Over de schouder surfen: opgelet voor het arendsoog dat naar je telefoon kijkt, zegt ESET
Maar criminele activiteiten zijn meer dan bits en bytes. Oude methoden zoals over de schouder surfen of in afvalcontainers duiken, bieden grote winsten en veel oplichters proberen het.Over de schouder surfen bestaat al langer dan smartphones en laptops. Het volstaat om de vraag te stellen aan iemand van wie de creditcard-pincode of telefoonkaartcode werd gestolen door gewetenloze voorbijgangers. Maar vandaag zijn er nog meer manieren om geld te stelen.
Onze drukke levens met meerdere toestellen zijn een magneet voor schoudersurfers. Maar kleine gedragswijzigingen kunnen voldoende zijn om ons veilig te houden.
Een tweetal verhalen ter waarschuwing
Doorgaans minimaliseren we over de schouder surfen. We denken dat we iemand achter ons kunnen opmerken als die naar ons scherm staart. Oplichters hoeven slechts één keer geluk te hebben. En die kans bieden we de hele werkdag door, zeker nu de samenleving weer opengaat.
Jake Moore, Global Cybersecurity Advisor bij ESET, (Jake bet a friend)onthulde onlangs dat hij er tot twee keer toe in slaagde de inloggegevens van online accounts van vrienden te bemachtigen, weliswaar met hun voorafgaande toestemming. Zijn onderzoek laat zien hoe kwetsbaar we zijn voor snuggere piraten, vooral in informele omgevingen zoals bars, cafés en restaurants.
1. Op Snapchat surfen
Bij een eerste poging wedde Jake met een vriendin dat hij haar Snapchat-account kon kapen, zelfs beschermd door tweefactorauthenticatie. Met behulp van de functie voor het her-instellen van het wachtwoord, voerde hij zijn telefoonnummer in en selecteerde hij de optie om een bevestigingscode via een bericht te ontvangen. Door te surfen op het bevestigingsbericht dat hij ontving, kreeg hij de volledige controle over het account. Zelfs een tweede sms-code die als bevestiging werd verzonden, werd door de accounthouderster genegeerd, maar waargenomen en ingevoerd door Jake.
Een aanvaller kent daarom misschien het telefoonnummer van zijn slachtoffer niet, maar kan het wel online vinden via een schat aan eerder gehackte data of door gebruik te maken van open source informatie met inbegrip van sociale media. Door de gebruiker te bellen en zich voor te doen als een medewerker van het socialemediabedrijf, kan een oplichter de gebruiker in theorie misleiden tot het overhandigen van zijn sms-code.
Dit is niet echt over de schouder surfen. Maar in een kantoor- of schoolomgeving waar collega’s of kinderen zich in de buurt van gebruikers bevinden van wie ze het telefoonnummer kennen, wordt “over de schouder surfen met wachtwoordherstel” een reëler risico.
2. Problemen met PayPal
Jake wedde ook met een vriend dat hij een van zijn online accounts zou kunnen kapen. Hij ging naar de PayPal-inlogpagina om een wachtwoordreset aan te vragen. Hij kende de e-mail van de gebruiker, typte deze in en selecteerde de beveiligingscontrole voor de sms-code die naar zijn telefoon werd gestuurd. Zoals in het bovenstaande voorbeeld, was Jake in staat om in het geheim het apparaat van zijn vriend te bespioneren zodra hij de code kreeg. Zo had hij volledige toegang tot de PayPal-rekening van de vriend.
Wat betekent dit voor u?
In veel gevallen ligt de veiligheidslat nog steeds te laag voor criminelen, vooral als ze uw laptop of smartphone in de gaten hebben. Onder ons zijn er zijn nog teveel gebruikers die meldingen op onze schermen laten verschijnen. Misschien zijn we zo ongevoelig geworden dat we ze negeren. Maar zij die over onze schouder meekijken, zijn dat niet.
Het is erg interessant dat in het PayPal-voorbeeld het slachtoffer een veteraan is in cyberbeveiliging met meer dan 20 jaar ervaring. Als hij op deze manier kan opgelicht worden, kunnen vele anderen dat ook en zodra een oplichter toegang heeft tot uw account, kan hij:
- Inloggegevens wijzigen en u afpersen zodat hij weer toegang kan krijgen
- Brute force-technieken gebruiken om dezelfde e-mails/logins te proberen en toegang te krijgen tot andere accounts
- Uw persoonlijke gegevens stelen en die bij latere spoofing- of phishing-pogingen gebruiken
- Toegang krijgen tot en fondsen overmaken naar zijn eigen rekeningen
- U trollen en pesten door ongepaste inhoud te publiceren vanaf zijn eigen account.
Hoe kunt u schouder surfen vermijden?
De impact van accounthacking kan enkele maanden aanhouden. Als oplichters erin geslaagd zijn om geld en persoonlijke data te stelen, kunt u de komende maanden het doel zijn van veel phishing-pogingen. Het terugkrijgen van verloren fondsen en het opnieuw instellen van kredietscores kan zelfs nog langer duren. Hier zijn enkele strategieën om dit te beperken:
- Gebruik nooit wachtwoorden van een account voor een ander en gebruik een wachtwoordbeheerder om unieke en sterke inloggegevens op te slaan. Schakel multi-factor authenticatie (MFA) in. Kies een authenticatie-app (zoals Google Authenticator, Microsoft Authenticator) in plaats van de optie SMS-code.
- Wees altijd waakzaam wanneer u in het openbaar inlogt op uw accounts. U kunt stoppen met werken in vliegtuigen, treinen, op drukke luchthavens, in hotellobby’s, enz. Of werk dan met uw rug tegen de muur.
- Gebruik een privacyscherm op laptops, zodat iedereen die uw scherm vanuit een hoek probeert te bespioneren, niets kan zien.
- Schakel meldingen op het scherm uit voor berichten, e-mails en waarschuwingen om het type aanval dat Jake hierboven demonstreerde te stoppen. Als er een binnenkomt, en u was het niet, onderzoek het dan onmiddellijk.
- Het spreekt voor zich, maar laat een apparaat nooit onbeheerd achter in een openbare ruimte. Zorg ervoor dat deze vergrendeld is met een sterk wachtwoord.
Over de schouder surfen wordt nog grotendeels onderschat. Dat betekent niet dat het u niet vaker kan overkomen dan een phishing-aanval. Maar dezelfde regels zijn ook hier van toepassing. Wees alert. Wees voorbereid. En past veiligheid toe.
Dit artikel is geschreven door één van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.