Het belang van tweestapsverificatie

Nu we steeds meer tijd op het internet besteden, neemt het aantal accounts dat we hebben toe. Daarmee stijgt evenredig ook het aantal wachtwoorden dat we moeten onthouden. We weten allemaal dat het verstandig is om voor ieder account een uniek wachtwoord te gebruiken, maar houden we ons hier wel aan?  

Zelfs al zou je keurig volgens de richtlijnen ingewikkelde en unieke wachtwoorden aanmaken, betekent dit niet per definitie dat er niemand toegang kan weten te krijgen tot een van jouw accounts. Je hebt in ieder geval de schade beperkt, omdat het wachtwoord op website A niet identiek is aan het wachtwoord van website B. De kans dat je überhaupt gehackt wordt, wil je zo klein mogelijk houden. Daarom is het belangrijk om tweestapsverificatie of 2FA in te stellen op alle accounts waarvoor dit mogelijk is. 

Wie niet luisteren wil, moet maar voelen

Daar kwam ik zelf op de harde manier achter. Al jaren gebruik ik tweestapsverificatie voor al mijn belangrijke accounts. Bij sommige accounts door middel van een verificatiesms en bij andere door middel van een authenticator-app. Echter is er één site waarvoor ik dit niet heb ingesteld. Mijn vader is namelijk niet zo’n fan van Facebook, maar wilde wel graag Candy Crush spelen. Dat deed hij op mijn account. Tweestapsverificatie klonk op dat moment als te veel gedoe, immers had ik mijn Facebook-profiel kort daarvoor toch leeggehaald en deed ik er niet veel meer mee. Hoeveel kwaad zou dat nou kunnen, dacht ik. 

Doordat ik al geruime tijd gebruik maak van de nodige beveiligingsmaatregelen op het internet – waaronder lastige, unieke, wachtwoorden die door een passwordmanager worden bijgehouden – voelde ik mij zowat onschendbaar. Niemand zou nu toch toegang kunnen krijgen tot mijn accounts? Echter kreeg ik in december van 2020 de schrik van mijn leven toen ik een melding ontving van Facebook dat er verdachte activiteit had plaatsgevonden op mijn account. Hoe dit precies heeft kunnen gebeuren, is mij niet duidelijk. Mijn vader zal ik daar blind in vertrouwen. Bovendien had ik een ingewikkeld en uniek wachtwoord ingesteld. Maar één ding is duidelijk: als tweestapsverificatie was ingeschakeld, had ik deze spanning hoogstwaarschijnlijk kunnen voorkomen. 

Omdat ik snel en adequaat reageerde toen ik de melding van Facebook op mijn smartphone kreeg, kon ik mijn account snel veiligstellen, zo dacht ik. Het gekoppelde e-mailadres was nog niet aangepast en via wachtwoord vergeten kon ik mijn wachtwoord via het gekoppelde e-mailadres, wat door mijn gebruik van unieke wachtwoorden niet is gehackt, herstellen. Met een nieuw wachtwoord en het handmatig uitloggen op alle ingelogde apparaten en browsers moest het probleem verholpen zijn. De hackers konden onmogelijk nog toegang hebben tot mijn account, dacht ik.  

Een week verstrijkt en ik krijg een melding van PayPal. Er is geld afgeschreven van mijn account en binnen enkele dagen wordt dit ook van mijn persoonlijke bankrekening gehaald. Dit keer is het de afschrijving niet toe te wijzen aan een abonnement op een streamingdienst of nieuwe kleding. Dit keer is het Facebook. Vreemd. Nog nooit heeft Facebook iets van mijn rekening gehaald. Waarom zou dit nu wel het geval zijn. Het gaat slechts om twintig euro, maar toch. Ik log in op mijn PayPal-account (met tweestapsverificatie) en zie dat er bij de aankoopinformatie ‘Facebook Ads’ staat.  

Advertenties

Het balletje gaat nu rollen. Ooit heb ik mijn PayPal-gegevens aan mijn Facebook-account gekoppeld om te experimenteren met advertenties op Facebook voor een website die ik in het kader van mijn opleiding journalistiek heb gemaakt om te oefenen met het schrijven van teksten. Nu ik daar na jaren opnieuw een kijkje ging nemen zag ik de naam van de hacker van een week eerder staan. Deze persoon en nog vijf andere onbekende namen hebben op een of andere manier toegang gekregen tot mijn advertentieaccount, wat dus ook aan mijn Facebook-profiel is gekoppeld. Ondanks dat ze niet langer toegang hadden tot mijn persoonlijke profiel en ik bovendien een melding heb gemaakt bij Facebook dat iemand onrechtmatig toegang heeft verkregen tot mijn account, konden deze hackers achter de schermen dus alsnog hun volle gang gaan. 

De hackers hebben verschillende filmpjes verspreid via mijn advertentieaccount, hoe vaker de video’s bekeken werden, hoe meer geld het mij zou kosten. De teller loopt al snel hoog op. Gelukkig ben ik ooit zo slim geweest om in te stellen dat ik voor elke twintig euro die ‘ik’ uitgeef een nieuw factuur moet worden aangemaakt. Daarom was de schade slechts beperkt tot twee tientjes toen ik het opmerkte. Bovendien was ik er pas later achter gekomen als het ingestelde bedrag een stuk hoger was. 

Het was niet mogelijk om deze personen van mijn advertentieaccount te verwijderen. Ook kon ik de geplaatste videoadvertenties niet stopzetten. Ik besloot al snel mijn PayPal-account van dat van Facebook te ontkoppelen in de hoop de schade te beperken. Dit bleek al snel effectief te zijn. Dit resulteerde er namelijk in dat het advertentieaccount door Facebook automatisch werd stopgezet. De resterende duur van de advertenties zou namelijk niet betaald kunnen worden zonder gekoppelde betaalmethode. 

Na een belletje met politie en mijn bank bleek al snel dat zij vrij weinig voor mij konden betekenen. Facebook is de enige partij die hier effectief iets aan kon doen. Na bijna een week stressen kreeg ik eindelijk het verlossende woord. Facebook heeft het verschuldigde bedrag kwijtgescholden en alle betaalde bedragen teruggestort op mijn rekening. Uiteindelijk is het met een sisser afgelopen, maar je begrijpt dat het eindresultaat heel anders had kunnen verlopen. 

Beter voorkomen dan genezen

Het klinkt misschien als een gedoe om telkens te verifiëren dat jij zelf degene bent die probeert in te loggen. Natuurlijk denk je, zoals ik, dat dit jou nooit zal overkomen. Het instellen van tweestapsverificatie is een kleine moeite en voorkomt potentieel een hoop schade (en stress).