Wire

5 wijzen waarop hackers wachtwoorden stelen en hoe men dit kan stoppen, tips van ESET

ESET
Van social engineering tot blikken over de schouder, hier zijn enkele van de meest voorkomende trucs die criminelen gebruiken om wachtwoorden te stelen.

Wachtwoorden bestaan ​​al eeuwen en ze werden vroeger op computers geïntroduceerd dan de meesten van ons zich kunnen herinneren. Een reden voor hun aanhoudende populariteit is dat mensen instinctief weten hoe ze werken. Maar er is ook een probleem. Ze vormen de achillespees van het digitale leven van vele mensen, nu we in een tijd leven waarin we gemiddeld 100 wachtwoorden moeten onthouden, een aantal dat de afgelopen jaren alleen maar is toegenomen. Geen wonder dat vele mensen het niet zo nauw nemen en dat de veiligheid eronder lijdt. Het wachtwoord is vaak het enige wat tussen een cybercrimineel en onze persoonlijke en financiële gegevens staat. We moeten dus ook zelf een inspanning leveren om onze online accounts te beschermen.

Wat kan een hacker met mijn wachtwoord aanvangen? 

Wachtwoorden zijn de virtuele sleutels tot onze digitale wereld en geven toegang tot onze online bankieren, e-mail en sociale mediadiensten, onze Netflix- en Uber-accounts en alle gegevens die in onze cloudopslag worden gehost. Met deze functionele identifiers kan een hacker:

  • Onze persoonlijke identiteitsgegevens stelen en doorverkopen aan andere criminelen
  • De toegang tot onze rekeningen verkopen. Criminele sites op de dark web verkopen ze door. Dieven kunnen die toegang gebruiken om gelijk wat te krijgen: gratis taxiritten, videostreaming, reizen met korting van gehackte Air Miles-accounts, enz.
  • Onze wachtwoorden gebruiken om andere accounts te ontgrendelen waar we hetzelfde wachtwoord gebruiken.
  • 51 / 5,000

Hoe stelen hackers wachtwoorden?   

Maak uzelf vertrouwd met deze technieken en u zult beter in staat zijn om de dreigingen het hoofd te bieden:

  1. Phishing en social engineering  

Mensen zijn feilbaar en beïnvloedbaar. We zijn geneigd om slechte beslissingen te nemen als we vlug moeten handelen. Criminelen maken gebruiken van deze zwakheden door social engineering, een psychologische truc ontworpen om ons dingen te laten doen die echt niet zouden moeten. Phishing is het bekendste voorbeeld. Hackers doen zich voor als legitiem – vrienden, familie en bedrijven waarmee we zaken doen, enz. – en ons naar een pagina brengen waar we onze persoonlijke gegevens kunnen invullen.

Maar er zijn veel manieren om de waarschuwingssignalen van een phishing-aanval te herkennen. De criminelen bellen zelfs op om logins en andere persoonlijke informatie van hun slachtoffers te krijgen, vermomd als ondersteuningstechnici. Dit wordt “vishing” genoemd.

  1. Malware

Een andere manier om onze wachtwoorden te krijgen is het gebruik van malware. Phishing mails zijn een uitstekende vector voor dergelijke aanvallen, hoewel men een slachtoffer kan worden door gewoon online op een kwaadaardige advertentie te klikken (malvertising) of zelfs door een gecompromitteerde website te bezoeken (drive-by-download).

Er zijn verschillende soorten malware voor het stelen van info, maar enkele van de meest voorkomende zijn ontworpen om toetsaanslagen op te nemen of schermafbeeldingen van ons toestel te maken en deze terug te sturen naar de aanvallers.

  1. Brute forcing

In 2020 steeg het gemiddelde aantal wachtwoorden dat een persoon moest beheren met +/- 25%. Velen van ons gebruiken wachtwoorden die gemakkelijk te onthouden (en te raden) zijn en hergebruiken ze op meerdere sites, terwijl dit de deur kan openen naar zogenaamde brute forcing-technieken.

Een van de meest voorkomende is credential stuffing. In geautomatiseerde software voegen criminelen grote hoeveelheden gegevens in die gestolen gebruikersnamen en wachtwoorden combineren. De tool probeert ze op veel sites, in de hoop een match te vinden. Hackers kunnen dus meerdere accounts ontgrendelen met één wachtwoord. In 2020 waren er wereldwijd zo’n 193 miljard pogingen. De Canadese regering was een van de slachtoffers. https://twitter.com/digitalcdn/status/1294670901011722240

Een andere brute forcing-techniek is het spreiden van wachtwoorden. Hackers gebruiken geautomatiseerde software om een ​​lijst met veelgebruikte wachtwoorden op ons account uit te proberen.

  1.  Giswerk

Hoewel hackers over geautomatiseerde tools beschikken om onze wachtwoorden te forceren, zijn deze soms niet eens nodig: eenvoudig giswerk – in tegenstelling tot de meer systematische benadering gebruikt bij brute-force-aanvallen – kan het werk klaren. Het meest voorkomende wachtwoord van 2020 was “123456”, gevolgd door “123456789”. Binnenkomen op nummer vier was dit het enige echte “wachtwoord”.

En als we net als de meeste mensen voor meerdere accounts hetzelfde wachtwoord hergebruiken of een afgeleide ervan, dan maken we het voor aanvallers nog gemakkelijker en lopen we een extra risico op identiteitsdiefstal en fraude.

  1. Shoulder surfing

Alle paden om wachtwoorden te compromitteren die tot nu toe zijn onderzocht, waren virtueel. Nu de lockdown echter wordt versoepeld en veel werknemers naar kantoor terugkeren, moet er rekening mee worden gehouden dat sommige afluistertechnieken ook een risico vormen. Dit is niet de enige reden waarom over de schouder kijken steeds een risico is. Jake Moore van ESET voerde onlangs een experiment uit om te zien hoe gemakkelijk het is om met deze eenvoudige techniek iemands  Snapchat te hacken.

Een meer high-tech versie, de zogenaamde “man-in-the-middle”-aanval waarbij wifi wordt afgeluisterd, stelt hackers op openbare wifi-verbindingen in staat om ons wachtwoord te bespioneren als we die invoeren terwijl we op diezelfde hub zitten.  Hoewel beide technieken al jaren bestaan, vormen ze nog steeds een bedreiging.

version plus high-tech, du nom d’attaque “man-in-the-middle” impliquant l’écoute Wi-Fi, permet aux pirates installés sur des connexions Wi-Fi publiques d’espionner notre mot de passe lorsque nous l’introduisons en étant connecté au même hub. Si les deux techniques existent depuis des années, elles sont cependant toujours une menace.

Hoe kunnen we onze inloggegevens beschermen

Er kan veel worden gedaan om deze technieken te blokkeren – door een tweede vorm van authenticatie aan de mix toe te voegen, onze wachtwoorden effectiever te beheren of stappen te zetten om de diefstal in de eerste plaats te stoppen. Zie het hierna:

  • Gebruik enkel sterke en unieke wachtwoorden of wachtwoordzinnen voor al je online accounts, met name je bank-, e-mail- en sociale media-accounts
  • Vermijd het hergebruik van je inloggegevens voor meerdere accounts en maak geen andere veelvoorkomende wachtwoordfouten
  • Schakel twee-factor-authenticatie (2FA) in voor al je accounts
  • Gebruik een wachtwoordmanager, die sterke en unieke wachtwoorden voor elke site en elk account opslaat, waardoor inloggen eenvoudig en veilig is
  • Wijzig onmiddellijk je wachtwoord als een provider je laat weten dat je gegevens mogelijk zijn gehackt
  • Maak enkel verbindingen met HTTPS-sites
  • Klik niet op links en open geen bijlagen in ongevraagde e-mails
  • Download enkel apps van officiële app stores
  • Investeer in beveiligingssoftware van een gerenommeerde leverancier voor al je toestellen
  • Zorg ervoor dat de nieuwste versie op alle besturingssystemen en apps staat
  • Let op openbare plaatsen op mogelijke blikken over je schouder
  • Log nooit in op een account als je op een openbaar Wi-Fi-netwerk bent; als je zo’n netwerk moet gebruiken, gebruik dan een VPN(use a VPN)

Het verdwijnen van het wachtwoord wordt al meer dan tien jaar voorspeld. Maar de alternatieven hebben nog steeds moeite om het wachtwoord te vervangen. Gebruikers moeten dus het heft in eigen handen nemen. Blijf waakzaam en bewaar je inloggegevens op een veilige wijze.

Dit artikel is geschreven door één van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.

esetwachtwoord

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600