Niet Itsme maar de gebruiker is de zwakke schakel: vijf risico’s die je niet mag negeren
Itsme gebruiken we om in te loggen bij de overheid, de bank, onze zorgverzekering en meer. Het gebeurt met het grootste gemak en hoewel dat op zich geweldig is, is het ook een beetje gevaarlijk. Omdat we er haast blind op vertrouwen, vergeten we immers wel eens dat geen enkel systeem 100% veilig is en daar wordt door criminelen misbruik van gemaakt. Bij deze bespreken we dan ook vijf risico’s waar we ons bewust van moeten zijn. De rode draad wordt daarbij al snel duidelijk: wanneer het correct gebruikt wordt, is Itsme op en top veilig, maar het systeem kan alsnog misbruikt worden, vooral wanneer de gebruiker misleid en in de val gelokt wordt. Dat geldt trouwens niet alleen voor Itsme, maar voor digitale authenticatie in het algemeen.
1. Social engineering: de mens als zwakste schakel
Technisch zit Itsme sterk in elkaar, dus voor criminelen is het vaak eenvoudiger om zich niet op het systeem zelf maar op de gebruiker te richten. Ze doen zich voor als een werknemer van de bank en contacteren je omdat er zogezegd verdachte transacties hebben plaatsgevonden op je account. Vervolgens vragen ze om jouw medewerking en je krijgt van hen een Itsme-melding toegestuurd die je moet ondertekenen. Doe je dat, dan geef je hen al het nodige om geld van je te kunnen stelen.
Dit soort gerichte aanvallen staan bekend als “social engineering”, waarbij de mens als zwakste schakel wordt geviseerd. Gebruikers worden zodanig gemanipuleerd en misleid dat ze zelf de sleutels tot hun kluis uit handen geven. Vaak zijn het sociaal en technisch zwakkeren waar men zich op richt en te vaak nog lezen we dramatische verhalen over een ouder persoon die op deze manier al zijn spaargeld is kwijtgeraakt.
Ondanks talloze waarschuwingen blijft het een hardnekkig probleem en enkel de gebruiker zelf kan het risico beperken door waakzaam te blijven. Vaak wordt er bij social engineering een gevoel van urgentie gecreëerd en druk gezet om iets digitaal te tekenen of een bepaalde code te geven. Een medewerker van de bank of overheid zal dit echter nooit op die manier vragen, dus als je ermee geconfronteerd wordt en het verdacht vindt, zeker wanneer zij jou hebben gecontacteerd, verbreek dan alle communicatie en neem zelf contact op met je bank of de overheid om te verifiëren wat er aan de hand is.
2. SIM-swapping: jouw nummer in verkeerde handen
Itsme is gekoppeld aan je gsm-nummer. Dat is handig en maakt het systeem tot op zekere hoogte ook veiliger, maar er hangen ook risico’s aan vast. SIM-swapping, bijvoorbeeld. Daarbij zetten criminelen jouw nummer over naar hun eigen SIM-kaart door zich bij de telecomprovider als jou voor te doen. Dat is dan ook de reden waarom het extra uitkijken is wanneer er bij een telecombedrijf gegevens gestolen of gelekt worden.
Door SIM-swapping kunnen criminelen dus plots jouw sms-codes en activeringsmeldingen ontvangen. Beschikken ze over nog wat andere gegevens, dan kunnen ze in principe Itsme met jouw identiteit opnieuw activeren op hun toestel. Ze kunnen dan met jouw naam op allerlei plaatsen inloggen, niet alleen bij diensten waar je al aangesloten was maar ook bij diensten waar je zelf niets van weet. Het spreekt voor zich dat hier stevig misbruik van gemaakt kan worden als je niet tijdig kan ingrijpen.
Natuurlijk is SIM-swapping niet zomaar mogelijk. Criminelen moeten eerst over bepaalde informatie beschikken of al toegang hebben tot je telecomaccount om zoiets te kunnen regelen. De verantwoordelijkheid om alles veilig te houden ligt hier dus niet bij Itsme, wel bij de gebruiker en de telecomoperator.
3. Onveilig toestel
Itsme blokkeert standaard toestellen die rooted of jailbroken zijn. Daarbij wordt de beveiliging van het apparaat uitgeschakeld om de gebruiker een hoop extra opties te geven die ze anders niet zouden hebben. Het biedt gebruikers die weten wat ze doen meer vrijheid, maar het houdt ook risico’s in omdat dergelijke toestellen vaak kwetsbaarder zijn voor malware.
Uit veiligheidsoverwegingen worden deze telefoons dus niet ondersteund door Itsme, maar ook toestellen die niet rooted of jailbroken zijn, kunnen geïnfecteerd geraken. Bovendien is het ook mogelijk om te verhullen dat een apparaat rooted of jailbroken is, of dat het kwaad al geschied is nog voor Itsme ontdekt dat er iets fout is.
Natuurlijk is het risico van malware geen fout van Itsme zelf. Het is eerder een inherent risico van elke app die afhankelijk is van de veiligheid van een toestel om zelf ook veilig te kunnen functioneren. Daarom is het belangrijk om de beveiliging van je telefoon up-to-date te houden en enkel apps via betrouwbare bronnen, zoals officiële appstores, te installeren.
4. Malafide apps: phishing via je smartphone
Bouwen we verder op het vorige punt, dan zien we dat cybercriminelen telefoons vaak proberen te infecteren met malware en gebruikers vaak proberen te misleiden met nagemaakte apps. Die dienen in principe hetzelfde doel als een nagemaakte website, met name informatie en daardoor vaak ook geld ontfutselen van het niets vermoedende slachtoffer.
Zulke malafide apps komen in verschillende vormen en maten, maar vaak proberen ze ofwel een kopie te zijn van een bestaande app om zo vertrouwen te winnen, ofwel als een onzichtbare laag bovenop een legitieme app te liggen. In het eerste geval denk je in een legitieme app bezig te zijn, terwijl je in werkelijkheid in de omgeving van de aanvallers aan het werk bent, en in het tweede geval wordt alles wat je doet stiekem geregistreerd en doorgestuurd naar de criminelen. In beide gevallen loop je het risico dat je met je ogen open in de val loopt, waardoor je zonder het te weten geld naar de aanvallers verstuurt of hen alleszins de informatie geeft waardoor zij jou later kunnen beroven.
Bij dergelijke aanvallen worden opnieuw vaak technisch minder sterke gebruikers geviseerd, evenals Android-gebruikers die buiten officiële kanalen op zoek gaan naar soms wat specialere apps om te sideloaden. Hoewel daar op zich niets mis mee is, houdt het wel een extra risico in. Waakzaam blijven is dus de boodschap.
5. Foutjes achter de schermen
Risico’s rond Itsme hebben niet altijd te maken met de gebruiker zelf of het toestel van de gebruiker. Ook de dienst waar je wil inloggen moet immers veilig zijn. Dat wil zeggen dat er een beveiligde verbinding moet zijn om de unieke link tussen website en jouw Itsme-identiteit veilig te verwerken. Bovendien moet alles ook juist ingesteld staan om die verwerking correct te laten plaatsvinden, onder meer ook door te controleren dat tokens niet hergebruikt worden.
Een slordige implementatie onder de motorkap brengt ernstige risico’s met zich mee, zoals loginsessies die overgenomen kunnen worden of gebruikers die tijdens het inloggen op elkaars profiel terechtkomen. Het is opnieuw een schakel die niet bij Itsme zelf ligt, maar die wel deel uitmaakt van het bredere systeem dat moet kunnen vertrouwen op een veilige en correcte afhandeling bij alle actoren in de keten.
Hoe houd je het veilig?
Hoewel er onrechtstreeks risico’s aan verbonden zijn, hoef je Itsme zeker niet te wantrouwen. Het blijft een erg veilig systeem, maar het is belangrijk je bewust te zijn van de risico’s en je gezond verstand te gebruiken om die te beperken. Laat je niet vangen of doen door iemand die je onder druk zet om iets via Itsme te bevestigen, update je telefoon, vermijd apps van dubieuze bronnen en maak gebruik van extra veiligheidsmaatregelen die aangeboden worden, zoals tweestapverificatie.
Itsme blijft een van de sterkste digitale tools in België om dingen op een veilige manier te regelen, maar door die belangrijke rol moet iedereen, gebruikers én bedrijven, er ook extra voorzichtig mee omspringen. Meestal gaat alles goed, maar een ongelukje is snel gebeurd en wie niet oplet, kan zomaar de sleutels tot zijn digitale identiteit afstaan aan crimineel gespuis. Waakzaam blijven dus, niet bang, maar waakzaam. Zorg ervoor dat je weet wat je goedkeurt en dat je daar zelf het laatste woord over hebt.
