Bescherm jezelf tegen online identiteitsdiefstal

Uit cijfers van de bankenfederatie Febelfin blijkt dat het aantal gevallen van fraude met internetbankieren vorig jaar ruim vertienvoudigd is.

Een ander bericht wees op identiteitsdiefstal in een ander domein: verzekeringen. Recent waren zeven verzekeraars in ons land het slachtoffer van oplichters die zich valselijk uitgaven als verzekerde klanten van de bank of verzekeringsmaatschappij. De oplichters waren op de een of andere manier achter de identiteitsgegevens van klanten gekomen.

Vooral in de VS

Het gaat hier in beide gevallen om identiteitsdiefstal: de daad waarbij iemand zich de identiteit van een ander toe-eigent. Van identiteitsfraude is pas sprake als de dief die identiteit ook gaat gebruiken.

Voor ons land gaat het om een vrij nieuw fenomeen, zeker in deze mate. Koplopers op het gebied van identiteitsmisdrijven en de bestrijding ervan zijn de Verenigde Staten en Canada. In beide landen staat de problematiek al meer dan een decennium op de politieke agenda. In België en Nederland lijkt de trend nu pas te zijn ingezet. 

Rekbare identiteit

Identiteit is overigens een rekbaar begrip. Zo is de login voor je laptop een vorm van identiteit waarmee de computer jou kan herkennen. De logingegevens bij een bank vormen een identiteit waarmee je geld kunt beheren. Al uw wachtwoorden, inlogcodes, smartcards enzovoort vormen samen uw identiteit.

Door de toename van inlogcodes en de onderliggende links wordt het voor gebruikers steeds moeilijker om het overzicht te bewaren. Dat maakt dat je identiteit ook minder veilig gehouden kan worden, en dat terwijl aanvallers een ruime keuze aan aanvalsmogelijkheden hebben.

Wie bijvoorbeeld wil inbreken op een Windows 8-laptop, kan kiezen voor een aanval op de laptop, maar kan evengoed de Windows Live-account van de gebruiker kraken. Het wachtwoord van de computer is immers ook dat van de online dienst.

Een vuil spel

Alles is dus met alles verbonden. Hoe groot de gevolgen hiervan zijn, ondervond de Amerikaanse journalist Mat Honan van het tijdschrift Wired. Die verloor vorige zomer binnen een uur zijn Google-account en alle informatie op zijn iPhone, iPad en MacBook. 

Daarnaast begonnen onbekenden via zijn Twitter-account racistische en homofobe berichten te posten. De aanval bestond uit twee klassieke componenten: social engineering en ‘dumpster diving’, waarbij de laatste een modern tintje kreeg.

Dumpster diving betekende oorspronkelijk letterlijk ‘duiken in het afval van anderen’, en vissen naar kredietkaartafschriften en andere identiteitsgegevens. Alleen heeft die vuilbak nu plaatsgemaakt voor het internet, waar dit soort informatie kan rondslingeren.

De andere techniek is mogelijk nog ouder en valt onder de noemer "social engineering". De aanvallers ontfutselen hierbij identiteitsgegevens van argeloze medemensen zoals de helpdeskmedewerker. Zodra die data veroverd zijn, kan er meer buitgemaakt worden.

Ook phishing, aanvallen via vervalste websites en nepmails, valt onder social engineering. Je legt dus zelf een deel van jouw identiteit in de handen van onwelwillende personen. 

Banking Trojans

Naast deze aanvallen kunnen ook malware-infecties jouw identiteit stelen. Op dit moment zijn vooral zogenaamde banking trojans en keyloggers populair.

Een banking trojan draait in de achtergrond op een geïnfecteerd systeem en zorgt dat de aanvaller binnen kan dringen, bijvoorbeeld tijdens een lopende internetbankiersessie. Zodra u toestemming geeft om betalingen uit te voeren, geeft u in werkelijkheid toestemming om de betalingen van de aanvaller uit te voeren. Ook om deze reden eisen verschillende banken dat het overgemaakte bedrag onderdeel is van de code op de bankcalculator. 

Keyloggers komen ook veel in het wild voor. Deze infecties nemen iedere toetsaanslag op en sturen die door naar de aanvaller. Dat is een gangbare manier om wachtwoorden te stelen voor bijvoorbeeld sociale netwerksites, clouddiensten en online games.

Meer geavanceerde keyloggers sturen zelfs screenshots mee naar de aanvaller, zodat ook virtuele toetsenborden en klassieke trucs zoals een wachtwoord uit een document kopiëren niet werken.

Risico"s inschatten

Voordat u maatregelen kunt nemen om identiteitsdiefstal tegen te gaan, is het noodzakelijk om eerst een goede risicoanalyse te maken. Wat staat er op verschillende accounts? Waarvoor worden ze gebruikt? Wat zijn de risico"s en waar is het meeste aandacht nodig?

Om een goede inschatting te kunnen maken, is een overzicht nodig. Let niet alleen op individuele apparaten, toepassingen en online diensten, maar ook op de onderlinge samenhang. Is er bijvoorbeeld één centraal mailadres waar verzoeken om een wachtwoord te veranderen, binnen komen? 

Eens de risico"s in kaart gebracht zijn, kan je de bescherming gaan plannen. Naast voor de hand liggende acties, zoals beveiligingssoftware is het binnen een zakelijke context van belang om een plan op te stellen.

Een policy voor informatiebeveiliging behelst niet alleen digitale beveiliging, maar ook beveiliging van "andere informatiedragers", zoals afgedrukte documenten en uiteraard de verantwoordelijkheden. 

Schild en vriend

Zelfs in 2013 is de kern van ieder beveiligingsbeleid nog steeds een goed wachtwoord. Maar hoe vaker gebruikers hun wachtwoord moeten vernieuwen, hoe slechter de wachtwoorden worden. 

Toch is het belangrijk dat je gebruikmaakt van verschillende wachtwoorden. De beveiliging kan van website tot website sterk verschillen. Bij gebruik van één wachtwoord voor meerdere diensten, verlaagt u de veiligheid van alle diensten naar die van de minst beschermde.

Beveiligingsdeskundigen schatten het minimumaantal wachtwoorden dat iemand nodig heeft van dertig tot zestig. Het is onmogelijk om zoveel wachtwoorden te onthouden, maar gelukkig bestaat er software, zoals 1Password, die dat voor jou doet. Zo reduceer je het totaal aantal wachtwoorden dat je moet onthouden tot maximaal twee. Eén om in te loggen in jouw computer, en één om in te loggen in de webdienst.

Encryptie

Het wachtwoord dat je gebruikt om in te loggen in de computer is eenvoudig door derden te omzeilen als de inhoud van de computer niet versleuteld is. Een aanvaller hoeft dan alleen de geheugendrager (harde schijf of geheugenchip) over te plaatsen naar een toestel zonder wachtwoord en hij kan bij de gegevens.

Versleutel daarom altijd minimaal de documenten en systeempartitie van uw computer, tablet of smartphone. En maak voor u de inhoud versleutelt, eerst een back-up van de gegevens en berg die veilig (in de kluis) op.

Ook voor websites is encryptie van belang. Hoewel het praktisch onmogelijk is om een grondige inschatting te maken van de relatieve veiligheid van een site, zijn er enkele vuistregels.

De bekendste is natuurlijk het slotje in de adresbalk, dat aangeeft dat op de webpagina versleuteling zit. Als dit zo is, mogen er op die pagina geen onbeveiligde onderdelen zitten. Moderne browsers waarschuwen als dit wel het geval is en dat is dan meteen een uitstekende reden om de pagina te verlaten.

Maak bij twijfel over een website eerst een testaccount met een wegwerpadres aan. Vraag daarna uw vergeten wachtwoord voor die account op. Biedt de site bij wachtwoordherstel aan om uw eigen wachtwoord op te sturen, denk dan twee keer na voor u een account neemt. Dat kan namelijk alleen als de server wachtwoorden onveilig opslaat. 

In twee stappen

De laatste stap die steeds meer diensten aanbieden, is een zogenaamde tweestapsauthenticatie. Als er iets onregelmatigs gebeurt, vraagt de dienst op een tweede manier om bevestiging.

De bekendste verschijning van deze beveiliging is de calculator van de bank. Om in te loggen is niet alleen een nummer of code nodig, maar moeten we ook met een los apparaatje een code generen.

Online diensten bieden aan om uw mobiele nummer als tweede factor te gebruiken. Gebeurt er vervolgens iets verdachts met uw account, zoals wijziging van het wachtwoord of aanmelding van een nieuw apparaat, dan krijgt u een sms met een bevestigingscode. Als u zo"n code krijgt terwijl u zelf niets met die account doet dan blokkeert u niet alleen de aanval, maar krijgt u ook nog eens een waarschuwing dat er iets aan de hand is.

Kortom, door u bewust te zijn van hoeveel identiteiten u hebt, kunt u zorgen dat u ze goed beveiligt zonder de computer onbruikbaar te maken. Zo voorkomt u problemen. 

Size does matter

We geven om af te sluiten nog drie populaire methodes voor een goed wachtwoord.

1. De eerste staat bekend als de Xkcd-methode, genoemd naar de gelijknamige populaire online strip. Een Xkcd-wachtwoord bestaat uit vier willekeurig gekozen woorden met daartussen een spatie. Dit levert een lang wachtwoord op dat moeilijk te berekenen is, maar makkelijk te onthouden.

2. De tweede methode is onder meer bedacht door beveiligingsgoeroe Bruce Schneier. Hij raadt aan om een willekeurige zin te kiezen en daar de eerste letter van te nemen. "Hraoewztkeddelvtn", zou het wachtwoord zijn dat de voorgaande zin oplevert. Een effectieve methode, zolang u een zin kiest die lang genoeg is, maar makkelijk te onthouden is.

3. De derde methode is de zogenaamde Haystack-methode van Steve Gibson. Gibson raadt aan om enkele makkelijk te onthouden, willekeurige cijfers en letters aan te vullen met bijvoorbeeld punten. Om het onveilige wachtwoord "abc" te breken heeft een trage computer iets meer dan achttien seconden nodig. Veranderen we dat naar "..a..b..c.." dan kost het ineens bijna 10 miljoen eeuwen. Zelfs met een enorme kraakmachine, die honderd biljoen gokken per seconde uitvoert, zou het nog bijna vier dagen duren. Op https://www.grc.com/haystack.htm kunt u overigens berekenen hoeveel tijd er nodig is om uw wachtwoord te kraken.