Russische staatshackers proberen over de hele wereld toegang te krijgen tot accounts van belangrijke personen, bijvoorbeeld militairen en ambtenaren. De hackers doen dit door zich te richten op Signal- en WhatsApp-accounts. Ook Nederlandse overheidswerknemers waren hiervan het doelwit.

Volgens de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) proberen Russische hackers vooral Signal-accounts over te nemen. Hiervoor moeten zij verificatiecodes van gebruikers ontfutselen, wat bijvoorbeeld met zogenaamde supportchatbots gebeurt. Deze accounts sturen doelwitten gericht een bericht en proberen via deze socialengineeringtruc de codes van slachtoffers te stelen.

Die codes kunnen worden gebruikt om accounts over te nemen. Dat zei de AIVD enkele weken geleden ook al, maar toen was nog niet duidelijk om welke chatdiensten het ging en dat het om een wereldwijd fenomeen ging.

Stiekem apparaten of accounts koppelen

Ook zouden de criminelen proberen om apparaten te koppelen aan bestaande Signal- en WhatsApp-accounts. Op deze manier hebben slachtoffers volgens de AIVD vaak niet door dat er mensen met hun berichten kunnen meelezen. De inlichtingendienst schrijft: "De Russische hackers hebben met deze campagne waarschijnlijk de beschikking gekregen over gevoelige informatie."

Daarnaast waarschuwt de organisatie in het document Cyberadvies voor valse QR-codes, waarbij externe accounts aan groepsgesprekken kunnen worden toegevoegd. De AIVD raadt gebruikers aan om waakzaam te zijn voor leden van groepsgesprekken die ze niet herkennen. Ook kopiëren criminelen soms bestaande accounts om niet op te vallen. Als een persoon dubbel in een groepschat lijkt te zitten, zou dit op een kwaadwillende kunnen wijzen.

Gerichte aanvallen, vooral via Signal

Het is volgens de AIVD opvallend dat de hackers geen gebruikmaken van exploits of andere kwetsbaarheden in Signal en WhatsApp. "In plaats daarvan maken de aanvallers misbruik van legitieme beveiligingsfuncties van de applicaties."

Vooral Signal zou het doelwit van de Russen zijn. Die chatdienst staat bekend als een veilig alternatief voor WhatsApp. De dienst biedt onder meer standaard end-to-endencryptie, overigens net zoals WhatsApp. De inlichtingendienst waarschuwt dat de chatdiensten ondanks de versleuteloptie van berichten niet bedoeld zijn voor communicatie over gevoelige informatie.

Websites waarop gebruikers trackingcookies kunnen afkopen door te betalen, zijn 'onwenselijk, maar niet per definitie verboden'. Dat stelt de Nederlandse privacytoezichthouder, die in het verleden altijd vaag is geweest over de vraag of zo'n 'pay-or-okay'-model onder de AVG is toegestaan. De AP raadt zo'n model af, maar verbiedt dat expliciet niet.

De Autoriteit Persoonsgegevens zegt dat op een onlangs gepubliceerde pagina over 'consent or pay'-modellen voor websites. Dat zijn websites waarbij bezoekers de 'keuze' krijgen om (tracking)cookies te accepteren of als alternatief te betalen voor toegang.

De AP noemt dat model niet wenselijk. "De AP vindt het belangrijk dat de privacy van iedereen goed wordt beschermd, niet alleen de privacy van degene die daarvoor betaalt. Mensen met weinig geld zullen eerder geneigd zijn om toestemming te geven voor het gebruik van hun persoonsgegevens voor gepersonaliseerde advertenties, terwijl ze dat mogelijk niet willen."

Onwenselijk ≠ verboden

Maar onwenselijk is niet hetzelfde als verboden. Ook dat benadrukt de AP. "Een consent or pay-model is niet per definitie altijd verboden onder de Algemene verordening gegevensbescherming. Maar zo'n model is alleen toelaatbaar als een website nauwkeurig voldoet aan alle vereisten van de AVG."

Dat laatste betekent in de praktijk dat websitebezoekers 'vrijelijke toestemming moeten kunnen geven, zonder onder druk te worden gezet'. Dat is een opvallende passage. In het verleden draaide de discussie rondom pay-or-okay-modellen vooral om de vraag wat vrijelijke toestemming was. Gedwongen worden om te kiezen tussen tracking of betaling is volgens veel critici niet vrijelijk, maar de AP zegt nu in de praktijk dat het wel zo is.

Wel moet een website dan uiteraard aan andere AVG-regels voldoen. De site moet bezoekers duidelijk de kans geven om te weigeren en duidelijk informeren over wat er met de gegevens gebeurt.

Grote platforms

Niet alle websites mogen zomaar geld vragen als alternatief voor trackingcookies, zegt de AP. 'Grote online platforms' mogen dat niet. Die zijn dan zo groot, dat ze gebruikers 'onder grote druk zetten' om cookies te accepteren. Voor die websites gelden daarom ook andere regels. Die bedrijven mogen geen pay-or-okay-model opzetten. Zij moeten een 'derde optie' aanbieden, wat in de praktijk betekent dat ze ook de mogelijkheid moeten bieden om tracking kosteloos te weigeren.

Dat laatste is niet nieuw. De Europese privacytoezichthouders besloten dat in 2024 al. Maar sindsdien hing de vraag altijd in de lucht hoe dat zit met kleine websites. De AP concludeert nu voor het eerst duidelijk dat zij wel de mogelijkheid hebben om een pay-or-okay-model te implementeren, mits ze aan de overige regels voldoen.

Er moeten meer Europese alternatieven komen voor betaaldiensten van grote techbedrijven. Dat raadt de Nederlandsche Bank aan in een rapport. Volgens DNB kunnen er anders 'prijsstijgingen en ongewenste afhankelijkheden' ontstaan.

De Nederlandsche Bank vindt dat het betalingsverkeer in Nederland 'weerbaarder' moet worden tegen cyberaanvallen. Ook moet de afhankelijkheid van niet-Europese partijen op 'kritieke onderdelen' van de betaalketen worden verminderd. De centrale bank doet in zijn rapport Visie op Betalen 2026 - 2028 verschillende suggesties om dat te bereiken.

Zo roept DNB op om concurrenten te ontwikkelen voor betaalwallets van 'bigtechbedrijven'. "Zonder alternatieven in de markt kunnen deze een machtsconcentratie met hun wallets krijgen. Hierdoor kunnen prijsstijgingen en ongewenste afhankelijkheden ontstaan." Ook de Europese Unie werkt momenteel aan een eigen wallet, hoewel volgens DNB nog wordt onderzocht of daarmee ook betalingen kunnen worden verricht.

De Nederlandsche Bank zegt verder voorstander te zijn van de digitale euro, omdat deze de afhankelijkheid van buitenlandse kaartaanbieders als Visa en Mastercard verkleint. "Daarmee kan onze cruciale betaalinfrastructuur gebruikt worden als geopolitiek drukmiddel. Maar een offline variant van de digitale euro biedt consumenten de mogelijkheid om altijd digitaal te kunnen betalen, zelfs bij storingen in het internet- of stroomnetwerk." Verder raadt DNB winkeliers aan om offline pinnen aan te bieden, zodat pinbetalingen ook mogelijk zijn tijdens een netwerkstoring.

In oktober waarschuwde de centrale bank al dat de financiële sector in Nederland een groeiend risico loopt door de toenemende afhankelijkheid van een klein aantal niet-Europese IT-leveranciers. Dat zou onder meer kunnen leiden tot grootschalige storingen of 'risico's op systeemniveau'.