Mensen vertellen dat hun online accounts worden “gehackt”, 8221; maar hoe gebeurt dit hacken precies? De realiteit is dat accounts op vrij eenvoudige manieren worden gehackt — aanvallers gebruiken geen zwarte magie.
Kennis is macht. Als u begrijpt hoe accounts daadwerkelijk worden gehackt, kunt u uw accounts beveiligen en voorkomen dat uw wachtwoorden worden “gehackt” in de eerste plaats.
Hergebruik van wachtwoorden, vooral gelekte
Veel mensen — misschien zelfs de meeste mensen — hergebruik wachtwoorden voor verschillende accounts. Sommige mensen gebruiken misschien zelfs hetzelfde wachtwoord voor elk account dat ze gebruiken. Dit is extreem onzeker. Veel websites — zelfs grote, bekende zoals LinkedIn en eHarmony — hebben de afgelopen jaren hun wachtwoorddatabases gelekt. Databases met gelekte wachtwoorden, gebruikersnamen en e-mailadressen zijn gemakkelijk online toegankelijk. Aanvallers kunnen deze combinaties van e-mailadres, gebruikersnaam en wachtwoorden op andere websites proberen en toegang krijgen tot veel accounts.
Hergebruik van een wachtwoord voor uw e-mailaccount brengt u nog meer risico, omdat uw e-mailaccount kan worden gebruikt om al uw andere wachtwoorden opnieuw in te stellen als een aanvaller er toegang toe heeft gekregen.
Hoe goed u ook bent in het beveiligen van uw wachtwoorden, u kunt niet bepalen hoe goed de services die u gebruikt uw wachtwoorden beveiligen. Als u wachtwoorden hergebruikt en één bedrijf de fout ingaat, lopen al uw accounts gevaar. U moet overal verschillende wachtwoorden gebruiken — een wachtwoordbeheerder kan hierbij helpen.
Keyloggers
Keyloggers zijn kwaadaardige stukjes software die op de achtergrond kunnen draaien en elke toetsaanslag die u maakt. Ze worden vaak gebruikt om gevoelige gegevens vast te leggen, zoals creditcardnummers, wachtwoorden voor internetbankieren en andere accountgegevens. Vervolgens sturen ze deze gegevens via internet naar een aanvaller.
Advertentie
Dergelijke malware kan binnenkomen via exploits — als u bijvoorbeeld een verouderde versie van Java gebruikt, zoals de meeste computers op internet, kunt u worden gehackt via een Java-applet op een webpagina. Ze kunnen echter ook vermomd in andere software aankomen. U kunt bijvoorbeeld een tool van derden downloaden voor een online game. De tool kan kwaadaardig zijn, je gamewachtwoord vastleggen en via internet naar de aanvaller sturen.
Gebruik een degelijk antivirusprogramma, houd je software up-to-date en download geen onbetrouwbare software.
Sociale techniek
Aanvallers gebruiken ook vaak social engineering-trucs om toegang te krijgen tot uw accounts. Phishing is een algemeen bekende vorm van social engineering — in wezen doet de aanvaller zich voor als iemand en vraagt hij om uw wachtwoord. Sommige gebruikers geven hun wachtwoord gemakkelijk door. Hier zijn enkele voorbeelden van social engineering:
- U ontvangt een e-mail die beweert van uw bank te zijn, die u doorverwijst naar een nep-bankwebsite met een zeer gelijkaardige URL en waarin u wordt gevraagd uw wachtwoord in te vullen.
- U ontvangt een bericht op Facebook of een andere andere sociale website van een gebruiker die beweert een officieel Facebook-account te zijn, die je vraagt om je wachtwoord te sturen om jezelf te authenticeren.
- Je bezoekt een website die belooft je iets waardevols te geven, zoals gratis games op Steam of gratis goud in World of Warcraft. Om deze nepbeloning te krijgen, heeft de website uw gebruikersnaam en wachtwoord voor de service nodig.
Wees voorzichtig met aan wie je je wachtwoord geeft — klik niet op links in e-mails en ga niet naar de website van uw bank, geef uw wachtwoord niet weg aan iemand die contact met u opneemt en erom vraagt, en geef uw accountgegevens niet aan onbetrouwbare websites, vooral websites die te mooi lijken om waar te zijn.
Beantwoorden van beveiligingsvragen
Wachtwoorden kunnen vaak opnieuw worden ingesteld door beveiligingsvragen te beantwoorden. Beveiligingsvragen zijn over het algemeen ongelooflijk zwak — vaak dingen als “Waar ben je geboren?”, “Op welke middelbare school heb je gezeten?” en “Wat was de meisjesnaam van je moeder? ”. Het is vaak heel gemakkelijk om deze informatie te vinden op openbaar toegankelijke sociale netwerksites, en de meeste normale mensen zouden je vertellen naar welke middelbare school ze gingen als ze werden gevraagd. Met deze gemakkelijk te verkrijgen informatie kunnen aanvallers vaak wachtwoorden opnieuw instellen en toegang krijgen tot accounts.
Advertentie
Idealiter zou u beveiligingsvragen moeten gebruiken met antwoorden die niet gemakkelijk te ontdekken of te raden zijn . Websites moeten ook voorkomen dat mensen toegang krijgen tot een account alleen omdat ze de antwoorden op een paar beveiligingsvragen weten, en sommige — maar sommigen nog steeds niet.
E-mailaccount en wachtwoord opnieuw instellen
Als een aanvaller een van de bovenstaande methoden gebruikt om toegang te krijgen tot uw e-mailaccounts, heeft u grotere problemen. Uw e-mailaccount fungeert over het algemeen als uw hoofdaccount online. Alle andere accounts die u gebruikt, zijn eraan gekoppeld en iedereen met toegang tot het e-mailaccount kan het gebruiken om uw wachtwoorden opnieuw in te stellen op een willekeurig aantal sites waarop u zich met het e-mailadres hebt geregistreerd.
Om deze reden bent u moet uw e-mailaccount zo goed mogelijk beveiligen. Het is vooral belangrijk om er een uniek wachtwoord voor te gebruiken en dit zorgvuldig te bewaken.
Welk wachtwoord “ Hacken” Is het niet
De meeste mensen stellen zich waarschijnlijk voor dat aanvallers elk mogelijk wachtwoord proberen om in te loggen op hun online account. Dit gebeurt niet. Als u probeerde in te loggen op iemands online account en doorging met het raden van wachtwoorden, zou u worden vertraagd en zou u niet meer dan een handvol wachtwoorden kunnen proberen.
Als een aanvaller in staat was om in een online account te komen door alleen wachtwoorden te raden, is het waarschijnlijk dat het wachtwoord iets voor de hand liggend was dat bij de eerste paar pogingen kon worden geraden, zoals “wachtwoord” of de naam van het huisdier van de persoon.
Aanvallers kunnen dergelijke brute-force-methoden alleen gebruiken als ze lokale toegang tot uw gegevens hebben — laten we bijvoorbeeld zeggen dat je een versleuteld bestand opsloeg in je Dropbox-account en dat aanvallers er toegang toe kregen en het versleutelde bestand downloadden. Ze zouden dan kunnen proberen om de codering brute-forceren, waarbij ze in feite elke afzonderlijke wachtwoordcombinatie proberen totdat er een werkt.
GERELATEERD: Wat is Typosquatting en hoe gebruiken oplichters het?
Mensen die zeggen dat hun account is “gehackt” maken zich waarschijnlijk schuldig aan het hergebruiken van wachtwoorden, het installeren van een keylogger of het geven van hun inloggegevens aan een aanvaller na social engineering-trucs. Ze zijn mogelijk ook gehackt als gevolg van gemakkelijk te raden beveiligingsvragen.
Advertentie
Als u de juiste veiligheidsmaatregelen neemt, zal het niet gemakkelijk zijn om te “hacken” uw rekeningen. Het gebruik van tweefactorauthenticatie kan ook helpen — een aanvaller heeft meer nodig dan alleen je wachtwoord om binnen te komen.
Image Credit: Robbert van der Steeg op Flickr, asenat op Flickr
LEES VOLGENDE
- ’ De beste manier om de LastPass-beveiligingsuitdaging aan te gaan
- › Twee-factorenauthenticatie via sms is niet perfect, maar je moet het toch gebruiken
- › Waarom u de wachtwoordbeheerder van uw webbrowser niet moet gebruiken
- › Hoe veilig zijn wachtwoordmanagers?
- › LastPass zegt dat het uw hoofdwachtwoord niet heeft gelekt [Update: verdere verduidelijking]
- › Waarom u zich zorgen moet maken wanneer de wachtwoorddatabase van een service wordt gelekt
- › Pas op: 99,9 procent van de gehackte Microsoft-accounts gebruikt geen 2FA
- › Waarom wordt een Mac een Mac genoemd?