28 december 2020

Ik weet je wachtwoord – Daniël Verlaan ★★★★

Door Tabitha
Mijn beoordeling:
4/5

Techjournalist Daniël Verlaan neemt je mee in de wondere wereld van cybercriminaliteit. We leven in een tijd waarin het leven in een hoog tempo digitaliseert, terwijl de meeste mensen weinig weten van technologie, online veiligheid en privacy. Het is voor criminelen inmiddels lucratiever geworden om mensen te hacken dan een telefoon of horloge te stelen, zo stelt Verlaan. Dat is niet iets om gelijk bang van te worden en in een kramp van te schieten. Angst komt vaak voort uit onwetendheid en zoals Daniël Verlaan zelf zegt ‘geen betere remedie tegen uitzichtloosheid dan inzicht’ (p. 18). De hoogste tijd dus om me wat meer te verdiepen in deze thematiek.

In elk hoofdstuk wordt een ander onderwerp beschreven en hacken, het dark web, datalekken, wraakporno, phishing, ransomsoftware, spyware, DDoS, en het ‘internet of things’ komen langs. Mochten deze termen je allemaal niks zeggen, niet getreurd, onderaan heb ik een woordenlijst opgenomen met uitleg. Ook heb ik handige praktische tips opgenomen over hoe je jezelf kunt beveiligen tegen cybercriminaliteit.

Bron: https://fd.nl/futures/1361894/digitaal-geklier-en-cyberkattenkwaad

Verlaan geeft op heldere en aansprekende wijze inzicht in de cybercriminaliteit. Hij gebruikt recente waargebeurde verhalen en zijn eigen onderzoek en ik sluit me aan bij de recensie van De Volkskrant dat het boek leest als een journalistieke thriller.

Het is niet per se een boek om vrolijk van te worden. Van wat er allemaal gebeurt in de wereld van kinderporno en welke vreemde voorkeuren er allemaal zijn, draait je maag toch wel om. 80% van het kindermisbruik wordt gepleegd wordt door mensen uit de directe omgeving en daders blijken vaak uit specifieke beroepsgroepen te komen: mensen die met kinderen werken, zoals leraren, trainers en oppassers (p. 78).

Als het over hacken gaat wordt Ashley Madison besproken, de website voor vreemdgangers waar vrouwen gratis op kunnen en mannen voor moeten betalen. Met een account kon je je account alleen op ‘verborgen’ zetten en moest met creditcard betaald worden om het te laten verwijderen. Later werd Ashley Madison gehacked en de gestolen data werd online gezet. Zo lagen opeens de mailadressen en creditcardgegevens, die gemakkelijk aan privégegevens gekoppeld kunnen worden, op straat. Ook de gegevens van de mensen die hun account verwijderden, bleken nog gewoon opgeslagen te zijn. Gebruikers van Ashley Madison kregen mails met hun adres, geboortedatum, wachtwoord en seksuele voorkeuren en het dreigement dat die gegevens gedeeld zouden worden met vrienden en familie, tenzij Bitcoins betaald werden. Deze hack vond in 2015, maar heeft Ashley Madison niet de das omgedaan en inmiddels heeft de site meer dan 60 miljoen leden, het hoogste aantal gebruikers ooit..

Er zijn genoeg mensen die zeggen, ach, ik heb niks te verbergen, wat kunnen ze me maken. Toch zijn basale persoonsgegevens genoeg om misbruik van te maken. De combinatie van je naam, geboortedatum, woonadres en Burgerservicenummer kan bijvoorbeeld worden gebruikt voor identiteitsfraude. En met een gelekte kopie van iemands identiteitsbewijs kun je van alles – je kunt er zelfs leningen op naam van diegene mee afsluiten (p. 95). “Grote kans dat er in je mail een kopie van je identiteitsbewijs zit die je een keer moest opsturen, en daarmee kan een cybercrimineel een flinke duit verdienen” (p. 96). Iemand die kwaad in de zin heeft kan met die basale persoonsgegevens je een sms sturen die afkomstig lijkt van het Centraal Justitieel Incassobureau, bijvoorbeeld dat je nog een boete moet betalen of een bedrag open hebt staan voor niet-betaalde gemeentelijke heffingen. Er wordt dan een Ideal-link bij gedaan zijn genoeg mensen die denken dat het echt zijn en een paar honderd euro armer erachter komen dat ze zijn opgelicht.

Je kunt ook gehackt worden doordat de hacker de antwoorden op geheime vragen goed beantwoordt en zo het wachtwoord van je account wijzigt. ‘Hoe heette je eerste huisdier’, ‘waar is je vader geboren’ of ‘wat is je favoriete film’ zijn simpele vragen die vaak gebruikt worden. Veel van deze antwoorden zijn te vinden op sociale media (p. 144-145). Ook doen hackers zich soms voor als potentiele vriend of vriendin en bijvoorbeeld te vragen of je een leuke naam weet voor een huisdier, achterhalen ze antwoorden op geheime vragen.

Ook is voorzichtigheid geboden met het gebruik van zogenaamde ‘slimme apparaten’, zoals robotstofzuigers, koffiezetapparaten met wifi of een slimme deurbel (p. 296). Deze apparaten draaien op software die met het internet is verbonden en daardoor kwetsbaar zijn. Verlaan kon zelf gemakkelijk toegang verkrijgen tot een bepaalde webcam van de Action waarvan alle apparaten standaard hetzelfde wachtwoord kregen. Met een paar eenvoudige handelingen keek hij binnen een paar minuten mee met de camera, in de woonkamer, schuur of badkamer. Koop dus geen goedkope apparaten van bijvoorbeeld AliExpress die vaak niet goed beveiligd zijn en dek de lens van een camera af als je deze niet gebruikt.

Verklarende woordenlijst (op alfabetische volgorde)

  • Bruteforcen: een krachtige computer vuurt probeert verschillende wachtwoorden, soms wel 100.000 per seconde. Bruteforcen is een soort wachtwoord raden op steroïden (p. 101)
  • Dark web: het dark web is dé plek waar de naarste dingen gebeuren. Het is niet aanraden het dark web op te zoeken. Verlaan geeft aan recent een berichtje te krijgen van een jongen die nieuwsgierig was en de nare beelden die hij daar aantrof nu niet meer van zijn netvlies krijgt (p. 50). Het bezoeken van het dark web gaat via de browser Tor, die ervoor zorgt dat je anoniem bent en jou IP-adres niet terug te leiden is.
  • Datalek: ongeoorloofde of onbedoelde toegang tot persoonsgegevens, bijvoorbeeld een hacker die data steelt of een bedrijf dat een laptop met klantgegevens laat slingeren (p. 85). Datalekken bevatten veelal gevoelige gegevens, zoals woonadressen, 06-nummers of wachtwoorden. Veel mensen worden gehackt omdat hun wachtwoord in een datalek te vinden is.
  • DDos: bij een Distributed Denial of Service (DDoS)-aanval wordt er heel veel internetverkeer naar een website of server gestuurd waardoor deze offline gaat. Zware DDoS-aanvallen kunnen de maatschappij ontwrichten door op grote schaal belangrijke internetdiensten of vitale infrastructuren plat te leggen (p. 269)
  • Hacken: ‘computervredebreuk’ is de juridische term voor hacken. Je breekt ergens in, maar dan digitaal. De manier waarop maakt niet uit, het is strafbaar.
  • Internet of things: Het ‘internet of things’ is de verzamelnaam voor simpele apparaten die zijn verbonden met het internet – van beveiligingscamera’s en robotstofzuigers tot koelkasten die je een melding sturen zodra het bier koud is (p. 293).
  • Phishing: een vorm van online oplichting met valse e-mails, websites of berichten om je inloggegevens buit te maken. (p. 163) Phishing is populair bij jeugdige criminelen die in korte tijd veel geld willen verdienen. Ze maken misbruik van de goedheid en goedgelovigheid van de mens.
  • Ransomsoftware: een vorm van malware die bestanden op je computer achter slot en grendel zet en losgeld vraagt om weer toegang te krijgen (p. 197). Het is steeds lastiger om weer toegang te krijgen tot gegijzelde bestanden. Vaak lukt dat alleen nog maar als je het losgeld betaalt.
  • Sim-swappen: de term om een 06-nummer over te zetten op een nieuwe simkaart.
  • Social engineering: een vorm van oplichting waarbij mensen worden gemanipuleerd – bijvoorbeeld door hen op te bellen en zich voor te doen als bankmedewerker (p. 163)
  • Spoofing: De methode om de afzendernaam aan te passen. Online sms-diensten bieden de mogelijkheid aan om de zogeheten sender-ID aan te passen. Dan kan je bijvoorbeeld een ander 06-nummer of andere naam invoeren (p. 181). Een SMS lijkt bijvoorbeeld afkomstig te zijn van de Belastingdienst, terwijl dit eigenlijk niet zo is.
  • Spyware: een vorm van malware die je bespioneert via de webcam of microfoon en gevoelige informatie steelt, zoals je wachtwoord. In tegenstelling tot ransomware, houdt spyware zich stil op de achtergrond. Het kijkt mee met wat je doet: wat voor appjes je stuurt, welke websites je bezoekt en wat voor foto’s je maakt (p. 239-240).
  • Stalkerware: spyware die wordt ingezet door iemand die je kent – je (ex-)partner bijvoorbeeld. Het is een vorm van huiselijk geweld die onderbelicht is, vooral omdat het zo complex is (p. 259).
  • Wraakporno: seksueel getint beeldmateriaal dat zonder toestemming van de betrokkene online wordt verspreid. Wraakporno is een groot probleem in Nederland: er zijn veel slachtoffers, de schade die het toebrengt is ontzettend groot en daders worden lang niet altijd gepakt (p. 125)

Praktische tips om je te beschermen tegen cybercriminaliteit

  • Het grootste gevaar zit ‘m in het lekken van je wachtwoord. Je wachtwoord is je digitale voordeur. Het beste is om voor elke online dienst een uniek wachtwoord te gebruiken. Gebruik dus nooit hetzelfde wachtwoord (of variaties daarop) op verschillende plekken. Als op één plek je account gehackt worden, kan op die manier gemakkelijk toegang verkregen worden tot andere accounts. Zo ben je erg kwetsbaar en de hacker hoeft alleen maar het ene wachtwoord te proberen bij andere accounts. Via Have I been Pwned of het Nederlandse Scattered Secrets, beiden een soort Google voor gelekte accountgegevens, kan je kijken of jouw mailadres betrokken is bij een datalek. Ook kan je een melding instellen zodra je gegevens door een datalek op het internet verschijnt.
  • Omdat de meeste mensen geen tientallen verschillende wachtwoorden kunnen onthouden, raad Daniël Verlaan het gebruik van een Password Manager. Die stopt al jouw wachtwoorden in een digitale kluis en beveiligt ze met een overkoepelend wachtwoord. Je hoeft dan voortaan maar één wachtwoord te onthouden om toegang te krijgen tot al je accounts. Na het lezen van het boek ben ik hier ook mee aan de slag gegaan en gebruik ik de (gratis) service LastPass. Dat systeem creëert dan ook een ingewikkeld wachtwoord met allerlei tekens wat vrijwel niet te raden of te kraken is.
  • Het beste alternatief voor een Password Manager is de fysieke variant: een wachtwoordboekje. “Een handige tip is om alle woorden die in het boekje staan te laten beginnen met hetzelfde woord. Dat woord schrijf je dan niet op, maar onthoud je. Als iemand toch jouw wachtwoordenboekje in handen krijgt, kan-ie nog steeds niet inloggen op je account” (p. 119).
  • Eigenlijk moet je niet van ‘wachtwoorden’ spreken, maar van ‘wachtzinnen, hoe langer een wachtwoord is, hoe lastiger hij te kraken is. Zinnen zijn lang en makkelijk te onthouden, twee vereisten voor een goed en sterk wachtwoord. ‘ditwachtwoordis99%CyberVeilig’ is bijvoorbeeld een goed te onthouden en lastig te kraken wachtwoord (p. 120).
  • Naast een goed wachtwoord is er een andere belangrijke beveiligingsmaatregel: tweestapsverificatie, ook wel two factor authentification (2FA) genoemd. Dat houdt in dat je naast het inloggen met je gebruikersnaam en wachtwoord nog een tweede stap moet voltooien, om te laten zien dat jij het echt bent (p. 157). Dat kan door een code die je via sms ontvangt (minder veilig) of via een authenticator app (veiliger). Ook ik heb dit inmiddels bij zoveel mogelijk accounts geactiveerd. Bij Google, Facebook, Dropbox en andere accounts kan je dit inschakelen.
  • Je e-mailadres is je belangrijkste online account, omdat het toegang biedt tot al je andere online accounts – waaronder betaaldiensten als Coinbase en PayPal. Zorg dus dat je emailaccount goed beveiligd is en een uniek wachtwoord heeft.
  • Het document dat je ten allen tijden moet beschermen, is je identiteitsbewijs (paspoort, identiteitskaart, rijbewijs). Daniël Verlaan raadt de app KopieID van de overheid aan, waar je gratis een veilige digitale kopie kunt maken. Je kunt gevoelige informatie wegstrepen en met een watermerk het doel van de kopie aangeven, zoals ‘kopie voor hotelovernachting op [datum]’. Dan kan de kopie niet meer worden gebruikt voor een ander doel, zoals een crimineel die met deze kopie een lening op jouw naam wil openen.
  • Daarnaast raadt Daniël aan om jezelf te googlen en bij Google Alerts in te stellen dat je een melding krijgt wanneer jouw naam, email of telefoonnummer online verschijnt (p. 160). Altijd handig.
  • In het geval van phishing is het belangrijk om altijd de afzender of het linkje te checken. Criminelen gebruiken vaak een iets aangepast variant van de officiële website, zoals ing.nl.inlog-service.net. Ook als het mailadres bijvoorbeeld @rabobank.incasso55.nl als afzender heeft, weet je dat de mail niet door Rabobank is verstuurd (p. 191).
  • Ook in dit geval is een Password Manager Deze voert alleen jouw inloggegevens in op de juiste website. Als het websiteadres niet correct is, zal de password manager jouw bankgegevens niet invoeren (p. 193).
  • Om je te beschermen tegen ransomsoftware moet je zorgen dat de bestanden die het gijzelvirus ontoegankelijk maakt, ook op een andere, veilige plek staan. Maak een back-up van je belangrijke bestanden (foto’s, video’s of documenten), bij voorkeur zowel online (bijv. Dropbox) als offline (extern harde schijf). Daarnaast is het belangrijk om altijd de laatste updates van je computer te installeren. Door updates te installeren wordt het voor virussen lastiger om je computer te infecteren (p. 231). Daniël Verlaan raadt een extra virusscanner aan, zoals Kaspersky Anti-virus en BetDefender of het Nederlandse HitmanPro Alert. Voor MacOS heb je het gratis RansomWhere van Objective-See.
  • Daarnaast is een firewall aan te raden. Een firewall houdt in de gaten welke apps er verbinding met het internet willen maken. Spyware moet verbinding met internet maken: de data die de spyware naar de hacker stuurt gaat ook via het internet (p. 262). Daniel raadt voor MacOS de gratis firewall LuLu of het betaalde Little Snitch aan. Voor Windoows-computers kan je goed GlassWire gebruiken.
  • Spyware kan ook op je smartphone terechtkomen. Als de virusscanner van Play Protect van je Android-toestel is uitgeschakeld, er een vreemde app tussen je processen op Android actief is of de accu van je telefoon plotseling heel snel op is, is dat een slecht teken.
  • Let ook op WebWhatsapp en controleer of dit niet bij andere apparaten dan die van jezelf geactiveerd is.
  • Wees voorzichtig met het openen van bijlagen in e-mails of andere berichten. Daar wordt vaak ransomware mee verspreid (p. 233). Probeer PDF-documenten die je niet kent niet met de bijbehorende sofware – Adobe Reader – te openen. Adobe Reader staat bekend als een van de meest onveilige stukjes software die je op je computer kunt hebben.
  • Wil je meer tips? Laat je niet Hack Maken lanceerde in 2018 een gratis handleiding die uitlegt hoe je je beschermt tegen hackers (p. 330).