Het gebeurt niet zo vaak dat ik de blog op mijn verjaardag kan
schrijven. Dit jaar dus wel, en daarom zoek ik een beetje een gezellig
onderwerp. Gezelligheid en informatiebeveiliging zijn echter geen natuurlijke
vrienden, daarom herdefinieer ik ‘gezellig’ maar als ‘dicht bij huis’.
Ik kreeg een telefoontje van een collega die ik al sinds de vorige eeuw
ken. Of ze een privékwestie aan mij mocht voorleggen. Natuurlijk mocht dat, want
mijn vakgebied maakt geen onderscheid tussen zakelijk en privé. Wat was er aan
de hand? Haar tienerzoon (ik noem ‘m voor de gelegenheid Duncan, maar dat is
uiterst fictief) werkt bij een supermarkt en had belastingaangifte gedaan.
Zoals gebruikelijk bij dit soort bijbaantjes kon hij rekenen op een teruggaaf.
Maar de kwestie waarvoor de collega mij belde was niet fiscaal van aard.
Gelukkig maar, want daar heb ik helemaal geen verstand van.
Kort nadat de online aangifte was afgerond, was er een nieuw bankrekeningnummer
voor Duncan aan de Belastingdienst doorgegeven. De fiscus reageerde prompt: ze
konden het nieuwe nummer niet aan deze belastingplichtige linken en er moest
dus iets mis zijn. Dat klopte, want niemand in dat gezin had de wijziging
doorgegeven. De vraag aan mij luidde: help, wat is hier aan de hand?
Zo’n analyse door de telefoon is natuurlijk een beetje lastig, maar je
kunt toch een heel eind komen. Hoe werkt het doorgeven van een gewijzigd
bankrekeningnummer aan de Belastingdienst? Dat doe je online, waarbij je inlogt
met je DigiD. Er heeft dus iemand ingelogd met Duncans DigiD. En die iemand was
niemand uit Duncans gezin. We moeten dan ook aannemen dat de gebruikersnaam en
het wachtwoord van zijn DigiD zijn uitgelekt.
De inloggegevens (credentials)
stonden niet op een briefje, dat door het openstaande raam naar buiten is
gewaaid en op schoot belandde bij iemand die spontaan bedacht dat hij daarmee
een wijziging aan de Belastingdienst kon doorgeven, terwijl hij ook nog wist
dat er net een aangifte was gedaan die geld zou opleveren. Nee, Duncan moet
ervan uitgaan dat zijn pc gehackt is en dat er malware op draait die een
cybercrimineel de mogelijkheid geeft om mee te kijken met alles wat Duncan doet
– alleen ziet die crimineel dan geen stipjes als het wachtwoord wordt ingevuld,
maar de echte karakters, omdat hij rechtstreeks het toetsenbord ‘afluistert’.
Mijn adviezen aan Duncans moeder waren rechttoe-rechtaan: wijzig met
spoed de DigiD-wachtwoorden van het hele gezin, en doe dat vooral vanaf een
andere computer dan die waarmee de aangifte is gedaan. Draai vervolgens een
virusscan op de verdachte computer; vertrouw daarbij niet alleen op de
virusscanner die al op de pc aanwezig is, maar vraag een ‘second opinion’ door
middel van een online virusscan (bijvoorbeeld Trend Micro HouseCall, ESET
Online Scanner, F-Secure Online Scanner – allemaal gratis). Ga verder na wat je
nog meer deed op die pc: bankieren, shoppen, mailen? Alle bijbehorende
credentials zijn als gecompromitteerd te beschouwen en moeten dus gewijzigd
worden. Vooral je e-mailaccount is daar cruciaal in. Als iemand daarover kan
beschikken, dan heeft hij daarmee de sleutel tot veel van je accounts in
handen. Als je ergens klikt op ‘wachtwoord vergeten’, dan krijg je immers veelal
een mailtje toegezonden waarmee je een nieuw wachtwoord kunt instellen. Toegang
tot de mail betekent dus toegang tot veel andere accounts. En als je hetzelfde
wachtwoord op diverse plaatsen gebruikt, dan ben je sowieso de sjaak – dan moet
je ze echt allemaal wijzigen. Maar dat was hier gelukkig niet aan de orde.
Anderhalve week later sprak ik Duncans vader – ook al een collega van
weleer. Hij had zijn “Norton-scanner van twee tientjes” laten draaien en die “kwam
wel wat tegen”, evenals de Norton Power Eraser, maar erg onder de indruk leek
pa niet te zijn. Bovendien stond de Windows 10-pc op instorten, zo traag was
hij – ook nog na de scan. Terwijl een identieke pc die ze ook in huis hadden
veel sneller was. Ik heb toen nogmaals aangedrongen op een online scan. Dat
advies heeft hij opgevolgd. De scan draaide een paar uur. Er waren meldingen op
het scherm te zien, maar die waren later weer verdwenen. Wat die scan precies
heeft gezien en gedaan weten we daardoor niet, maar de pc is nu wel veel
sneller dan voorheen. Er heeft dus vermoedelijk iets op die pc gezeten wat er
niet thuishoorde. Dat is nu opgelost. En Duncan kan z’n geld lekker zelf
opstrijken.
Geschreven
met toestemming van de ouders. Als je mij een dergelijk verhaal vertelt, ga ik
daar niet zonder overleg over schrijven.
En in de grote boze buitenwereld …
... willen hackers soms gewoon veel geld verdienen en dan moet je af en
toe reclame maken voor jezelf.
... mogen bedrijven niet om een kopie van je paspoort vragen als je een
AVG-inzageverzoek doet.
... heeft de FIOD een van de grootste bitcoinwasserettes offline
gehaald.
·
Hun partner
in justice McAfee: https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/crypto-currency-laundering-service-bestmixer-io-taken-down-by-law-enforcement/
... zijn er drie eenvoudige regels voor digitaal vertrouwen.
... kunnen iPhones en iPads geïdentificeerd worden met behulp van de
ingebouwde versnellingsmeter.
... moet je je maar niet op James Bond-achtige aanvallen concentreren.
Er is al genoeg werk te doen aan de basis.
... moet je vooral tijdens het reizen op je veiligheid letten.
... zijn gegevens van miljoenen Instagram-influencers uitgelekt. Het zoveelste social media-lek...
... vindt er smishing
(phishing via sms) plaats uit naam van de Belastingdienst.
... heeft Google-product G Suite wachtwoorden onbeveiligd opgeslagen.
Sinds 2005.
... staat een Australische ambtenaar voor de rechter wegens mining op het werk.
... heeft Facebook het omgaan met politieke advertenties nog niet
helemaal onder de knie.
... lees je hier in detail hoe iemand een boel geld kwijtraakte door een
aanval op zijn simkaart.
... lekken sommige Linksys-routers gegevens van alle apparaten die er
ooit op aangesloten waren.
... zijn we allemaal slechts huurder op onze eigen apparaten.
... vat deze blog het goed samen: het lekt.
... heeft de Autoriteit Persoonsgegevens de Belastingdienst op de
korrel.