We hebben al veel methodes gezien waarop hackers te werk gaan. Het volgende probleem is de brutale hacker. Vandaag verscheen er een blog online van iemand die het slachtoffer is geworden van een zeer brutale hack. De beveiliging van de grootste bedrijven ter wereld is zo goed als de domste medewerker van het callcenter.
Een hacker die je digitale leven wil overnemen blijkt slechts een paar dingen nodig te hebben: Wat brutaliteit -daar kan een kind van 12 tegenwoordig al in voorzien-, wat basisgegevens van zijn slachtoffer en geduld met het bellen naar de callcenters van grote bedrijven. Die drie ingrediënten zijn voldoende gebleken om toegang te krijgen tot iemands e-mailaccount en dus ook zijn digitale leven. Uiteindelijk is je persoonlijke e-mailadres het bindmiddel van je digitale leven, heeft iemand toegang tot je e-mail, dan is de rest binnen handbereik.
Leer en huiver van het volgende verhaal, zie het als een les, neem beveiliging op internet serieus, want wie weet ben jij de volgende.
Exact negen dagen geleden werd Naoki Hiroshima het slachtoffer van een zeer brutale hacker. Hiroshima had tot voor kort de Twitter-account @N in zijn bezit. Inderdaad: een Twitter-accountnaam met slechts één letter. Hij stelt aanbiedingen te hebben gehad van maar liefst 50.000 dollar om die accountnaam over te nemen, maar het hebben van deze account maakte hem ook tot een potentieel doelwit van hackers. Uiteindelijk is hij door een hacker afgeperst om de accountnaam over te dragen. Zijn verhaal is een les voor iedereen die denkt dat internet van nature veilig is.
Hiroshima was er inmiddels aan gewend dat hij vrijwel dagelijks instructies voor het wijzigen van zijn wachtwoord ontvangt, van mensen die proberen zijn Twitter-account te hacken. Op 20 januari ontving hij tijdens het lunchen een sms-bericht van de online betaaldienst PayPal, een eenmalige validatiecode, iemand probeerde zijn PayPal-account te stelen. Hij negeerde het sms-bericht en ging verder met zijn lunch.
Later die middag ontving hij een e-mail van GoDaddy, de webhoster waar hij zijn domeinnamen heeft geregistreerd. Het onderwerp van die e-mail: "Accountinstellingen gewijzigd". Iemand had toegang weten te krijgen tot zijn account bij GoDaddy en deze volledig gewijzigd. Onder deze account hing ook de domeinnaam van zijn e-mailadres.
Na een telefoontje met GoDaddy bleek dat zijn account volledig was overgenomen en al zijn gegevens waren verwijderd. Verificatie via adres, geboortedatum, creditcardnummer, het was allemaal onmogelijk: de hacker had alle gegevens verwijderd of aangepast. Een melding bij het beveiligingsteam van GoDaddy bracht ook geen oplossing, zijn account inclusief alle domeinnamen stonden inmiddels op een andere naam.
Bij Hiroshima viel al snel het kwartje dat het de hacker waarschijnlijk te doen was om zijn Twitter-account, aangezien het aanpassen van mailservers van domeinnamen enkele uren in beslag neemt, was deze nog niet ten prooi gevallen aan de hacker. Hiroshima besloot dan ook zijn Twitter-account aan te passen naar een nieuw willekeurig e-mailadres waar de hacker zeker niet bij kon.
Nadat de hacker allerlei mogelijkheden had geprobeerd om de Twitter-account in handen te krijgen, besloot deze Hiroshima te chanteren. Hij liet hem weten zijn GoDaddy-account in handen te hebben en de data op zijn domeinnamen nog met rust te hebben gelaten. Hij wilde alleen de Twitter-account hebben, in ruil hiervoor zou hij de GoDaddy-account teruggeven aan Hiroshima.
Hiroshima besloot uiteindelijk in te gaan op de chantage van de hacker, omdat zijn domeinnamen hem meer waard waren dan de Twitter-account. Gelukkig voor hem voegde de hacker daad bij woord en nadat Hiroshima de Twitter-acount @N had hernoemd naar @N_is_Stolen, claimde de hacker via een nieuwe account de naam @N. Hiroshima kreeg vervolgens een bericht met zijn nieuwe GoDaddy-wachtwoord. Ook liet de hacker weten wel te willen delen hoe hij toegang had gekregen tot zijn GoDaddy-account, iets waar Hiroshima inmiddels wel nieuwsgierig naar was geworden.
"De beveiliging van de grootste bedrijven ter wereld is zo goed als de domste medewerker van het callcenter"
Het bleek dat het niet Hiroshima was die zijn account slecht had beveiligd, maar dat de bedrijven PayPal en GoDaddy verantwoordelijk waren. De brutale hacker had PayPal gebeld, zich voorgedaan als een medewerker en had via een callcentermedewerker de laatste vier cijfers van Hiroshima’s creditcard weten te ontfutselen. Vervolgens had hij GoDaddy gebeld dat hij geen toegang meer had tot zijn account en zijn creditcard was verloren maar nog wel de laatste vier cijfers wist. GoDaddy ging hierin mee, maar wilde ook de eerste twee cijfers van zijn creditcard weten, hoewel dit 100 cijfers kunnen zijn, liet de callcentermedewerker van GoDaddy hem onbeperkt raden naar het nummer. Na het raden kreeg de hacker toegang tot Hiroshima’s-account.
Deze manier van hacken is echter niet nieuw, zo is al eerder bekend geworden dat Amazon op de accountpagina standaard de laatste vier cijfers toont van je creditcard en dat Apple voor het telefonisch toegang verkrijgen tot een Apple ID altijd vraagt om de laatste vier cijfers van je creditcard. Daar kwam Mat Honan in 2012 op minder prettige wijze achter toen zijn iPhone, iPad en MacBook op afstand werden gewist, toen zijn Apple ID was gehackt.
Om het verhaal van Hiroshima te vertalen naar ons kikkerlandje: Hoe vaak wordt er telefonisch gevraagd naar je geboortedatum of postcode en huisnummer, ter verificatie of jij echt de persoon bent die je claimt te zijn? Hoe moeilijk is het om aan deze gegevens van jou te komen? Je geboortedatum staat ongetwijfeld op je Facebook-profiel, als je een domeinnaam bezit is de kans groot dat je postcode en huisnummer ook niet heel moeilijk meer te vinden zijn.
Daar komt nog bij dat webwinkels eerder geneigd zijn iemand telefonisch toegang te geven tot zijn account, dan andere partijen. Als ze namelijk gebeld worden dat iemand niet in zijn account kan komen, willen ze er alles aan doen die persoon toegang te geven, want dat betekent ongetwijfeld dat diegene ook weer iets gaat aanschaffen. Ook al heeft een hacker maar heel weinig gegevens, toegang tot een webwinkel geeft hem direct toegang tot veel meer gegevens.
Hiroshima heeft uiteindelijk mogelijk zelfs nog geluk gehad, hij is zijn Twitter-account kwijt, maar heeft zijn domeinnamen terug. De hacker had toegang tot vrijwel zijn hele digitale leven en had alles met een paar klikken volledig kunnen uitwissen of hem flink op kosten kunnen jagen door eens flink te gaan winkelen met zijn PayPal-account.
Hoe voorkom je dit soort hacks?
Ik denk dat veel lezers van dit artikel nu denken: "Dit wil ik nooit meemaken". Grote bedrijven hanteren verschillende beveiligingsmaatregelen en de ene callcentermedewerker is de andere niet, er zitten domme mensen tussen die zomaar je gegevens telefonisch verstrekken. Een van de oplossingen is al dit soort diensten bellen en vragen of ze een aantekening willen maken om nooit telefonisch gegevens te verstrekken, maar dat is waarschijnlijk niet de meest handige oplossing.
Om te beginnen is het verstandig om bij online accounts gebruik te maken van bijvoorbeeld een Gmail-account en niet van een e-mailadres op een eigen domeinnaam. De kans dat Google wordt gehackt en jouw gegevens buit worden gemaakt, is nou eenmaal een stuk kleiner. Daarnaast biedt Google zogenaamde tweestapsverificatie, een manier van beveiligen die veel ellende kan voorkomen. Elke keer wanneer Google ziet dat je vanaf een nieuw apparaat probeert in te loggen, krijg je een sms-bericht op je telefoon ter verificatie. Op die manier heeft de hacker ook toegang nodig tot je telefoon om je account in handen te krijgen. Dit is een hele grote extra horde om te nemen. Veel andere diensten hebben ook tweestapsverificatie, bijvoorbeeld Microsoft, Facebook en Twitter. Apple biedt op dit moment alleen tweestapsverificatie aan in een beperkt aantal landen, maar nog niet in de Benelux.
Verder blijft het advies om een degelijk beveiligingspakket op je computer te installeren. Zo zijn er Norton Internet Security, Kaspersky, GData en vele andere mogelijkheden. Dit geldt ook als je een Mac hebt. Nee, Microsoft Security Essentials is helaas geen goed beveiligingspakket.
Tot slot is het gebruik van een fatsoenlijk wachtwoord natuurlijk nog steeds erg belangrijk. Vorige week bleek dat "password" niet langer het meest domme wachtwoord is, die twijfelachtige eer gaat nu naar "123456". Het lijkt mij dat dit geen uitleg behoeft, ook je geboortedatum of je voornaam inclusief geboortedatum zijn geen goede wachtwoorden.