Theo is ouder van een middelbare scholier. Samen met zijn collega-ouders
zit Theo in een WhatsApp-groep, waarin op ouderlijk niveau het reilen en zeilen
in de klas wordt besproken. Een van die ouders liet onlangs weten dat de
groepsleden alle WhatsApp-berichten, die van haar account afkomstig waren,
dienden te negeren. Haar account was namelijk gehackt.
“Hoe dan?!”, is de kreet die de jeugd in dergelijke situaties bezigt.
Wel, er bestaat een vernuftige, doortrapte manier om WhatsApp-accounts te
hacken. Onderstaande beschrijving is uiteraard niet bedoeld als recept, maar om
je inzicht te geven in de manier waarop criminelen denken en handelen.
Om jouw account over te kunnen nemen moet de hacker om te beginnen jouw
telefoonnummer weten. Dat kan niet al te moeilijk zijn. Vervolgens installeert
hij WhatsApp op z’n eigen telefoon en vult daar jouw telefoonnummer in. Hij
doet dus eigenlijk alsof jij de app op een nieuwe telefoon installeert. Omdat
WhatsApp ook niet gek is, werken ze met een verificatiecode, die ze naar het
opgegeven nummer appen. Dat sms’je komt natuurlijk niet bij de boef aan, maar
bij jou, want in jouw eigen toestel zit de simkaart die aan dat telefoonnummer
is gekoppeld. Hoe komt de hacker nu aan die code?
Als je WhatsApp installeert, kun je aangeven dat het sms’je met de code niet
aankomt, en dat WhatsApp de code moet doorbellen. Je wordt dan door een
computer gebeld die de code voorleest. Als je niet opneemt, dan wordt de code
op je voicemail ingesproken. De hacker pleegt zijn coup op een moment dat jij
de telefoon niet opneemt, bijvoorbeeld ’s nachts, zodat de gesproken code dus
in jouw voicemail terechtkomt. Die voicemail kun je vanaf een ander toestel
uitluisteren, maar daar heb je wel een pincode bij nodig. En de hacker weet dat
die pincode vaak een standaardwaarde heeft (bijvoorbeeld 0000 of 1234) en dat
veel mensen niet de moeite nemen om die te wijzigen. Als hij jouw voicemail
belt en de juiste code raadt, dan krijgt hij de code voor het installeren van
WhatsApp in handen en kaapt daarmee jouw account. Vervolgens stelt hij ook nog
tweefactorauthenticatie (2FA) in, zodat jij je account niet terug kunt krijgen.
(2FA zorgt ervoor dat je, om toegang te krijgen, niet kunt volstaan met een
pincode of wachtwoord, maar ook nog iets in je bezit moet hebben – in het geval
van sms is dat het toestel waarop het sms’je binnenkomt).
Maar waarom zou iemand dat willen? Omdat er geld in jouw account zit.
Stel je voor: de hacker kan zich als jou voordoen én hij heeft toegang tot jouw
WhatsApp-contacten. Die contacten kunnen dan een bericht als dit verwachten:
“Hoi, ik zit in het buitenland in de problemen en ik heb dringend geld nodig
dat ik niet op mijn eigen rekening heb staan. Zou jij me asjeblieft uit de
brand kunnen helpen? Je krijgt het geld natuurlijk meteen terug als ik weer
thuis ben. Mijn rekeningnummer is (…) Ik zal je eeuwig dankbaar zijn!” En zo
proberen criminelen – want dat zijn het – onder dekking van jouw identiteit aan
geld te komen. Vorig jaar heeft deze fraude in Nederland ruim een miljoen euro
opgeleverd. Een tweede inkomstenbron is trouwens het terugverkopen van accounts
aan slachtoffers.
Om jezelf tegen deze aanval te beschermen moet je vier dingen doen:
- Stel zélf 2FA in op je WhatsApp-account
(Instellingen à Account
à
Verificatie in twee stappen).
- Voorzie je voicemail van een fatsoenlijke pincode. Oók als je nooit gebruik maakt van je voicemail.
- Vraagt iemand om geld via een appje, sms’je of mailtje? Neem dan altijd eerst langs een andere weg contact op, bijvoorbeeld door die persoon te bellen.
- Nooit ingaan op verzoeken om een ‘per ongeluk naar jou gestuurde code’ door te geven. Dat is namelijk de simpele methode om hetzelfde te bereiken als met het kraken van je voicemail.
De laatste tijd is er overigens wat commotie over sms als middel voor
2FA, vooral sinds in de VS iemand heeft geroepen dat je sms-2FA moet
uitschakelen omdat het niet veilig is. Het klopt dat sms niet volledig veilig
is: sms kan worden afgeluisterd. Maar ook al is het niet waterdicht, het is wel
degelijk een extra barrière die lang niet iedere aanvaller weet te slechten.
2FA op basis van sms is altijd veiliger dan geen 2FA. En als je toch bezig
bent, stel dan 2FA meteen in voor alle accounts waarbij dat mogelijk is, dus
niet alleen bij WhatsApp.
En in de grote boze buitenwereld …
... kon je telefoonnummer door een fout bij Twitter uitlekken.
... praat deze blog je bij over business
email compromise.
... kan de vorige eigenaar van jouw auto jou misschien nog volgen en de
auto bedienen.
... zijn er natuurlijk nog veel meer IoT-apparaten die niet afdoende
beveiligd zijn.
... voert de overheid een campagne om IoT-veiligheid te verbeteren met
de slogan ‘even je updates checken, voordat ze je hacken’. Ik ben alleen bang
dat weinig mensen iets kunnen met de gegeven aanwijzingen.
... vragen een aantal Android-apps van Chinese makelij om veel te
uitgebreide permissies. Wil je controleren welke permissies een app heeft? Druk
dan lang op het icoontje, kies App-info en vervolgens Machtigingen. Of bekijk
per machtiging aan welke apps die is verleend via Instellingen à Apps en meldingen à App-machtigingen.
... verzetten kinderorganisaties zich tegen het voornemen van Facebook
om berichtendiensten te versleutelen. (De in het artikel gebruikte term
‘e2e-versleuteling’ staat voor ‘end-to-end versleuteling’. Hiermee wordt
bedoeld dat berichten op het volledige pad tussen verzender en ontvanger
versleuteld zijn, waardoor niemand kan meelezen.)
... steeg het aantal datalekmeldingen vorig jaar spectaculair.
... zorgde één medewerker er met één muisklik voor dat de Universiteit
Maastricht een woelige kerst beleefde.
... heeft de Universiteit Maastricht het rapport van Fox-IT over de
ransomware-aanval gepubliceerd, voorzien van een eigen reactie.
... stuurde Google persoonlijke video’s naar de verkeerde personen.
... kun je op Google Maps je eigen file creëren (stilstaande auto’s,
niet het Engelse woord voor ‘bestand’). Heb je wel flink wat telefoons voor
nodig.
... rotzooit deze ransomware ook nog eens met kritieke infrastructuur.
Geen opmerkingen:
Een reactie posten