Help, ik ben gehackt!
Online sociale netwerken en andere accounts worden steeds belangrijker en zijn voor sommigen zelfs net zo onmisbaar als een mobieltje. Als uw mobiele telefoon wordt gestolen, bent u vaak binnen een paar dagen weer bereikbaar. Maar als iemand er met uw Facebook-, Twitter of Gmail-account vandoor gaat, ligt dat een stuk lastiger. We laten u daarom zien wat u moet doen als een van uw accounts gehackt is, hoe u de meeste kans hebt die terug te krijgen en wat u kunt doen om diefstal in de toekomst te voorkomen.
©CIDimport
Alles online doen is de trend. Het risico op verlies van gegevens door bijvoorbeeld een crash is kleiner en u kunt altijd en overal bij uw gegevens, zelfs op uw mobiel. Helaas is er ook een donkere kant. Regelmatig horen we in het nieuws berichten over hackers die in één keer de gegevens van soms miljoenen accounts in handen weten te krijgen. En ook blijkt het kraken van wachtwoorden vaak kinderlijk eenvoudig. Veel mensen gebruiken dezelfde (korte) wachtwoorden voor meerdere accounts. Populair zijn nog steeds: naam huisdier/partner/kind, hobby, verjaardag datum en lievelingskleur. Uit analyse door de site Tweakers.net van de eigen wachtwoordendatabase met hierin de gegevens van alle gebruikers bleek dat met behulp van vrij verkrijgbare woordenlijsten binnen een half uur de helft van de wachtwoorden kon worden gekraakt. Hackers weten dat en kunnen op die manier op goed geluk proberen uw account te kraken, bijvoorbeeld via informatie die u over uzelf op Facebook plaatst.
Volgens Symantec heeft zo’n 40 procent van de volwassenen in Nederland te maken gehad een vorm van cybercriminaliteit. In vijf procent van de gevallen ging het daarbij om een sociale mediaaccount voor bijvoorbeeld Facebook dat gehackt was. Opvallend was dat in bijna de helft van de gevallen dit in de afgelopen twaalf maanden plaatsvond. En dan blijkt van de ene op de andere dag dat iemand anders zich voor u uitgeeft, uw vrienden ongewenste mail, tweets of andere berichten stuurt en u zich niet langer kunt aanmelden.
Juridische kant
Account gestolen of gegijzeld? Helaas heeft naar de politie stappen niet zoveel zin. Identiteitsdiefstal is op zich niet strafbaar. Pas als er iets met uw account wordt gedaan, kan dat strafbaar zijn. Arnoud Engelfriet (www.arnoud.engelfriet.net) is ict-jurist en gespecialiseerd in internetrecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In zijn nieuwe boek Security, dat binnenkort verschijnt, gaat hij uitgebreid in op dit onderwerp. Arnoud: “Andermans naam aannemen (met opzet of per ongeluk) is niet strafbaar. Pas vervolghandelingen die zijn verricht onder die aangenomen identiteit kunnen leiden tot strafbare feiten.”
Als voorbeeld noemt hij het gebruiken van iemands identiteit voor het bestellen van spullen. Daarnaast is ook het opheffen van iemands account (vernieling van gegevens) of het gebruik van iemands naam en wachtwoord voor het lezen van mail (computervredebreuk) strafbaar. Ook andere gevolgen van identiteitsdiefstal kunnen strafbare feiten opleveren. Denk aan valsheid in geschrifte of smaad, bijvoorbeeld door je voor iemand anders uit te geven en een vervalst bericht uit te sturen met de tekst: “ik ben een dief”. Inloggen op andermans account is ook geen identiteitsdiefstal, maar wél een vorm van computervredebreuk. In alle gevallen geldt: er kan formeel pas iets aan worden gedaan nadat de gevolgen zijn ingetreden. Zelf denken we echter dat de kans erg klein is dat de politie daadwerkelijk stappen zal ondernemen wanneer een onbekende met uw Facebook-account aan de haal gaat of zich voor u uitgeeft.
Voorbeeld 1: Aan de haal met Hotmail
Computer Idee lezer J. van Staa (40) uit Utrecht meldde ons dat iemand met zijn Hotmail-account aan de haal was gegaan. Opeens ontvingen vrienden en familie beledigende teksten die afkomstig waren van het bijbehorende e-mailadres, zonder dat hij of zijn vrouw deze hadden geschreven. Inloggen ging nog wel maar het veranderen van het wachtwoord had niet het gewenste resultaat. “Uiteindelijk hebben we het Hotmail-account verwijderd en een nieuwe aangemaakt. Daarna hebben we iedereen middels een sms geïnformeerd. Persoonlijke gegevens zoals bijvoorbeeld telefoonnummers sturen we vanwege ellende in het verleden ook niet langer via de e-mail en van dit nieuwe e-mailaccount veranderen we regelmatig het wachtwoord.” Van Staa is verbaasd over het feit dat er nog steeds zo nonchalant wordt omgesprongen met gegevens. “Natuurlijk wil je dat je toekomstige werkgever via een vacaturesite contact met je kan opnemen, maar het wel heel jammer als blijkt dat je e-mailadressen en telefoonnummers zo’n beetje door iedereen kunnen worden opgevraagd.”
Wat kan ik wel doen?
Account gehackt? In de praktijk zult u het helemaal zelf op moeten knappen. Er zijn 2 scenario’s denkbaar. In het eerste geval hebt u nog wel toegang, in het tweede niet.
Als u nog wel kunt inloggen...
- Zorg ervoor dat u uw pc scant op de aanwezigheid van virussen, malware en keyloggers zodat u voorkomt dat hackers opnieuw met uw account(s) aan de haal kunnen gaan.
- Log in op uw account en check de instellingen. De hacker heeft bijvoorbeeld ingesteld dat mail automatisch moet worden doorgestuurd, of heeft externe applicaties toegang gegeven tot uw account. Verwijder verdachte apps of schakel ze uit.
- Controleer of vrienden en relaties via dit account berichten hebben ontvangen, bijvoorbeeld met een smeekbede om geld of malware. Stel ze op de hoogte van het feit dat uw account was misbruikt en vraag ze deze berichten te verwijderen.
- Stel een nieuw en solide wachtwoord in (zie kader: 5 Wachtwoordwijsheden) en geef een nieuw alternatief e-mailadres op waarop contact met u kan worden opgenomen als u bijvoorbeeld uw wachtwoord bent vergeten.
Voorbeeld 2: Gmail-account gegijzeld
Onlangs schreef de Engelse journaliste Rowenna Davis over de vervelende gevolgen nadat haar Gmailaccount was overgenomen door een hacker. De hacker stuurde uit naam van Rowenna al haar contactpersonen een e-mail waarin stond dat zij in nood ergens in Spanje zat en dringend geld nodig had. De gegevens voor een rekening bij Western Union om het geld naar over te maken stonden er netjes bij. Toen zij een mailtje stuurde naar het betreffende account met als onderwerp “Aan hen die mijn account hebben gehackt” en de vraag of ze dan tenminste haar adressenboek kon krijgen, kreeg ze binnen een paar minuten antwoord. “Natuurlijk, maar dat kost je dan wel 500 pond.” Wat vooral opvalt aan het hele verhaal is dat de politie totaal geen idee heeft hoe met zo’n zaak moet worden omgegaan en dat Google weinig medewerking verleende. Via een vriend van een vriend die bij Google werkt heeft ze haar account uiteindelijk toch weten terug te krijgen. Daarmee heeft ze waarschijnlijk meer geluk dan de naar schatting 3.000 mensen die alleen al in het Verenigd Koninkrijk jaarlijks slachtoffer zijn van deze vorm van chantage / oplichting.
Als u niet langer kunt inloggen...
- Probeer uw account terug te krijgen. Dat kunt u via de achterdeur doen door gebruik te maken van de optie ‘Wachtwoord vergeten’. Hiermee kunt u het wachtwoord ‘resetten’ en het tijdelijke nieuwe wacht woord naar u laten mailen. Dit werkt alleen als de hacker deze instellingen nog niet heeft gewijzigd.
- Veel sociale netwerken / sites hebben een optie waarmee u kunt doorgeven dat uw account gehackt is. Deze vindt u door te zoeken op ‘naam sociaal netwerk gehackt / hacked’. Afhankelijk van de te volgen procedure krijgt u uw account al of niet terug in handen. Houd er wel rekening mee dat deze methode lang kan duren en geen enkele garantie biedt. Bij Facebook doet u dit via facebook.com/help/hacked, bij Twitter via th3.cc/c25330, bij Google via th3.cc/bcbdc3 en bij Hyves via hyves.nl/veilighyven.
- Stuur een bericht naar het gehackte account en vraag de hacker in alle redelijkheid uw account terug te geven. Laat u niet chanteren en betaal zeker geen geld. Indien u het account terugkrijgt, doorloop dan de stappen onder het kopje ‘Als u nog wel kunt inloggen’. Beschouw anders het account als verloren.
- Account kwijt? Begin met een schone lei en stel vrienden en relaties op de hoogte van het feit dat uw account gehackt is en dat u hier niet langer op bent te bereiken. Geef uw nieuwe gegevens door en vraag ze de gegevens van het gehackte account te verwijderen.
Voorbeeld 3: Chantage op sociale netwerken
Dat het niet noodzakelijk is om eerst gehackt te worden voordat iemand met uw identiteit aan de haal kan gaan, blijkt uit onderzoek door Kaspersky. Een groeiend aantal mensen wordt het slachtoffer van chantage door criminelen die op hun naam een sociaal profiel aanmaken en vervolgens dreigen compromitterende documenten en foto’s aan vrienden en familie door te spelen. Uw account is zo’n geval niet gehackt maar iemand geeft zicht wel voor u uit. Internetjurist Arnoud Engelfriet adviseert om – ook als u niet actief bent – toch bij zoveel mogelijk sites en diensten een account te registreren zodat een ander dat niet meer kan doen. “Helaas werkt dit niet altijd, want hackers kunnen vaak een variatie op uw naam invullen of gewoon een nepnaam verzinnen als gebruikersnaam en dan bij ‘echte naam’ alsnog uw naam invullen.”
5 Wachtwoordwijsheden
1
Een zwak punt van wachtwoorden zijn vaak de geheime vragen die gebruikt worden om een wachtwoord te achterhalen wanneer de eigenaar dit vergeten is. De hacker die in 2009 het Yahoo mailaccount kraakte van gouverneur Sarah Palin wist via deze achterdeur het wachtwoord boven water te krijgen. Pas dus op en gebruik geen domme vragen met een strekking als “Wat is uw favoriete kleur?”.
2
Bewaar uw wachtwoorden niet online, bijvoorbeeld in Google Docs of DropBox. Wanneer dit account gekraakt wordt, kan een hacker zich direct toegang verschaffen tot uw andere accounts en ontstaat een domino-effect. Bedenk voor elk afzonderlijk account een sterk wachtwoord en gebruik – wanneer deze moeilijk zijn te onthouden – een wachtwoordkluis als Password Safe (passwordsafe.sourceforge.net), KeePass (keepass.info) of LastPass (lastpass.com). Deze tools beschikken vaak ook over een hulpje waarmee veilige wachtwoorden kunnen worden gegeneerd.
3
Zelf veilige wachtwoorden kiezen? Zorg ervoor dat ze minimaal 8 karakters lang zijn, geen bestaande woorden bevatten en zowel letters, cijfers als leestekens bevatten. Een trucje om unieke wachtwoord te bedenken die u ook nog kunt onthouden is door zelf een bepaalde regel te bedenken. Voorbeeld: De tweede letter van de website, de eerste letter in hoofdletters, SHIFT + de cijfers van uw postcode, en de laatste 3 letters van de site in omgekeerde volgorde. Als uw postcode 2025 AA zou zijn, dan wordt uw wachtwoord voor Facebook aF@)@%koo en dat van LinkedIn iL@)@%nid. Ter vergelijk: wachtwoorden van 8 karakters lang die alleen uit kleine letters bestaan worden binnen 2 uur gekraakt. Het toevoegen van slechts één hoofdletter of symbool zorgt ervoor hackers zo’n 200 jaar tijd nodig zullen hebben.
4
Wijzig belangrijke wachtwoorden regelmatig. Daarmee vergroot u de kans dat hackers en internetcriminelen niets kunnen doen, ook al hebben ze uw accountgegevens bijvoorbeeld door diefstal in handen gekregen. Tegen de tijd dat uw gegevens doorverkocht zijn of criminelen hun slag willen slaan werkt het wachtwoord dat ze hebben niet langer.
5
Vermijd het gebruik van openbare computers. Zelfs als u via een beveiligde verbinding gebruik maakt van uw accounts, is het vrij eenvoudig om met een zogeheten keylogger die uw toetsenbordaanslagen registreert uw wachtwoorden af te luisteren.
Dit artikel komt uit Computer Idee nummer 2, jaargang 2012.
