Een van de grootste hacks in de Nederlandse geschiedenis, met meer dan 6,2 miljoen gestolen klantrecords. Ik sta er ook in, want Ben valt ook onder Odido. Ik kreeg dus ook de mail.
Havo-studenten hebben niet het onderdeel Cybersecurity, maar in dit soort gevallen is het gewoon basiskennis. Dus opletten.
- https://tweakers.net/nieuws/244720/nos-odido-hackers-kwamen-binnen-door-2fa-codes-te-social-engineeren.html
- https://tweakers.net/nieuws/244916/ap-vraagt-odido-slachtoffers-te-stoppen-met-klagen-na-stortvloed-aan-meldingen.html
- https://tweakers.net/nieuws/244788/odido-bewaarde-gestolen-gegevens-veel-langer-dan-beloofd-onderzoekt-waarom.html
- https://mail.odido.nl/optiext/optiextension.dll?ID=cNX_PLPnHbb0wx_FQ7lrLaQwgRFEpjSk_%2B_pM%2BfDe3uKsUPh41H%2Bek4nTUtnAKZSle1ye4PAKIf%2BZdAWnRFZROgdrM2Y4f&utm_source=selligent&utm_medium=email&utm_campaign=B2C_SRV_ALL_BASECOMMSINACTIVE_TELL_EDM_V1_PROD&utm_content=OCM_SRV_BASECOMMS_NK_EDM_V2_20260216_PROD
- https://www.ccinfo.nl/menu-nieuws-trends/actuele-cyberaanvallen#Dreigingen
- https://www.ccinfo.nl/journaal/3004760_odido-hack-treft-miljoenen-ai-als-wapen-en-supply-chain
- https://www.scworld.com/brief/jokerotp-phishing-tool-seller-arrested-in-netherlands
- https://www.bleepingcomputer.com/news/security/police-arrest-seller-of-jokerotp-mfa-passcode-capturing-tool/
- Update 25/2: https://nos.nl/artikel/2603902-gaat-odido-nu-betalen-hangt-ervan-af-hoe-betrouwbaar-de-hackers-zijn
Inhoudsopgave
Kretologie
- Phishing: bericht sturen met link, vissend naar een reactie. De Ph komt van Phone, toen je nog inbelde op computers om te verbinden in het bulletin-board tijdperk < 1993. Of live bellen, zoals ’this is Microsoft calling from India, you have problem with computer’. Phishing gaat tegenwoordig geautomatiseerd, in dit geval met JokerOTP.
- Social Engineering: met een praatje naar binnen praten. Doen alsof je er werkt, bijvoorbeeld. Hallo, ik ben van..
- 2FA: 2 Factor Authentication. Iets weten en iets hebben. Typisch een code uit een generator, van een lijst
- Salesforce: Customer Relationship Management systeem. Marktleider, miljardentent.
- AP: Autoriteit Persoonsgegevens. Privacytoezichthouder. Ga hier klagen als het ergens niet goed ruikt. AP werd in februari 2026 zelf ook gehacked (ccinfo, security.nl) met deze Ivanti hack (Nationaal Cyber Security Center).
- Bewaartermijn Persoonsgegevens. In je privacyverklaring (odido, ondernemersplein) die verplicht is onder de AVG moet je vermelden hoe lang je welke gegevens bewaart. Odido hield zich niet aan zijn eigen tekst. * voorspel: dat wordt boete *.
- AVG Algemene Verordening persoonsGegevens . (ondernemersplein)
- Geautomatiseerd klantgevens opslaan -> via de API van salesforce vermoedelijk.
- Ransomware: Software die gestolen data versleutelt zodat de gedupeerde moet betalen om zijn gegevens terug te krijgen. Versleuteling met een hybride model van symmetrisch en asymmetrisch. Bij LockBit 3.0: AES-256 + RSA-2048. Deze software is ’te koop’ via Dark Web
- Dark Web: Domeinnamen eindigend op .onion die je benadert met The Onion Router. Zowel de bezoekers als de server is ‘anoniem’. Surveillance vindt vaak plaats het honey pots of half fake security apparatuur.
Waarschuwing
Verbatim Odido
| Hieronder lees je concrete situaties waarvan we je vragen om hierbij extra op te letten: |
| Met je naam, adres, telefoonnummer, e-mailadres en rekeningnummer kunnen cybercriminelen je proberen te benaderen waarbij zij zich kunnen voordoen als iemand van Odido, je bank of een andere organisatie. Blijf daarom altijd alert op dit soort telefoontjes, sms’jes, appjes of e-mails. Let goed op bij het openen van links in e-mails, sms’jes en appjes. Je kan een verdachte e-mail, sms of app vaak herkennen aan typefouten en onbekende afzenders. Controleer het telefoonnummer. Of wat er na het ‘@’-teken van een e-mailadres staat. Krijg je een onverwacht telefoontje van een nummer dat je niet kent? Het kan zijn dat er echt een medewerker van je bank of een ander bedrijf belt. Je kunt dit controleren door de beller te vragen naar zijn/haar voor- en achternaam en hem/haar te vragen naar het algemene telefoonnummer van het bedrijf. Bij twijfel, zeg dat je graag eerst wilt controleren of de persoon een echte medewerker is en hang op. Controleer vervolgens op de website van het bedrijf of het nummer inderdaad klopt. Klopt het nummer? Bel dan zelf en vraag naar de medewerker die jou heeft gebeld. Geef nooit iemand je wachtwoord of pincode. |
Beter is: mail headers / source code checken. Ook bij phishing websites.
JokerOTP
