‘Zelfs heel oplettende en intelligente mensen kunnen zich zo laten vangen’: met deze tips hou je het veilig online

Onze fiets zetten we vast wanneer we hem achterlaten, met onze digitale veiligheid springen we in vergelijking een stuk argelozer om. Onderschatten we de gevaren van cybercriminaliteit nog steeds?

“Daar ben ik van overtuigd. De cybercriminelen van nu zijn allang niet meer de puisterige pubers van weleer. Het zijn uit de kluiten gewassen organisaties die slimme tools ter beschikking hebben om op grote schaal aan oplichting te doen. Ik denk dat heel wat mensen niet beseffen dat cybercriminaliteit vandaag in veel gevallen zelfs volledig geautomatiseerd verloopt. Phishing, WhatsApp-fraude of vriendschapsfraude wordt vaak door software gestuurd. Er zit geen echte persoon meer achter de computer.

“Deze software probeert op automatische piloot, soms gewoon aan de hand van een willekeurig IP-adres, of het ergens binnen geraakt. Iedereen heeft dus wellicht al een hacker voor de digitale deur gehad. Het is dan een kwestie van hoe goed je beveiligd bent of die ook effectief binnen geraakt.”

Waar loopt het in die beveiliging het vaakst mis?

“Wat ik nog vaak zie gebeuren, is dat mensen hetzelfde wachtwoord gebruiken voor verschillende websites of sociale media. Dat is een heel slecht idee. Als je wachtwoord dan op een van die profielen gekraakt wordt, heeft die software in enkele seconden tijd ook toegang tot al je andere kanalen.”

Een sterk wachtwoord is dus belangrijk. De naam van mijn eerste huisdier volstaat niet, veronderstel ik?

“Nee, namen van huisdieren, combinaties van persoonlijke gegevens zoals je naam en je geboortejaar: een hacker kraakt zo’n wachtwoord in enkele seconden.

“Er bestaan een paar richtlijnen om het beter te doen. Kies om te beginnen voor elke website of sociale media-
account een uniek wachtwoord. Als er dan toch een wachtwoord gehackt wordt, loop je niet meteen op verschillende platformen gevaar. Zorg ervoor dat je wachtwoord lang
genoeg is, en zeker veertien karakters telt. Je zou bijvoorbeeld simpele zinnetjes kunnen vormen, zoals ‘ikeetgraag-
spaghetti’, waar je eventueel nog speelt met combinaties van grote en kleine letters. Een lang wachtwoord verkleint de kans dat je gehackt wordt enorm. Ter vergelijking: een wachtwoord met zes karakters achterhaalt een computer in één seconde, zelfs als dat wachtwoord letters en cijfers bevat. Voor een wachtwoord met veertien karakters waarin hoofdletters, kleine letters, cijfers en tekens voorkomen, heeft een computer 200 miljoen jaar nodig. Voor een hacker is zo’n wachtwoord dus nagenoeg onmogelijk te kraken.

“Een derde advies: gebruik multifactorauthentificatie. Dat is de meest efficiënte manier om te voorkomen dat iemand met jouw gegevens inlogt. Je installeert dan een app op je telefoon, waarop je tijdens het inloggen op bijvoorbeeld sociale media een code terugvindt waarmee je je identiteit nog eens dubbel kunt bevestigen. Zowel Google als Microsoft hebben zo’n authenticator-app ter beschikking. Die authenticator kun je dan koppelen aan je belangrijkste onlinekanalen, zoals sociale media of je mailbox.”

Is het ook belangrijk om je wachtwoord regelmatig te veranderen?

“Het kan zeker geen kwaad, maar als je de vuistregels voor een sterk wachtwoord volgt, dan loop je eigenlijk al heel weinig risico om slachtoffer van hackers te worden.

“Wanneer ik deze richtlijnen meegeef, hoor ik mensen vaak klagen dat ze die wachtwoorden onmogelijk kunnen onthouden. Dat hoeft gelukkig ook niet: als je een wachtwoordmanager gebruikt, zijn al je wachtwoorden opgeslagen in een soort digitale kluis. Daar kun je ze ook gemakkelijk veranderen als er op een van die websites een hacking is gebeurd. Er bestaan gratis wachtwoordmanagers, maar er zijn er ook betalende, die nuttige extra functies aanbieden. Goede wachtwoordmanagers zijn bijvoorbeeld 1Password, KeePass en Bitwarden.”

Zeker onze sociale media moeten we extra beveiligen, schrijft u.

“Absoluut. Wat ik op lezingen vaak hoor is: ‘Als iemand mijn Facebook-wachtwoord kan achterhalen, is dat niet zo erg. Ik gebruik dat platform toch niet vaak.’ Maar een potentiële hacker heeft dan wel gemakkelijk toegang tot je hele netwerk. Die persoon zou in jouw naam berichten kunnen versturen naar je vrienden, om hen zo in een phishingval te doen trappen. De vriend in kwestie denkt dat jij het bent, en is zich dus van geen enkel gevaar bewust.

“Bij phishing en cybercriminaliteit draait het vaak om aannemelijkheid. In de succesvolste phishingcampagnes is er altijd sprake van een element waardoor de hele campagne er geloofwaardig uitziet. Hij bereikt je via een vriend, of de campagne bevatte zoveel persoonlijke informatie dat je dacht dat die mail wel van een officiële instantie moest komen. Zelfs heel oplettende en intelligente mensen kunnen zich zo laten vangen aan een phishingcampagne.”

Hoe gaat zo’n phishingcampagne eigenlijk in zijn werk?

“Een hacker zet voor een korte periode een website op poten die er, in het beste geval, heel echt uitziet. Dit kan een website zijn die specifiek voor phishingdoeleinden werd gemaakt, maar ook op een bestaande website kan plots een pagina opduiken die daar eigenlijk niet thuishoort. Via deze webpagina probeert de hacker betaalgegevens te ontfutselen.

“De link naar deze pagina wordt dan op allerlei manieren verspreid, bijvoorbeeld door e-mailcampagnes, via WhatsApp, QR-codes of berichten. Het doel is zoveel mogelijk mensen op die link te doen klikken, wat altijd gebeurt met allerlei drogredenen. Ze worden bijvoorbeeld aangemaand snel een achterstallige betaling in orde te maken, zogezegd van hun bank.

“Aan de andere kant ziet een hacker in real time waar zijn campagne succes heeft. Het enige wat dan nog moet gebeuren, is de bankkaart van het slachtoffer linken aan een eigen telefoontoestel, waardoor ze met je bankgegevens aan de slag kunnen. Dan kan er snel veel geld verdwijnen. De daglimieten op bankkaarten worden vaak omzeild door om vijf voor twaalf een eerste overschrijving te doen, en enkele minuten later alweer geld te ontvreemden. Zo ben je meteen een grote som kwijt.”

Phishingmails worden steeds geavanceerder, en zijn in sommige gevallen nagenoeg niet als oplichting te herkennen. Hoe kun je phishing wel opsporen?

“Kijk om te beginnen niet enkel naar de naam van de afzender van een e-mail, maar ook naar het mailadres. Ziet dit er betrouwbaar uit, of staan er vreemde schrijfwijzen of tekens in? Als je plots een mail van de financiële instantie krijgt met de boodschap om snel een betaling in orde te brengen, zou ik sowieso dubbelchecken of je dat bericht ook via de officiële website van je bank ontving.

“Vaak wordt er bij een phishingmail of -bericht een strakke tijdslimiet meegegeven. Je moet zogezegd binnen de twaalf uur tijd een betaling in orde brengen. Die tijdslimiet is een klassiek element van een phishingcampagne, en zou dus alarmbellen moeten doen afgaan. Sowieso zou ik erg argwanend zijn wanneer je gevraagd wordt geld over te schrijven, zelfs als je denkt dat het bericht uit betrouwbare bron komt. Phishing is vandaag de meest voorkomende vorm van cybercriminaliteit bij particulieren. Het is dus absoluut belangrijk om er waakzaam voor te zijn.

“Een extra tip om phishingmails te herkennen is het leren analyseren van de links waarop men je vraagt te klikken. Zulke links verwijzen vaak naar internetadressen die in de verste verte niet lijken op die van de instantie waarvan de e-mail zogezegd komt. Let goed op de details, want men gebruikt soms erg subtiele manieren om een link er toch echt te doen uitzien. De Safeonweb-campagne vorig jaar heette niet voor niets ’t Zit ’m in de details.’”

Zijn sommige phishingcampagnes effectief onmogelijk te herkennen?

“Dat gebeurt. Ik sprak onlangs nog met een ethische hacker (een hacker die bedrijven en overheden informeert over lekken en ze de kans geeft zaken op orde te krijgen, red.) die in volle coronaperiode een biertje wilde gaan drinken met een vriend op de Korenmarkt in Gent. Op de tafels waren QR-
codes geplakt waarmee je een bestelling kon plaatsen. Na een kwartier had hij zijn drankje nog steeds niet gekregen, waarop de serveerster hem wist te vertellen dat er helemaal geen bestelling was doorgekomen. Blijkbaar had iemand zelfgemaakte QR-codes over de bestaande stickers geplakt, en het bestellingplatform nagemaakt. Zulke vormen van phishing kun je onmogelijk herkennen.

“De opkomst van AI zal het in de toekomst bovendien nog moeilijker maken om phishing te herkennen. Vroeger kon je phishingcampagnes nog doorzien door de tikfouten in e-mails, maar door ChatGPT worden deze er in veel gevallen vandaag gewoon uitgevist. Ook het gebruik van valse audio of video maakt dat cybercriminelen de aannemelijkheid nog meer kunnen doen toenemen. Zo kan een zogezegde helpdeskmedewerker je bijvoorbeeld opbellen met de dringende vraag om een betaling in orde te maken.”

Wat kun je doen als je je toch hebt laten vangen door phishing?

“Heb je effectief op een phishinglink geklikt, bel dan meteen naar Card Stop (078/170.170, red.). Maar bel ook meteen je bank: het is niet omdat je kaart geblokkeerd is, dat er via je rekening geen geld meer kan verdwijnen. En het is altijd een goed idee om een dossier bij de politie in te dienen.

“Maar ook als je een verdachte mail of een bericht ziet passeren, doe je er goed aan om deze door te sturen naar verdacht@safeonweb.be. Op dit mailadres worden phishingcampagnes automatisch gescreend en geblokkeerd. Deze informatie wordt dan snel gedeeld met de grote providers in ons land, zoals Proximus of Telenet. Als iemand dan nog op deze link klikt, krijgt die een waarschuwingspagina te zien. Ook WhatsApp-fraude kun je naar dit mailadres doorsturen, net als verdachte QR-codes. Gewoon een screenshot volstaat. Om die reden staan de meeste phishingcampagnes ook maar een uur online.”

Ook WhatsApp of sociale media worden gretig ingezet door cybercriminelen. Hoe zorg je ervoor dat je niet in hun val trapt?

“WhatsApp-fraude komt vandaag inderdaad vaak voor. Je kent ze wel, die typische gevallen waarin je plots een bericht krijgt van – zogezegd – een familielid of vriend die zijn telefoon is kwijtgespeeld, en je daarom vanaf een nieuw nummer stuurt. Het enige wat die persoon nodig heeft, is wat geld. Die berichten worden in de meeste gevallen volledig automatisch gestuurd. Soms kan het gesprek dagen of weken voortkabbelen vooraleer er over geld gesproken wordt.

“Zo gaat ook vriendschapsfraude in zijn werk, waarbij er op sociale media een vals profiel wordt opgezet met als doel vertrouwen te winnen van andere gebruikers. Wanneer dit lukt, wordt er plots over geld gesproken. Vaak gaat het in eerste instantie over kleine bedragen, waardoor mensen niet doorhebben dat ze in de val zijn gelopen.”

“Wees dus steeds op je hoede wanneer mensen je plots om geld vragen, ook al lijken het bekenden te zijn. Negeer de berichten, en klik zeker niet op de link die wordt doorgestuurd. Signaleer de campagne ook liefst bij Safeonweb, zodat ze geblokkeerd kan worden.”

We wachten best ook niet te lang met het installeren van nieuwe software-updates?

“Klopt. Software wordt vandaag onder grote tijdsdruk geschreven en gepubliceerd, waardoor er altijd nog fouten, bugs of lekken in zitten. Zodra deze ontdekt worden, begint een softwarehuis razendsnel aan een oplossing te werken. Die voeren ze door in de vorm van een software-update. Zolang je deze update niet geïnstalleerd hebt, is je toestel dus extra kwetsbaar voor hackers, die zo via een zwakke plek in je toestel in je persoonlijke gegevens kunnen rondneuzen. Ook updates van apps voer je om deze reden best zo snel mogelijk door.”

Cookies klinken onschuldig, maar we mijden ze best?

“Cookies zou ik altijd weigeren, ja. Je kunt ook in de instellingen van je browser aangeven dat je geen cookies meer wil aanvaarden. Het probleem met cookies is dat er een volledig digitaal profiel van jou wordt opgesteld. Na een tijd weet zo’n cookiedataset wat je kledingmaat is, in welke nieuwe auto je geïnteresseerd bent, waarnaar je binnenkort op reis gaat, enzovoort. Als al deze informatie in de verkeerde handen valt, loop je effectief gevaar.”

Ook publieke wifinetwerken houden een gevaar in?

“Dat klopt. Ik zou in een koffiebar of op een luchthaven zeker geen gratis wifi gebruiken. Iedereen die op dat netwerk zit, kan daar gemakkelijk op rondsnuffelen. Wanneer je op dat netwerk gewoon de krant leest, lijkt er niet echt een probleem, maar in werkelijkheid is je toestel op dat moment verbonden met een netwerk van tal van onbekenden waarvan je onmogelijk het risico kunt inschatten op inbraak op je toestel. Als je dan ook nog eens e-mails gaat beantwoorden of bankzaken regelt, loop je plots veel meer gevaar. Je doet dan dingen op een netwerk zonder te weten met wie je die informatie aan het delen bent. Het is slimmer om op openbare plekken je computer of telefoon te verbinden met een 4G-netwerk.”

Ook slimme toestellen zoals een slimme deurbel of een babyfoon die je op je telefoon kunt aansluiten zijn niet risicoloos, schrijft u.

“De reden waarom deze toestellen slim zijn, is omdat ze op de een of andere manier aan je netwerk gekoppeld zijn. Als iemand er dan in slaagt om bijvoorbeeld je deurbel te kraken, loop je kans dat ze via deze weg toegang krijgen tot andere toestellen die met dat netwerk verbonden zijn, zoals je computer of telefoon. Dat gebeurt trouwens vaker dan je zou denken. In veel van die slimme toestellen zit – vaak Chinese – rommel, waarlangs hackers gemakkelijk naar binnen kunnen. Soms zorgt dit voor hallucinante situaties. Met een simpele Google-zoektocht op deze slimme toestellen kun je over de hele wereld bij mensen naar binnen kijken. Dat demonstreerde ik onlangs nog op een lezing, waar we gewoon konden zien hoe iemand thuis naar een voetbalwedstrijd keek. Bij mij thuis komen zulke toestellen niet binnen.”

Stop phishing. 30 tips om je online veiligheid te verhogen,
Nico Joos en Katrien van Effelterre, uitgegeven bij Manteau,
192 p., 19,99 euro