Wie doet zich online als u voor?

© CIDimport

Wie doet zich online als u voor?

Geplaatst: 8 december 2011 - 11:48

Aangepast: 27 augustus 2022 - 07:48

Redactie ID.nl

Uw identiteit is geld waard. Zelfs wat persoonlijke feitjes die u via internet met anderen deelt, kunnen al interessant zijn voor cybercrimi-nelen. Iemand anders die zich voor u uitgeeft, kan bijvoorbeeld voor uw rekening goederen bestellen, spullen te koop aanbieden die nooit worden geleverd of spioneren. Een overzicht van de nieuwste trucjes, de potentiële ellende en advies om geen slachtoffer te worden.

Wie doet zich online als u voor?-16431725

© CIDimport

Haar naam wil ze niet onthullen, een woonplaats al evenmin. Maar haar ervaringen wil deze gedupeerde Nederlandse wel kwijt. Om anderen te waarschuwen, zegt ze zelf: “Ik ging in op een advertentie op eBay voor werk. Een buitenlands bedrijf wilde geld in Nederland ‘verwerken’. En het was makkelijker als dat via mijn rekening ging. Na een tijdje meldde mijn contactpersoon dat er iets mis was gegaan en dat hij dat zelf even wilde nakijken. Het leek vertrouwd, en toen heb ik mijn code gegeven. Een tijd later kreeg ik brieven van mijn bank, dat mensen hun gestorte geld terugwilden. Ik wilde mijn rekening controleren via internetbankieren, maar de code was gewijzigd.”

Na contact met de bank bleek dat tientallen mensen besteld hadden bij een webshop, en vervolgens de betaling op haar rekening hadden gestort. De vrouw is niet strafrechtelijk vervolgd, maar de tienduizend euro schade zal wel op haar worden verhaald. Bovendien staat ze nu op een zwarte lijst, zodat banken geen zaken meer met haar willen doen. Haar leven is “helemaal kapot”, omdat ze te goed van vertrouwen was.

Groeimarkt

Deze vrouw is helaas niet het enige slachtoffer, want het stelen van (online) identiteiten is behoorlijk populair. Cijfers over de Nederlandse situatie zijn er nog niet – ‘Medio 2011’ zou er een rapport komen, aldus het Centraal Meld- en Informatiepunt Identiteitsfraude en -fouten (CMI) – maar Britse gegevens stemmen weinig hoopvol. In het Verenigd Koninkrijk was de schade voor burgers die vorig jaar slachtoffer werden van identiteitsdiefstal maar liefst 1,8 miljard euro. Met behulp van gestolen identiteiten kunnen andere misdaden worden gepleegd, zoals diefstal van bedrijfsgeheimen (kosten in het VK in 2010 10 miljard euro), bedrijfsspionage (8 miljard euro) en afpersing (2,3 miljard euro).

Trucs

De populairste trucs om een identiteit te stelen, zijn phishing e-mails en ‘social engineering’. Bij phishing sturen boeven nep e-mails, zogenaamd namens bonafide bedrijven. Meestal wordt gevraagd op een link te klikken, waarna u op een namaaksite belandt. De crimineel hoopt u daar te verleiden tot het invoeren van geheime informatie zoals uw wachtwoord. Wat ook kan, is dat er na uw klik op een link op de achtergrond een keylogger wordt geïnstalleerd. Zo’n programma legt elke toetsaanslag vast – dus ook inlognamen en wachtwoorden – en stuurt die ongemerkt door naar een criminele website. 

Tips

Samen met de experts van Kaspersky hebben we een aantal tips op een rijtje gezet die moeten voorkomen dat u het slachtoffer wordt van identiteitsfraude:

- Deel nooit wachtwoorden en laat ze niet slingeren. Een wachtwoord staat gelijk aan een huissleutel!

- Meld het onmiddellijk aan de betrokken partijen als u identiteitsdiefstal vermoedt; denk aan uw bank, baas of een site als FaceBook.

- Verander DIRECT al uw wachtwoorden als u vermoedt dat er een account is gehackt.

- Meld de identiteitsdiefstal bij de politie en het CMI (www.overheid.nl/identiteitsfraude/contact)

 -Vertrouw onbekenden nooit zomaar. Fraudeurs spelen in op uw emoties; een beetje achterdocht is gezond.

- Volgens Kaspersky is de nieuwe lichting malware – ‘spyware 2.0’ – speciaal gemaakt om identiteiten te stelen. Surf voorzichtig en beveilig uw computer afdoende. Zorg niet alleen voor een up-to-date virusscanner, maar installeer ook zoveel mogelijk alle updates van de software op uw computer (inclusief de browser!).

- Informeer anderen, vooral minderjarigen, over de gevaren en gevolgen.

Anti-phishing

De afzender van phishing e-mails probeert op uw emoties in te spelen. Angst (Bevestig snel uw identiteit, want anders… !), hebzucht (U kunt veel geld verdienen!), nieuwsgierigheid (Is de koningin dood?!) of achteloosheid (Iemand stuurt me een link, eens even kijken…). U herkent een standaard phishing-bericht als volgt. Sommige woorden zijn in HOOFDLETTERS om de aandacht te trekken, er zitten slordige fouten in de tekst om spamfilters te ontlopen, de begroeting is onpersoonlijk en het e-mailadres van de verzender en/of de ontvanger klopt niet.

Social engineering

Waar phishing puur een zaak is van programmaatjes die mails versturen en informatie verzamelen, is social engineering juist een menselijke aangelegenheid. Recent belden oplichters rond met het verhaal dat ze “veiligheidsmedewerkers” van een bekende bank waren. De bankrekening van de slachtoffers zou gebruikt zijn voor verdachte transacties. De slachtoffers moesten vervolgens dezelfde handelingen verrichten die ze normaal zouden doen om online in te loggen. Op de achtergrond voerde de oplichter de verstrekte codes in en kon zo een transactie (al het geld van de rekening overboeken) uitvoeren. Een andere ‘babbeltruc’ is dat u gebeld wordt door iemand die zou werken bij een leverancier van beveiligingssoftware, die ontdekt heeft dat uw pc is besmet met een virus. De handelingen die u van de ‘beveiliger’ moet uitvoeren zijn onder andere het downloaden en installeren van bestanden die juist virussen bevatten!

Brutaliteit

De social engineer is een gladde oplichter die met een handjevol persoonlijke informatie en een vlotte babbel werknemers wachtwoorden afhandig maakt. Niet alleen van personen, maar ook vaak groeps- of netwerkwachtwoorden. Dankzij sociale media als LinkedIn, Facebook en Hyves hoeven dit soort oplichters weinig moeite meer te doen om de benodigde gegevens te achterhalen. Op sociale netwerksites kan iedereen zien hoe u eruit ziet, wie uw collega’s en vrienden zijn, hoe u communiceert, wat uw interesses zijn, wanneer u op vakantie bent, enzovoorts. Diensten als FourSquare en Google Latitude voegen nog meer toe; wanneer u gaat sporten, waar u graag uit eten gaat en ook waar u nooit heen gaat en men u dus waarschijnlijk niet of niet goed kent.  Een vage kennis of zelfs een volslagen onbekende in uw online ‘vriendenkring’ kan hier handig gebruik van maken.

Wachtwoord

Heel veel mensen gebruiken maar een of twee wachtwoorden voor tientallen diensten. Ook hebben mensen zelden meer dan twee gebruikersnamen. Als kwaadwillenden zo’n account weten te kraken, kunnen ze op goed geluk ook een serie andere diensten proberen. Ofwel: als een zwakke schakel wordt gehackt – vaak wordt dit niet ontdekt ­– zijn alle andere diensten waar u dezelfde inloggegevens hebt gebruikt, meteen ook niet meer veilig. Sinds begin 2011 vragen hackers aandacht voor slechte beveiliging online en het hergebruiken van wachtwoorden door eindgebruikers. Dit doen ze door grote websites te hacken en daarna alle gebruikersnamen, wachtwoorden en persoonlijke informatie op internet te verspreiden. Vooral Twitter is populair voor het publiceren van links naar ‘Dox’, oftewel documenten met identiteitsinformatie. Meestal bevatten de Dox ook wachtwoorden.

Ontfutseld?

Social engineering levert wachtwoorden op, maar zoals gezegd werkt ook phishing prima. En anders hebben de heren en dames crimineel nog wel een virus of andere malware achter de hand. U daarmee bestoken is niet zo moeilijk. Zo kan het gebeuren dat een volstrekt legale website wordt gehackt en voorzien van bijvoorbeeld een rootkit. Als uw pc niet is voorzien van de nieuwste beveiligings- en andere software, is het besmetten van uw pc slechts een kwestie van een enkele klik. Op het oog verandert er niets aan de pagina, maar op de achtergrond wordt de rootkit vanaf een andere locatie geladen. Zo’n rootkit merkt u niet op. Ondertussen worden aansluitend wel alle toetsenaanslagen bijgehouden en als u naar de website van een bank surft, begint de malware zelfs schermafdrukken te maken. Scant u uw paspoort, rijbewijs of identiteitskaart, dan springen de criminelen helemaal een gat in de lucht: de afdrukken worden voor honderden euro’s doorverkocht om vervolgens te worden misbruikt.

Een voorbeeld van zo’n rootkit is Torpig. Dit programma speurt na infectie uw hele systeem af op zoek naar persoonlijke informatie, accounts en wachtwoorden. Bovendien wordt uw systeem een bot en hebben hackers toegang tot alle bestanden op uw computer. Onderzoekers die de toegangscode tot het botnet wisten te kraken, zagen in slechts tien dagen het volgende langskomen: alle gegevens van bijna 55.000 e-mailadressen, 12 miljoen gegevens ingetypt op websites, 400.000 inlognamen voor websites, 400.000 inlognamen voor e-mail en 1,2 miljoen Windows-wachtwoorden.

Spoofen en bots

Elke computer (en ander apparaat) dat is verbonden met internet, heeft een uniek adres, het zogeheten ip-adres. Hackers kunnen met behulp van bepaalde technieken een ip-adres vervalsen (‘spoofen’). Ze zenden dan pakketjes het web op met als afzender niet hun ip-adres, maar dat van een ander. Op die manier kan een hacker een vals spoor achterlaten, dat misschien wel naar u leidt!

Het kan nog erger, want als uw computer besmet is met een rootkit kan een cybercrimineel inloggen op uw computer. De crimineel kan  vanaf úw computer – die zijn slaaf of ‘bot’ is geworden – virussen en spam verspreiden, op andere computers inbreken of inloggen op weer een andere bot. Volgen de autoriteiten het digitale spoor nadat een ontdekte inbraak, dan komen ze erachter dat de inbreker schijnbaar opereerde vanaf úw ip-adres. Het is voor criminelen doodsimpel om ergens in te breken terwijl ze zich verschuilen achter een schakel van honderden bots, die de commando’s onderling doorspelen naar de doelcomputer.

Ach, denkt u misschien, da’s voor mij toch niet zo heel erg, maar daar vergist u zich in. In de VS is ene Barry Ardolf tot achttien jaar cel veroordeeld omdat hij online probeerde zijn buren in zeer ernstige problemen te brengen. Ardolf was kwaad op zijn buren Matt en Behtany Kostolnik omdat ze een aanklacht tegen hem hadden ingediend wegens ongewenste intimiteiten met hun zoontje. Nadat hij de toegang tot het netwerkje van zijn buren had gekraakt, stal Ardolf alle persoonlijke gegevens, zorgde voor permanente toegang tot alle e-mailadressen en bankrekeningen en bereidde vervolgens een grote terreuractie voor.

Ardolf maakte naast meerdere e-mailadressen een MySpace-account aan op naam van de buurman. Daarop plaatste hij kinderporno en een uitdagende boodschap: ‘Als advocaat kom ik hier toch wel mee weg. Misschien heeft een hacker deze foto geplaatst. Gerede twijfel.’  Vervolgens mailde hij de foto via het mailaccount van de buurman naar een van diens collega’s. Ook mailde hij verschillende seksueel getinte boodschappen naar vrouwelijke collega’s van de buurman. Daarna stuurde hij als ‘Mary Sill’ een mailtje naar de baas van zijn buurman, waarin ‘zij’ hem betichtte van aanranding nadat ze hem aansprak na afloop van een presentatie die hij had gegeven. De vrouw bleek later echt te bestaan en – Ardolf had toegang tot de agenda van de buurman – natuurlijk klopten ook de datum en locatie van de presentatie. Het e-mailadres van ‘Mary Sill’ bleek aangemaakt en gebruikt via de draadloze netwerken van twee andere buren van Ardolf.

Pech

De bazen van de buurman gaven hun werknemer niet aan, maar geloofden in zijn onschuld. Daar heeft de man veel geluk mee gehad, want als ze op dat moment naar de lokale politie waren gestapt, was de hack hoogstwaarschijnlijk nooit ontdekt. In plaats daarvan nam het advocatenkantoor een specialist in de arm die concludeerde dat een onbekende computer toegang had tot het netwerk van de Kostolniks. Rond die tijd escaleerde de zaak, want niemand minder dan de Secret Service stond op de stoep! Vanaf het e-mailadres van Matt Kostolnik waren doodsbedreigingen gestuurd naar verschillende hoge politici. De geheime dienst was via het ip-adres bij Kostolnik uitgekomen. Gelukkig kon de eerder ingehuurde expert aantonen dat de mails in werkelijkheid bij Ardolf vandaan kwamen, zodat de familie Kostolnik verdere narigheid werd bespaard. Ardolf kreeg uiteindelijk achttien jaar cel opgelegd. Als hij een echte expert/hacker was geweest, dan was het hem misschien gelukt om buiten schot te blijven.

Op het zich online voordoen als een ander staat in de VS een minimumcelstraf van twee jaar. Identiteitsfraude is in Nederland helaas géén zelfstandig strafbaar feit. Als u melding maakt van identiteits-fraude, dan moet de fraude hebben geleid tot een strafbaar feit, anders kan de politie niets met uw aangifte. Als iemand eenmaal succesvol uw identiteit heeft misbruikt, blijkt het zeer lastig te zijn om uw naam weer gezuiverd te krijgen in de diverse Nederlandse databases. Dat merkte de zakenman Ron Kowsoleea, die uiteindelijk via de Ombudsman zijn gelijk moest halen. Een kennis van de man gaf zich uit voor Kowsoleea als hij weer eens werd opgepakt voor een drugsmisdrijf. Met als gevolg dat de zakenman jarenlang geregistreerd stond als harddruggebruiker, vuurwapengevaarlijk en ongewenst vreemdeling. Kowsoleea is tientallen keren ten onrechte aangehouden en de FIOD viel zelfs met veel machtsvertoon zijn huis binnen.

Ook Remko de Haas wordt nergens geholpen nadat zijn aangevraagde identiteitskaart uit de post wordt gestolen. De gemeente vraagt gewoon nog een kaart aan en de Haas weet niet van de verdwenen kaart. Totdat hij onbekende rekeningen en incassobrieven begint te ontvangen. Het slachtoffer overtuigt de rechter van zijn onschuld, maar de zaak echt oplossen lijkt geen enkele instantie te kunnen. De Ombudsman zegt: “Je ziet dat overheidsinstanties toch telkens weer naar elkaar verwijzen voor een oplossing in zaken als deze.”

Dit artikel komt uit Computer Idee nummer 19, jaargang 2011

Deel dit artikel
Voeg toe aan favorieten