Nedbank meldt een datalek die 1,7 miljoen klanten had kunnen treffen

Begin februari kwamen IT-experts die voor Nedbank werken, een van de 'grote vier' commerciële banken van Zuid-Afrika, te weten dat sommige van hun klanten mogelijk zijn getroffen door een datalek. Binnen een week hadden ze het incident grondig onderzocht en Mike Brown, CEO van Nedbank, stemde ermee in om de aanval te bespreken in een interview met CNBC Africa. Op een gegeven moment zei hij dat klanten van Nedbank 'niets anders hoeven te doen.' Maar wat bracht hem ertoe dat te zeggen? En is dat zo'n goed advies?

Een inbreuk op een direct marketingbedrijf treft 1,7 miljoen klanten van Nedbank

Een van de eerste dingen die klanten van Nedbank moeten weten, is dat niets erop wijst dat de IT-beveiliging van hun bank in gevaar is gebracht. De inbreuk vond plaats bij een externe dienstverlener genaamd Computer Facilities Ltd., die Nedbank had ingehuurd om klanten via e-mail en sms te contacteren. Technische details over de aard van de aanval zijn praktisch niet aanwezig, maar we hebben vernomen dat hackers op een gegeven moment toegang hebben verkregen tot sommige servers die tot Computer Facilities behoorden en de persoonlijke informatie van Nedbank-gebruikers bewaarden. Volgens MyBroadband.co.za werden de ID-nummers, telefoonnummers en fysieke en e-mailadressen van 1,7 miljoen Nedbank-klanten in gevaar gebracht.

Het ziet er naar uit dat noch Nedbank, noch Computer Facilities weten of die gegevens daadwerkelijk zijn gestolen, maar uit overvloedige voorzichtigheid behandelt de bank deze als gecompromitteerd. Potentieel getroffen accounts zijn opgenomen in een fraudedatabase en medewerkers van Nedbank zullen deze nauwlettend in de gaten houden om ervoor te zorgen dat verdachte activiteiten snel en efficiënt worden afgehandeld.

In zijn interview verklaarde de CEO van Nedbank dat bankrekeningnummers, wachtwoorden of pincodes niet door de inbreuk werden beïnvloed. Daarom lijkt hij te denken dat klanten van Nedbank niets bijzonders hoeven te doen om zichzelf te beschermen. Er zijn echter een of twee problemen hiermee.

Nedbank-klanten mogen de inbreuk niet onderschatten

De mogelijk gecompromitteerde informatie van Computer Facilities is niet voldoende om hackers de bankrekeningen van Nedbank-klanten te laten stelen, en Mike Brown zei herhaaldelijk dat zolang mensen geen gevoelige informatie zoals pincodes, wachtwoorden en bankrekeningnummers weggeven, hun geld moet veilig zijn. Zoveel is waar, maar door te zeggen dat klanten van Nedbank niets anders hoeven te doen, gaat Brown ervan uit dat mensen over het algemeen waakzaam genoeg zijn en niet kunnen worden misleid om hun inloggegevens weg te geven. Het enorme aantal gebruikers dat elke dag het slachtoffer wordt van social engineering-aanvallen laat zien dat dit niet echt het geval is.

Hoewel het nu al tientallen jaren bestaat, blijft phishing een van de meest effectieve manieren om inloggegevens te verzamelen. Hoe geloofwaardiger de e-mails, hoe groter de kans op succes, en dankzij de inbreuk op Computer Facilities, kunnen de berichten die Nedbank-klanten ontvangen behoorlijk overtuigend zijn.

Als ze de gegevens in handen krijgen, kunnen boeven phishing-e-mails maken die het doel bij naam aanspreken, en ze kunnen de berichten laten lijken alsof ze van de bank komen. Ondertussen opent de aanwezigheid van telefoonnummers en fysieke adressen de weg voor andere oplichting.

Met andere woorden, dankzij de inbreuk op Computer Facilities kunnen klanten van Nedbank ten prooi vallen aan een breed scala aan aanvallen, waarvan sommige zeer geavanceerd kunnen zijn. In het licht hiervan was de beslissing van Mike Brown om zijn klanten te vertellen alles te doen wat ze normaal doen waarschijnlijk geen goed idee. Betrokken klanten moeten zich bewust zijn van de potentiële gevaren en moeten dagelijkse taken met veel extra voorzichtigheid benaderen.