vrijdag 24 mei 2019

Gehackt


Het gebeurt niet zo vaak dat ik de blog op mijn verjaardag kan schrijven. Dit jaar dus wel, en daarom zoek ik een beetje een gezellig onderwerp. Gezelligheid en informatiebeveiliging zijn echter geen natuurlijke vrienden, daarom herdefinieer ik ‘gezellig’ maar als ‘dicht bij huis’.

Ik kreeg een telefoontje van een collega die ik al sinds de vorige eeuw ken. Of ze een privékwestie aan mij mocht voorleggen. Natuurlijk mocht dat, want mijn vakgebied maakt geen onderscheid tussen zakelijk en privé. Wat was er aan de hand? Haar tienerzoon (ik noem ‘m voor de gelegenheid Duncan, maar dat is uiterst fictief) werkt bij een supermarkt en had belastingaangifte gedaan. Zoals gebruikelijk bij dit soort bijbaantjes kon hij rekenen op een teruggaaf. Maar de kwestie waarvoor de collega mij belde was niet fiscaal van aard. Gelukkig maar, want daar heb ik helemaal geen verstand van.

Kort nadat de online aangifte was afgerond, was er een nieuw bankrekeningnummer voor Duncan aan de Belastingdienst doorgegeven. De fiscus reageerde prompt: ze konden het nieuwe nummer niet aan deze belastingplichtige linken en er moest dus iets mis zijn. Dat klopte, want niemand in dat gezin had de wijziging doorgegeven. De vraag aan mij luidde: help, wat is hier aan de hand?

Zo’n analyse door de telefoon is natuurlijk een beetje lastig, maar je kunt toch een heel eind komen. Hoe werkt het doorgeven van een gewijzigd bankrekeningnummer aan de Belastingdienst? Dat doe je online, waarbij je inlogt met je DigiD. Er heeft dus iemand ingelogd met Duncans DigiD. En die iemand was niemand uit Duncans gezin. We moeten dan ook aannemen dat de gebruikersnaam en het wachtwoord van zijn DigiD zijn uitgelekt.

De inloggegevens (credentials) stonden niet op een briefje, dat door het openstaande raam naar buiten is gewaaid en op schoot belandde bij iemand die spontaan bedacht dat hij daarmee een wijziging aan de Belastingdienst kon doorgeven, terwijl hij ook nog wist dat er net een aangifte was gedaan die geld zou opleveren. Nee, Duncan moet ervan uitgaan dat zijn pc gehackt is en dat er malware op draait die een cybercrimineel de mogelijkheid geeft om mee te kijken met alles wat Duncan doet – alleen ziet die crimineel dan geen stipjes als het wachtwoord wordt ingevuld, maar de echte karakters, omdat hij rechtstreeks het toetsenbord ‘afluistert’.

Mijn adviezen aan Duncans moeder waren rechttoe-rechtaan: wijzig met spoed de DigiD-wachtwoorden van het hele gezin, en doe dat vooral vanaf een andere computer dan die waarmee de aangifte is gedaan. Draai vervolgens een virusscan op de verdachte computer; vertrouw daarbij niet alleen op de virusscanner die al op de pc aanwezig is, maar vraag een ‘second opinion’ door middel van een online virusscan (bijvoorbeeld Trend Micro HouseCall, ESET Online Scanner, F-Secure Online Scanner – allemaal gratis). Ga verder na wat je nog meer deed op die pc: bankieren, shoppen, mailen? Alle bijbehorende credentials zijn als gecompromitteerd te beschouwen en moeten dus gewijzigd worden. Vooral je e-mailaccount is daar cruciaal in. Als iemand daarover kan beschikken, dan heeft hij daarmee de sleutel tot veel van je accounts in handen. Als je ergens klikt op ‘wachtwoord vergeten’, dan krijg je immers veelal een mailtje toegezonden waarmee je een nieuw wachtwoord kunt instellen. Toegang tot de mail betekent dus toegang tot veel andere accounts. En als je hetzelfde wachtwoord op diverse plaatsen gebruikt, dan ben je sowieso de sjaak – dan moet je ze echt allemaal wijzigen. Maar dat was hier gelukkig niet aan de orde.

Anderhalve week later sprak ik Duncans vader – ook al een collega van weleer. Hij had zijn “Norton-scanner van twee tientjes” laten draaien en die “kwam wel wat tegen”, evenals de Norton Power Eraser, maar erg onder de indruk leek pa niet te zijn. Bovendien stond de Windows 10-pc op instorten, zo traag was hij – ook nog na de scan. Terwijl een identieke pc die ze ook in huis hadden veel sneller was. Ik heb toen nogmaals aangedrongen op een online scan. Dat advies heeft hij opgevolgd. De scan draaide een paar uur. Er waren meldingen op het scherm te zien, maar die waren later weer verdwenen. Wat die scan precies heeft gezien en gedaan weten we daardoor niet, maar de pc is nu wel veel sneller dan voorheen. Er heeft dus vermoedelijk iets op die pc gezeten wat er niet thuishoorde. Dat is nu opgelost. En Duncan kan z’n geld lekker zelf opstrijken.

Geschreven met toestemming van de ouders. Als je mij een dergelijk verhaal vertelt, ga ik daar niet zonder overleg over schrijven.

En in de grote boze buitenwereld …


... willen hackers soms gewoon veel geld verdienen en dan moet je af en toe reclame maken voor jezelf.
https://tweakers.net/nieuws/153158/hacker-zet-zero-day-voor-windows-10-online.html

... mogen bedrijven niet om een kopie van je paspoort vragen als je een AVG-inzageverzoek doet.
https://blog.iusmentis.com/2019/05/23/waarom-moet-ik-elke-keer-een-kopietje-paspoort-opsturen-als-ik-onder-de-avg-wat-vraag/

... heeft de FIOD een van de grootste bitcoinwasserettes offline gehaald.
·         De FIOD zelf: https://www.fiod.nl/fiod-en-om-halen-witwasmachine-voor-cryptovaluta-offline/
·         Hun partner in justice McAfee: https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/crypto-currency-laundering-service-bestmixer-io-taken-down-by-law-enforcement/

... zijn er drie eenvoudige regels voor digitaal vertrouwen.
https://www.darkreading.com/perimeter/the-3-cybersecurity-rules-of-trust-/a/d-id/1334732

... kunnen iPhones en iPads geïdentificeerd worden met behulp van de ingebouwde versnellingsmeter.
https://www.grahamcluley.com/fingerprinting-iphones-with-the-built-in-gyroscope/

... moet je je maar niet op James Bond-achtige aanvallen concentreren. Er is al genoeg werk te doen aan de basis.
https://www.i-cio.com/management/best-practice/item/navigating-through-the-new-cyber-threat-landscape

... moet je vooral tijdens het reizen op je veiligheid letten.
https://www.kaspersky.com/blog/travel-security-five-tips/26964/

... zijn gegevens van miljoenen Instagram-influencers uitgelekt. Het zoveelste social media-lek...
https://www.tripwire.com/state-of-security/featured/data-millions-instagram-accounts-internet/

... vindt er smishing (phishing via sms) plaats uit naam van de Belastingdienst.
https://www.fraudehelpdesk.nl/alert/nep-sms-namens-belastingdienst/

... heeft Google-product G Suite wachtwoorden onbeveiligd opgeslagen. Sinds 2005.
https://www.wired.com/story/google-stored-gsuite-passwords-plaintext/

... staat een Australische ambtenaar voor de rechter wegens mining op het werk.
https://hotforsecurity.bitdefender.com/blog/mining-cryptocurrency-at-work-lands-australian-civil-servant-in-court-21188.html

... heeft Facebook het omgaan met politieke advertenties nog niet helemaal onder de knie.
https://nos.nl/nieuwsuur/artikel/2285561-bits-of-freedom-facebook-gaat-de-fout-in-met-politieke-advertenties.html

... lees je hier in detail hoe iemand een boel geld kwijtraakte door een aanval op zijn simkaart.
https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124?sk=4c29b27bacb2eff038ec8fe4d40cd615

... lekken sommige Linksys-routers gegevens van alle apparaten die er ooit op aangesloten waren.
https://arstechnica.com/information-technology/2019/05/33-linksys-router-models-leak-full-historic-record-of-every-device-ever-connected/

... zijn we allemaal slechts huurder op onze eigen apparaten.
https://www.wired.com/story/right-to-repair-tenants-on-our-own-devices/

... vat deze blog het goed samen: het lekt.
https://peterzinn.nl/2019/05/20/het-lekt-de-cyberweek/

... heeft de Autoriteit Persoonsgegevens de Belastingdienst op de korrel.
https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-doet-onderzoek-naar-verwerking-nationaliteit-bij-belastingdienst


Gepost door op
Labels: , , , , ,

Geen opmerkingen:

Een reactie posten

Abonneren op: Reacties posten (Atom)