We leven in het tijdperk van connectiviteit en onze super actieve, mobielgerichte levens brengen risico’s mee. Voor velen vormen het vooruitzicht van phishing, op afstand gedownloade malware en andere online risico's de grootste bedreigingen voor persoonlijke en zakelijke data. Maar criminele activiteiten zijn meer dan bits en bytes. Oude methoden zoals over de schouder surfen of in afvalcontainers duiken, bieden grote winsten en veel oplichters proberen het.
Over de schouder surfen bestaat al langer dan smartphones en laptops.
Het volstaat om de vraag te stellen aan iemand van wie de creditcard-pincode of
telefoonkaartcode werd gestolen door gewetenloze voorbijgangers. Maar vandaag
zijn er nog meer manieren om geld te stelen.
Onze drukke levens met meerdere toestellen zijn een magneet voor
schoudersurfers. Maar kleine gedragswijzigingen kunnen voldoende zijn om ons
veilig te houden.
Een tweetal verhalen ter waarschuwing
Doorgaans minimaliseren we over de schouder surfen. We denken dat we
iemand achter ons kunnen opmerken als die naar ons scherm staart. Oplichters
hoeven slechts één keer geluk te hebben. En die kans bieden we de hele werkdag
door, zeker nu de samenleving weer opengaat.
Jake Moore, Global Cybersecurity Advisor bij ESET, (Jake bet a friend)onthulde onlangs dat hij
er tot twee keer toe in slaagde de inloggegevens van online accounts van
vrienden te bemachtigen, weliswaar met hun voorafgaande toestemming. Zijn
onderzoek laat zien hoe kwetsbaar we zijn voor snuggere piraten, vooral in
informele omgevingen zoals bars, cafés en restaurants.
1. Op Snapchat surfen
Bij een eerste poging wedde Jake met een vriendin dat hij haar
Snapchat-account kon kapen, zelfs beschermd door tweefactorauthenticatie. Met
behulp van de functie voor het her-instellen van het wachtwoord, voerde hij
zijn telefoonnummer in en selecteerde hij de optie om een bevestigingscode
via een bericht te ontvangen. Door te surfen op het bevestigingsbericht dat hij
ontving, kreeg hij de volledige controle over het account. Zelfs een tweede
sms-code die als bevestiging werd verzonden, werd door de accounthouderster
genegeerd, maar waargenomen en ingevoerd door Jake.
Een aanvaller kent daarom misschien het telefoonnummer van zijn
slachtoffer niet, maar kan het wel online vinden via een schat aan eerder
gehackte data of door gebruik te maken van open source informatie met inbegrip
van sociale media. Door de gebruiker te bellen en zich voor te doen als
een medewerker van het
socialemediabedrijf, kan een oplichter de gebruiker in theorie misleiden tot het
overhandigen van zijn sms-code.
Dit is niet echt over de schouder surfen. Maar in een kantoor- of
schoolomgeving waar collega's of kinderen zich in de buurt van gebruikers
bevinden van wie ze het telefoonnummer kennen, wordt "over de schouder
surfen met wachtwoordherstel" een reëler risico.
2. Problemen met PayPal
Jake wedde ook met een vriend dat hij een van zijn online accounts zou
kunnen kapen. Hij ging naar de PayPal-inlogpagina om een wachtwoordreset aan
te vragen. Hij kende de e-mail van de gebruiker, typte deze in en selecteerde
de beveiligingscontrole voor de sms-code die naar zijn telefoon werd gestuurd.
Zoals in het bovenstaande voorbeeld, was Jake in staat om in het geheim het
apparaat van zijn vriend te bespioneren zodra hij de code kreeg. Zo had hij
volledige toegang tot de PayPal-rekening van de vriend.
Wat betekent dit voor u?
In veel gevallen ligt de veiligheidslat nog steeds te laag voor
criminelen, vooral als ze uw laptop of smartphone in de gaten hebben. Onder ons
zijn er zijn nog teveel gebruikers die meldingen op onze schermen laten
verschijnen. Misschien zijn we zo ongevoelig geworden dat we ze negeren. Maar
zij die over onze schouder meekijken, zijn dat niet.
Het is erg interessant dat in het PayPal-voorbeeld het slachtoffer een
veteraan is in cyberbeveiliging met meer dan 20 jaar ervaring. Als hij op deze
manier kan opgelicht worden, kunnen vele anderen dat ook en zodra een oplichter
toegang heeft tot uw account, kan hij:
· Inloggegevens wijzigen en u afpersen zodat hij weer
toegang kan krijgen
· Brute force-technieken gebruiken om dezelfde
e-mails/logins te proberen en toegang te krijgen tot andere accounts
· Uw persoonlijke gegevens stelen en die bij latere
spoofing- of phishing-pogingen gebruiken
· Toegang krijgen tot en fondsen overmaken naar zijn
eigen rekeningen
· U trollen en pesten door ongepaste inhoud te
publiceren vanaf zijn eigen account.
Hoe kunt u schouder surfen vermijden?
De impact van accounthacking kan enkele maanden aanhouden. Als oplichters
erin geslaagd zijn om geld en persoonlijke data te stelen, kunt u de komende
maanden het doel zijn van veel phishing-pogingen. Het terugkrijgen van verloren
fondsen en het opnieuw instellen van kredietscores kan zelfs nog langer duren.
Hier zijn enkele strategieën om dit te beperken:
1. Gebruik nooit
wachtwoorden van een account voor een ander en gebruik een wachtwoordbeheerder
om unieke en sterke inloggegevens op te slaan. Schakel multi-factor
authenticatie (MFA) in. Kies een authenticatie-app (zoals Google Authenticator,
Microsoft Authenticator) in plaats van de optie SMS-code.
2. Wees altijd
waakzaam wanneer u in het openbaar inlogt op uw accounts. U kunt stoppen met
werken in vliegtuigen, treinen, op drukke luchthavens, in hotellobby's, enz. Of
werk dan met uw rug tegen de muur.
3. Gebruik een
privacyscherm op laptops, zodat iedereen die uw scherm vanuit een hoek probeert
te bespioneren, niets kan zien.
4. Schakel meldingen
op het scherm uit voor berichten, e-mails en waarschuwingen om het type aanval
dat Jake hierboven demonstreerde te stoppen. Als er een binnenkomt, en u was
het niet, onderzoek het dan onmiddellijk.
5. Het spreekt voor
zich, maar laat een apparaat nooit onbeheerd achter in een openbare ruimte. Zorg
ervoor dat deze vergrendeld is met een sterk wachtwoord.
Over de schouder surfen
wordt nog grotendeels onderschat. Dat betekent niet dat het u niet vaker kan
overkomen dan een phishing-aanval. Maar dezelfde regels zijn ook hier van
toepassing. Wees alert. Wees voorbereid. En past veiligheid toe.