijn fors. In sommige gevallen liep de schade op tot in de tonnen. Gemiddeld bedroeg het verlies per organisatie meer dan 100.000 euro. Vooral de kosten voor het inschakelen van externe cyberexperts zorgen voor een flinke kostenpost.
Uit de Datalekkenrapportage 2024:
"Voor mijn wintersportvakantie heb ik via internet een hotelkamer geboekt. Hierna ontving ik via WhatsApp een bericht met een link om mijn boeking te bevestigen. Ik klikte op de link en kwam terecht op een reserveringswebsite. Ik zag dat alle boekingsgegevens klopten, van mijn naam tot aan de periode en het bedrag. De website kwam me bekend voor en leek op een website die hier vaker voor wordt gebruikt. Omdat het er zo echt uit zag, en het niet ging om betaling maar om bevestiging van mijn boeking, klikte ik op de knop om dat te doen. Niets wees erop dat het om een betaling ging. Toch was er binnen een paar seconden 2.700 euro van mijn creditcard afgeschreven! Ik heb direct de bank gebeld en die vertelde mij dat ik was opgelicht. Ik voelde me hier heel stom over. Je wordt hier zo vaak voor gewaarschuwd en toch is het mij ook gebeurd. Het verbaasde me hoeveel van mijn gegevens de oplichters in handen hadden. Ook klopten deze gegevens allemaal. De website waarop ik moest bevestigen leek heel echt. Oplichters gaan dus heel slim en geavanceerd te werk. Als ik nu een hotel via internet boek, ben ik nog scherper en alerter. Mijn advies is dan ook: klik niet zomaar op een knop om een betaling te bevestigen, ook al lijkt het erop dat je niets hoeft te betalen. Dat scheelt je een hoop geld en gedoe.”
