Een collega (laten we hem Ferdy noemen) had een mailtje gekregen van
‘Your Data’. Onderwerp: “I won’t ask again – Nzarra69”. Dit was al het vijfde
mailtje van deze afzender, vandaar dat hij dreigend schreef dat dit de laatste
kans was. In de eerste regel legde hij uit dat hij het wachtwoord van Ferdy wist:
Nzarra69. Dan weet je al waar het naar toe gaat: Ferdy werd afgeperst.
Your Data legde uit dat hij Ferdy met zijn malware had besmet, hetgeen
kon gebeuren doordat Ferdy’s browser niet gepatcht was. Door die malware had
Your Data de volledige controle over de computer gekregen en toegang tot alle
accounts, ronkte de mail. Dan, in hoofdletters: “Ik heb al je privégegevens
verzameld – je weet wat ik bedoel – ik weet al je geheimen – je weet dat dit
geen grap is!”. Maar voor het luttele bedrag van achttienhonderd dollar (in
bitcoins natuurlijk) was Your Data bereid om die gegevens weg te gooien. En
anders dreigde de hel op aarde voor Ferdy, want dan zouden zijn gegevens
gepubliceerd, naar alle contacten gestuurd en op social media gepost worden.
Ferdy kneep ‘m toch wel, want dat wachtwoord klopte inderdaad. Het
mailtje van Your Data bevatte nog wat angstaanjagende kreten zoals ‘iFrame’ en
‘RAT’, waarschijnlijk bedoeld om Ferdy, mocht hij het verhaal niet direct geloven,
aan te sporen om deze termen te googelen en dan alsnog te schrikken (met
iFrame-code kun je een (stuk van een) andere website op je eigen website oproepen,
bijvoorbeeld een Youtube-filmpje, maar je kunt het ook gebruiken om er een
legitieme website mee te besmetten; RAT staat voor Remote Access Tool/Remote
Administration Tool en geeft een aanvaller de controle over een besmette pc).
Maar in plaats daarvan liet ik Ferdy een heel andere zoekopdracht
intikken: “hacker knows my password”. De resultaten die je dan te zien krijgt,
roepen om het hardst dat het allemaal nep is. Een potje blufpoker. Dat werd in
een van de eerdere mailtjes van Your Data nog versterkt met de mededeling dat
ze opnames hadden gemaakt met Ferdy’s webcam. Alleen: Ferdy hééft helemaal geen
webcam op zijn pc.
Ja maar, als het bluf was, hoe zit het dan met dat correcte wachtwoord?
Dat kunnen ze toch onmogelijk hebben geraden? Dat hoefde ook niet. In de
afgelopen jaren zijn wachtwoorbestanden van heel wat grote bedrijven, zoals
Adobe, eBay, LinkedIn en Yahoo, gestolen door hackers. Vaak waren die bestanden
slecht beveiligd en daardoor gemakkelijk te kraken. Vervolgens werden ze op het
dark web (de onderwereld van het
internet) verhandeld. En dan niet per stuk, nee, in bulk. Want cybercrime werkt
vaak het best als je met hagel op een grote groep kunt schieten. Er zitten altijd
wel een paar mensen tussen die erin trappen.
Deze zwendel werkt vooral goed bij mensen die overal hetzelfde
wachtwoord gebruiken. Bij mensen die zo verstandig zijn om dat niet te doen,
komt de mededeling “ik weet jouw wachtwoord” minder hard binnen: welk
wachtwoord bedoel je? De crimineel gokt dus op twee factoren: dat je het
wachtwoord, dat hij heeft gekocht, nog steeds gebruikt, en dat je het overal
gebruikt. Maar bovenal hoopt hij dat je gelooft dat hij al je bestanden heeft.
Ik heb Ferdy ook nog langsgestuud bij haveibeenpwned.com. Op die site
kun je je e-mailadres invullen, waarna je te zien krijgt of dat adres ooit
betrokken was bij een wachtwoorddiefstal (de meeste sites gebruiken immers je
mailadres als user-id). Grote kans dat je te zien krijgt dat jouw adres
betrokken was bij de kraak bij LinkedIn in 2012. Daarnaast kun je je daar
aanmelden voor een waarschuwing als dit in de toekomst gebeurt (via ‘Notify
me’). De teller voor gecompromitteerde accounts staat op een duizelingwekkende
7,8 miljard.
Dit relaas bevat een aantal leerpunten. Eén: laat je niet gek maken door
een mailtje. Twee: gebruik verschillende wachtwoorden voor verschillende
accounts, zodat je niet volledig onderuit gaat als een account bij een hack
betrokken is. Drie: door punt twee krijg je veel wachtwoorden en dat is lastig.
Maar gelukkig is daar een app voor: gebruik een password manager (je
zoekmachine helpt je om de voor jou meest geschikte te vinden). Vier: schrijf
je privé-e-mail in bij haveibeenpwned.com, zodat je gewaarschuwd wordt als je
e-mailwachtwoord op straat ligt. En als extra punt, dat hier nog niet aan de
orde kwam: zet waar mogelijk tweefactor-authenticatie aan (met bijvoorbeeld een
extra code via sms).
En in de grote boze buitenwereld …
... is het belangrijk dat bedrijven goed omgaan met jouw wachtwoord.
... moeten we af van het periodiek wijzigen van wachtwoorden.
... zuigt een Chinese app aan de grens alle gegevens uit je telefoon.
Bovendien checkt hij of er bepaalde plaatjes, videos, geluidsfragmenten of
documenten op staan.
... wordt aan onze eigen grens juist onderzocht of de grensbewaking zelf
niet wordt aangevallen.
... kun je bij Google kiezen voor het na een bepaalde tijd automatisch
verwijderen van je gegevens. De ICT-jurist ziet hierin een marketing-truc.
... legt deze nieuwsbrief uit hoe een VPN werkt en hoe je er eentje
kiest.
... zijn kwetsbaarheden in medische apparatuur altijd bijzonder
vervelend.
... mogen banken jouw betalingsverkeer niet analyseren om je op basis
daarvan met reclame te bestoken.
... is het Kickstarter-project voor ‘s werelds eerste onhackbare
computer alweer afgeblazen.
... was dinsdag een deel van het internet kapot.
... kun je proberen zo’n 502-foutmelding te omzeilen.
... gaat de cybercharlatan een cybersecuritydivisie opzetten.
... zet de eerbiedwaardige Algemene Rekenkamer tegenwoordig ook al hackers
in.
... wordt er veel geld verdiend met typosquatting.
... zijn Windows 10 en MS Office aangepast aan de AVG, omdat de
Nederlandse overheid deze software anders niet meer had mogen gebruiken.
... moeten telecomproviders zich extra beveiligen tegen statelijke
actoren.
... krijgen we na een cyberleger nu ook cyberdiplomaten.
Geen opmerkingen:
Een reactie posten