Er is de laatste dagen veel te doen op social media, over hackers die WhatsApp accounts zouden overnemen en zelfs binnen zouden zijn gedrongen bij een telecomoperator. Foto’s van WhatsApp-conversaties suggereren dat geheime conversaties nu in handen zijn van hackers en dat wij allemaal elk moment slachtoffer kunnen worden.
De ICT-AS heeft onderzoek gedaan naar bovenstaand fenomeen. Onze conclusie, op basis van de feiten: er is geen sprake van “hacken”. De werkelijkheid is veel simpeler en eerder te kenmerken als social engineering – maar is daardoor niet minder schadelijk.
Social engineering
Soms wordt een slachtoffer gevraagd een telefoon “unlocked” af te geven aan een zogenaamde “beveiligingsspecialist”, die ervoor gaat zorgen dat die telefoon ontdaan wordt van “hacks”. Echter, het is diezelfde “beveiligingsspecialist” die het vertrouwen van zijn slachtoffer misbruikt om een WhatsApp web-sessie op zijn PC te starten, waarmee hij volledige toegang heeft tot de WhatsApp-berichten van zijn slachtoffer. Doel: nieuwe slachtoffers vinden, die hij om geld kan vragen om ook hun telefoon te “schonen”, en zich voor kunnen doen als “hacker”, hij heeft nu immers toegang tot alle berichten in alle appgroepen van het slachtoffer. De weg naar afpersing is snel gevonden.
Nepprofielen
Een andere techniek is via een nepprofiel op Facebook een alarmerend bericht te posten: ik ben gehacked, mijn internetbanking is gehacked, “ze” hebben mijn creditcard misbruikt. Doel: de wereld laten zien dat er hackers actief zijn en zo vraag creëren naar duurbetaalde “security-diensten”.
Intimidatie
Wij zien ook intimidatiepogingen: herhaaldelijk de “wachtwoord-vergeten” functionaliteit van Gmail en andere diensten uitproberen, waardoor een stroom aan (onschadelijke) SMSjes en emailberichten ontstaat, of een stroom aan telefoontjes genereren vanuit een eenvoudig via internet te huren Amerikaans wegwerptelefoonnummer.
Nepberichten
Tenslotte, en wellicht het meest schadelijk: wij zien “foto’s” van WhatsApp-conversaties die in werkelijkheid niet hebben plaatsgevonden. Het is eenvoudig om met twee willekeurige telefoons een conversatie te maken die “net echt” lijkt, inclusief profielfoto’s. Het enige wat rest is met Photoshop de telefoonnummers aan te passen waar nodig. Ook hier is het doel weer: angst creëren, en zo meer “klanten” winnen.
Hoe herkent u een cybersecurity-professional?
Een echte cybersecurity-professional heeft niets te verbergen. Die laat zijn wat hij of zij met uw telefoon of computer doet, waar u bij bent, of legt u uit hoe u zelf het probleem kunt oplossen. Die komt niet met spannende, maar verzonnen verhalen over gehackte telecomoperators en veiligheidsdiensten, maar met eenvoudige tips waarmee u uzelf kunt beveiligen. Heeft u het idee dat u opgelicht bent door een “cybersecurity-professional”, neem dan contact op met de politie en doe aangifte.
Stay safe
Wij geven u graag de volgende tips om veilig te blijven in de digitale wereld:
- Geef uw telefoon of computer nooit “unlocked” af
- Beveilig uw WhatsApp-account met een pincode (settings > account > Two step verification)
- Maak overal waar dat kan (Gmail, Outlook, Dropbox enzovoorts) gebruik van “two step verification”. Een onverlaat kan dan niet zomaar bij uw gegevens, ook niet als die uw wachtwoord raadt.
- Stuur nooit SMSjes met beveiligingscodes door naar derden
- Geloof niet alles wat u ziet op Facebook. Namen en foto’s zijn eenvoudig te verzinnen en te “photoshoppen”.
- Reageer niet op ongevraagde SMSjes en emails met beveiligingscodes. Ze zijn geen bewijs dat u bent gehackt. Integendeel, de bescherming tegen hacken heeft gewerkt.
- Gebruik overal verschillende wachtwoorden van 12 tekens of meer. En gebruik een programma als Lastpass of Keepass om al uw wachtwoorden veilig op te slaan.
- Gebruikt u de messaging app Signal niet? Dan kan het zijn dat iemand anders met uw telefoon in de hand een Signal account heeft gemaakt met uw telefoonnummer, en nu onder uw naam berichten verspreidt. Ga naar https://signal.org/signal/unregister/ om dat account te verwijderen.
- Maak uitsluitend gebruik van professionals van goede naam. Mocht u klachten hebben over een lid van de ICT-Associatie, schroom dan niet om uw klacht te melden: mail uw verhaal naar hello@ict-as.sr
RESTT – rustig en denk na.
Tenslotte, met dank aan Datasur en “The National Observer” in Canada: doe de RESTT test als u een bericht niet vertrouwt.
- ‘R’: doet men een request naar uw persoonlijke informatie?
- ‘E’: emotion. Speelt het bericht in op uw emoties? Bijvoorbeeld ‘click here or you’ll lose your benefits.” Of “Give-away coupons. Click here and get yours now”, of gratis boodschappen doen bij Choi’s, of “we know everything about you” enzovoorts.
- ‘S’: spelling. Let goed op grammaticale fouten en spelfouten.
- ‘T’: staat voor think voordat u klikt.
En als laatst voegen wij nog een ‘T’ toe, die staat voor terminate. Verwijder zulke emails gelijk uit uw inbox.