Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Dumpster-diver

Aanvallen

Iemand die vertrouwelijke informatie probeert te vinden door het afval van iemand te doorzoeken.

Een dumpster-diver is een aanvaller die gevoelige informatie verzamelt door fysiek afval van organisaties te doorzoeken. De term komt uit het Engels en verwijst letterlijk naar het duiken in afvalcontainers (dumpsters) om weggeworpen documenten, opslagmedia of hardware te vinden die bruikbare informatie bevatten. In de context van cybersecurity is dumpster diving een vorm van social engineering en informatievergaring die vaak wordt onderschat, maar die aanvallers waardevolle gegevens kan opleveren voor verdere aanvallen op een organisatie.

Hoewel dumpster diving een low-tech aanvalsmethode lijkt, kan de opbrengst verrassend hoog zijn. Organisaties gooien regelmatig documenten weg met wachtwoorden, netwerkdiagrammen, interne telefoonnummers, klantgegevens, financiele informatie en zelfs complete harde schijven of USB-sticks die niet zijn gewist. Deze informatie kan door een aanvaller worden gebruikt om gerichte phishing-aanvallen op te zetten, zich voor te doen als een medewerker, of technische kwetsbaarheden te identificeren in het netwerk van het doelwit. Dumpster diving is vaak een van de eerste stappen in de verkennningsfase van een grotere aanval.

Hoe werkt dumpster diving?

Een dumpster-diver richt zich op de afvalcontainers en papierbakken van een doelorganisatie. Dit kan fysiek bij het kantoorgebouw zijn, maar ook bij externe afvalverwerkers of recyclingbedrijven die de afvalstromen van het bedrijf verwerken. De aanvaller zoekt systematisch naar informatie die direct bruikbaar is of die kan helpen bij het plannen van een meer geavanceerde aanval.

Documenten die vaak worden gevonden zijn oude personeelslijsten met namen, functies en telefoonnummers, geprinte e-mails met gevoelige inhoud, vergadernotulen, netwerkschema's, configuratieoverzichten, en notities met wachtwoorden of toegangscodes. Op het gebied van hardware zoekt een dumpster-diver naar afgedankte harde schijven, USB-sticks, cd's, dvd's, oude laptops en telefoons die niet voldoende zijn gewist. Zelfs ogenschijnlijk onschuldige items zoals afgedrukte agenda's, visitekaartjes of organogrammen bieden een aanvaller waardevolle context over de organisatiestructuur.

De gevonden informatie wordt gebruikt voor verschillende doeleinden. Met namen en functies van medewerkers kan een aanvaller overtuigende spear phishing-berichten opstellen. Netwerkdiagrammen en configuratiegegevens geven inzicht in de technische infrastructuur en mogelijke kwetsbaarheden. Wachtwoorden die op post-its of in geprinte documenten staan, bieden directe toegang tot systemen. In sommige gevallen bevat afgedankte hardware volledige databases of klantbestanden die nooit zijn verwijderd.

Dumpster diving wordt niet alleen door individuele aanvallers toegepast. Concurrenten kunnen dumpster diving gebruiken voor bedrijfsspionage, en statelijke actoren zetten het in als onderdeel van uitgebreidere inlichtingenoperaties. Zelfs ethische hackers en penetratietesters gebruiken dumpster diving als onderdeel van hun assessment om organisaties bewust te maken van de risico's van onzorgvuldig afvalbeheer. De techniek vereist weinig technische kennis en is in veel landen niet expliciet strafbaar zolang de afvalcontainer op publiek toegankelijk terrein staat.

Hoe herken je dumpster diving?

Dumpster diving is moeilijk te detecteren omdat het zich buiten de digitale omgeving afspeelt. Er zijn geen netwerklogboeken of systeemwaarschuwingen die op dumpster diving wijzen. Fysieke beveiligingsmaatregelen zijn daarom cruciaal. Bewakingscamera's bij afvallocaties kunnen verdachte activiteiten registreren, zoals personen die buiten werktijden afvalcontainers doorzoeken.

Indirecte signalen die kunnen wijzen op een eerdere dumpster diving-actie zijn social engineering-pogingen waarbij de aanvaller beschikt over interne informatie die normaal niet publiek beschikbaar is, zoals namen van specifieke medewerkers, interne projectnamen, of details over de IT-infrastructuur. Als je merkt dat phishing-aanvallen ongebruikelijk veel accurate interne details bevatten, kan dumpster diving de bron zijn van die informatie.

Andere indicatoren zijn het ontbreken van afval dat er wel zou moeten zijn (iemand heeft al interessant materiaal verwijderd), sporen van doorzoeking bij afvalcontainers, of meldingen van beveiligingspersoneel over onbekende personen bij afvallocaties. Regelmatige fysieke audits van afvalstromen en gesprekken met medewerkers over hun afvalgewoonten helpen bij het inschatten van het risico dat jouw organisatie loopt.

Hoe bescherm je je tegen dumpster diving?

De belangrijkste maatregel tegen dumpster diving is een strikt vernietigingsbeleid voor gevoelige informatie. Investeer in cross-cut papiervernietigers die documenten versnipperen tot onleesbare fragmenten. Standaard strip-cut vernietigers zijn onvoldoende, omdat strookjes met enig geduld kunnen worden gereconstrueerd. Plaats papiervernietigers op elke verdieping en maak het medewerkers gemakkelijk om documenten direct te vernietigen in plaats van in de prullenbak te gooien.

Voor digitale opslagmedia geldt: harde schijven, USB-sticks en andere media die vertrouwelijke data hebben bevat, moeten professioneel worden gewist volgens erkende standaarden (zoals de NIST SP 800-88 richtlijnen) of fysiek worden vernietigd. Alleen formatteren is niet voldoende, omdat data met forensische tools vaak nog te herstellen is. Schakel een gecertificeerd vernietigingsbedrijf in dat een vernietigingscertificaat afgeeft voor elk vernietigd medium.

Implementeer een clean desk policy die medewerkers verplicht om gevoelige documenten op te bergen wanneer ze hun werkplek verlaten. Beperk fysieke toegang tot afvalcontainers door ze af te sluiten of in een beveiligd gebied te plaatsen. Zorg voor bewustwordingstraining waarin medewerkers leren welke informatie gevoelig is en hoe ze deze correct moeten vernietigen. Overweeg een fysieke beveiligingsaudit die specifiek het afvalbeheer evalueert. Stel contractueel vast dat externe afvalverwerkers voldoen aan beveiligingseisen voor de verwerking van vertrouwelijk materiaal. Classificeer documenten naar gevoeligheidsniveau zodat medewerkers weten welke documenten vernietigd moeten worden en welke gewoon weg mogen. Train nieuwe medewerkers direct bij onboarding over correct afvalbeheer.

Veelgestelde vragen over dumpster diving

Is dumpster diving legaal in Nederland?

De juridische status is complex. Het doorzoeken van afval op openbaar terrein is niet altijd expliciet strafbaar. Echter, het betreden van afgesloten terreinen of het doorbreken van beveiligingsmaatregelen is dat wel. Bovendien kan het gebruik van gevonden persoonsgegevens onder de AVG strafbaar zijn. Organisaties moeten zich niet verlaten op juridische bescherming maar op preventieve maatregelen.

Welke informatie zoekt een dumpster-diver het meest?

Wachtwoorden en toegangscodes op papier, personeelslijsten met contactgegevens, netwerkdiagrammen en IT-configuraties, financiele documenten, klantgegevens en ongewiste opslagmedia. Alles wat een aanvaller helpt om de organisatie beter te begrijpen of direct toegang te verkrijgen is waardevol.

Hoe vernietig je harde schijven veilig?

Gebruik software-matige wiping volgens NIST SP 800-88 voor hergebruik, of fysieke vernietiging (degaussing, shredding of verbranding) voor definitieve vernietiging. Alleen formatteren is onvoldoende. Schakel een gecertificeerd vernietigingsbedrijf in dat een vernietigingscertificaat verstrekt als bewijs van correcte verwerking.

Is een clean desk policy voldoende bescherming?

Een clean desk policy is een goede start maar onvoldoende als op zichzelf staande maatregel. Combineer het met cross-cut papiervernietigers, beveiligde afvalcontainers, professionele mediavernietiging en regelmatige bewustwordingstraining. De keten is zo sterk als de zwakste schakel.

Kan dumpster diving ook digitaal plaatsvinden?

Ja, de digitale variant heet "electronic dumpster diving" en omvat het doorzoeken van cloud-opslag die per ongeluk publiek toegankelijk is, het scannen van onbeveiligde backups, of het herstellen van data van tweedehands hardware die online wordt verkocht zonder te zijn gewist.

Hoe overtuig je het management van het risico van dumpster diving?

Laat een penetratietester een dumpster diving-assessment uitvoeren op je eigen organisatie. De resultaten zijn vaak schokkend en overtuigend: wachtwoorden op post-its, klantgegevens in de papierbak en ongewiste laptops bij het grofvuil. Concrete voorbeelden uit de eigen organisatie werken beter dan abstracte dreigingsbeschrijvingen.

Versterk je fysieke beveiliging. Vergelijk Physical Security & Access Control aanbieders op IBgidsNL.