Cybercriminaliteit, phishing start in contactcenters, als je niet oppast
Twee ethische hackers geven hun visie op de veiligheid in contactcenters en hoe je die kunt verbeteren. Wesley Neelen en Rik van Duijn testen met hun bedrijf Zolder de security van bedrijven. De aanleiding voor het contact met de KSF was voor hen de enorme stijging van het aantal gevallen van fraude, met name met gegevens afkomstig uit contactcenters. De klantenservice is geliefd bij criminelen. Tijdens de expertsessie Data op 27 mei 2021 doen ze uit de doeken hoe criminelen te werk gaan en hoe je als contactcenter kunt voorkomen dat er data worden gelekt. Tot slot helpt de KSF je op weg met kwaliteitsmonitoring en certificering.
Steeds geraffineerder
De phishingproblematiek is booming. De schade in 2020 is gestegen van 7,9 naar 39,5 miljoen euro. Gegevens komen veelal uit contactcenters, blijkt uit politieonderzoek. Recente voorbeelden als allekabels.nl en het datalek bij de GGD zijn iedereen bekend en hebben ervoor gezorgd dat er nu meer aandacht is voor de veiligheid van data. En dat is belangrijk, want het levert veel schade op. Vroeger had je voor phishing maar 2 gegevens nodig en ging je aan de slag als crimineel. Maar bedrijven hebben de beveiliging verbeterd en consumenten zijn minder goed van vertrouwen geworden. Kwaadwillenden zijn creatief, ze maken gebruik van nieuwe mogelijkheden om vertrouwen te wekken met meer gegevens die niet iedereen zomaar kan weten. In 7 stappen is een crimineel online bij je bankrekening, zo laten Wesley en Rik zien. Voor het slachtoffer zien de schermen die hij in beeld krijgt er normaal uit en hij vermoedt dus niet dat hij met boeven te maken heeft. Zo geraffineerd gaan ze te werk. Soms merkt een slachtoffer pas dagen later dat hij is opgelicht. Als de crimineel het telefoonnummer van het slachtoffer heeft, vaak gekoppeld aan een bank, kan hij ook namens die bank bellen, zogenaamd. Hij informeert het slachtoffer over bankzaken, zet contactcentergeluid op de achtergrond aan en wordt heel geloofwaardig. Dan is het een koud kunstje om iemand geld over te laten maken naar een andere, malafide bankrekening. De doelgroep voor dergelijke criminele acties is meestal 65+.
Hoe doen ze dat?
Via groepen op Telegram (Russische WhatsApp, mogelijkheid om anoniem te chatten) worden gegevens aangeboden, maar ook gevraagd. Medewerkers worden verleid om gegevens te stelen, criminelen gaan zelf op de klantenservice werken of ze richten zelfs een contactcenter op. Klantenservicemedewerkers zijn geliefd bij criminelen: ze zitten boven op de klantgegevens én ze hebben de skills om vertrouwenwekkende gesprekken te voeren. Gegevens worden niet alleen gestolen van de klantenservice, ook andere bedrijfstakken zijn doelwit. Een voorbeeld daarvan is de zogenoemde retourzendingenfraude. Een crimineel stopt een waardeloos product in de retourdoos en verkoopt het waardevolle product door. Soms worden medewerkers van de retourafdeling geronseld of er speciaal neergezet.
Er is iets aan te doen!
- Beperk de toegang tot gegevens, zorg ervoor dat mensen niet meer kunnen zien of doen dan noodzakelijk is
- Maak gebruik van auditlogging, leg in je systemen vast (misschien zit het al in je systemen en hoef je het alleen maar aan te vinken, vraag je IT)
- wie doet wat, wanneer
- sla die gegevens centraal op
- controleer op die gegevens
Zie je afwijkend gedrag? Dat kan duiden op fraude. Constateer je fraude? Doe aangifte en voorkom dat de fraudeur bij een ander bedrijf zijn slag slaat.
- Maak gebruik van zogenoemde Fake-adressen die je zelf nooit gebruikt en die leiden naar je eigen e-mailadres of telefoonnummer. Ontvang je daar berichten op, dan weet je dat er iemand frauduleus bezig is en kun je het aanpakken.
- Bewustwording van medewerkers is belangrijk. Soms zijn medewerkers zich niet bewust van hun criminele gedrag of denken ze dat het niet zo erg is om in gegevens van anderen te kijken of ze te stelen.
- Geef aandacht aan misbruik. Betrap je iemand, leg het aan de hele organisatie uit. Dat helpt bij bewustwording en werkt als afschrikkend middel.
- Controleer bijvoorbeeld of VIPS bekeken worden. Of op werknemers die veel meer bekijken dan de rest.
Op landelijk niveau werkt de politie aan een publiek-private coalitie voor detectie en preventie. De KSF gaat in gesprek om kennis te delen en bewustwording te bevorderen.
De KSF helpt je op weg
Wil je werken aan de bewustwording van privacy en de bescherming van gegevens? Voor het KSF Branchecertificaat toetsen we medewerkers op hun kennis en de toepassing van wet- en regelgeving. Meer informatie vind je op ksfbranchecertificaat.nl. Het QM-protocol van de KSF helpt je op weg bij kwaliteitsmonitoring op de klantenservice.
Ook in de audit voor ISO 18295 voor contactcenters wordt aandacht besteed aan de toepassing van wet- en regelgeving in de organisatie. Meer informatie vind je op klantenservicefederatie.nl
Dave Dukers
op 15 Sep 2021KSF
op 20 Sep 2021