Help! ik ben gehackt!
Dit wil je als bedrijf niet meemaken: gehackt worden. Al je gegevens komen in handen van een vreemden. Het voelt alsof er een inbreker in je huis zit maar je kan hem niet zien. Cybercriminaliteit is de dag van vandaag de norm. De inbrekers met hun breekijzer en Zorro-masker gaan allemaal naar de schoolbanken om zich om te scholen naar een hacker en kunnen voortaan gewoon van thuis uit werken. Werken 2.0 is ook voor hen de nieuwe norm blijkbaar :-)
Grote IT-leveranciers moeten hierop inspelen. In deze blog overlopen we even hoe ze dat doen en wat jij moet doen om je digitale huishouden goed te beveiligen.
Fake account
Je kan ze 1 ding meegeven: ze zijn gedreven in het maken van fake accounts! Een fake account wil zeggen dat er een nepprofiel wordt aangemaakt dat zich voordoet als jouw (zaak). Ze nemen je profielfoto over en plaatsen foto’s van jouw profiel op hun profiel.
Waarom doen ze dit?
Het doel is je publiek op Social media op te lichten. Ze gaan in interactie gaan met jouw volgers (of beter gezegd met mensen die denken dat ze jouw (zaak) volgen) en proberen gevoelige informatie of geld te ontfrutselen.
Hoe kan ik dit voorkomen?
Voorkomen kan je het niet. De foto’s op je profiel kan men gewoon kopiëren door er een print screen van te maken. Iets dat op een scherm toonbaar is, kan gekopiëerd worden.
Wat kan je doen eens je het ontdekt hebt?
Ja, eens je het ontdekt is het even verschieten natuurlijk. Op de foto kan je een nepaccount zien van onze klant Wellnez Atelier. Je ziet dat ze al 417 volgers verzameld hebben.
Zodra je een fake account ontdekt doe je best 3 dingen:
Breng je publiek hiervan op de hoogte. Zo voorkom je niet alleen dat de ‘dieven’ hun gang kunnen gaan, maar je toont ook dat je begaan bent met de veiligheid van je publiek. Daarnaast gaan je volgers het bericht misschien delen, wat weer reclame is voor jouw profiel. (Je mag er wat voordeel uithalen he seg! :-) )
Breng het platform (Facebook, Instagram, …) er van op de hoogte.
Verzamel zoveel mogelijk informatie over het nepprofiel en dien klacht in bij de politie.
Gehackt
Als ik het zo schrijf (gehackt) denk ik al wat aan spaghetti bolognese. Maar spijtig genoeg is hacking minder rooskleurig dan dat. Gehackt wil zeggen dat ze in je account zijn geraakt. Gebruik je je Google-, Facebook- LinkedIn-, …-account om aan te melden op andere platformen? Dan hebben ze ook toegang tot deze platformen.
Wat kan je doen eens je het ontdekt?
Je zal het ontdekken eens je de betreffende platformen bezoekt: je kan niet meer aanmelden in je account omdat de hackers het wachtwoord gewijzigd hebben, of je merkt dat er dingen gepost of verstuurd wordt naar je publiek zonder dat je dit zelf gedaan hebt. Je doet dan best de volgende dingen:
Breng je publiek hiervan op de hoogte
Verander het wachtwoord van je account
Controleer of er extra beheerders zijn toegevoegd aan je pagina/profiel
Verzamel zoveel mogelijk informatie over de hacking (welke posts hebben ze gedaan, hebben ze een extra mailadres gekoppeld aan je account zodat ze een nieuw wachtwoord kunnen opvragen nadat jij het hebt gewijzigd, …) en dien klacht in bij de politie.
Hoe kan ik dit voorkomen?
Simpel: door tweestapsverificatie in te schakelen voor je profielen. OK, je vloekt er op telkens je de extra stap moet doen, maar dan ben je veilig.
Wat is tweestapsverificatie?
Een extra stap om aan te melden zeg maar. Ken je itsme? Dat is een voorbeeld van tweestapsverificatie. Je wil je ergens aanmelden met je mailadres en wachtwoord, en je moet via een extra stap bewijzen dat jij het bent. Die ‘extra stap’ kan in verschillende vormen zijn:
Via een app, zoals itsme, Google Authenticator, Authy, …Je stelt dit eenmaal in in je account en koppelt de app aan je account dmv een code. Eens de koppeling in orde is en je wil aanmelden, zal je in de app een handeling moeten doen of een code krijgen die je helpt te bewijzen dat jij het bent die in je account probeert te geraken. Deze manier is veilig omdat het via 2 verschillende tools en/of devices gaat. Je hebt hiervoor je computer en smartphone nodig. Of 2 verschillende apps op je smartphone die niet met elkaar verbonden zijn.
Via e-mail: Je krijgt een e-mail op het mailadres dat je gebruikt voor je account. In deze e-mail zal vaak een code staan die je dan op het platform moet ingeven. TIP! gebruik verschillende wachtwoorden en/of tweestaptsverificatie voor de verschillende tools. Gebruik je nergens tweestapsverificatie en overal hetzelfde wachtwoord? Dan zal de hacker gemakkelijk de mail kunnen gaan ophalen in je online mailbox door er gewoon aan te melden met de gegevens die hij al heeft.
Via SMS: Je krijgt een sms met een code die je dan op het platform moet ingeven om je te kunnen aanmelden. Let er dus op dat je bij het aanmaken van je account steeds het juiste GSM-nummer ingeeft! “Daar hebben die niets mee te maken, ik zet hier het nummer van Joske Vermeulen” kan dus geen goede keuze zijn wanneer je op deze manier moet aanmelden.
Via Youtube of andere Google-apps. Wanneer je probeert aan te melden in een Google Account, zal Google je al snel vragen een andere app van hen te openen om daar te bevestigen dat jij probeert aan te melden. Gebruik je geen tools van Google buiten je mailbox? Dan zal Google een sms sturen naar je GSM-nummer.
Soms kan je kiezen om tweestapsverificatie in te schakelen. En soms kan je dan ook nog kiezen op welke manier je deze verificatie wil doen. Maar vaak heb je geen keuze en merk je wel bij het aanmelden hoe dit zal verlopen. Let er vooral op - bij het aanmaken van je account - dat je de juiste, echte gegevens ingeeft.
Google gaat nog een stapje verder…
Vorige week kreeg ik telefoon van een klant. Ze konden vanuit hun systeem geen automatische mails meer versturen. Dit kwam toevallig na een update van dat systeem. “Raar, dit moet een fout zijn van de update” dacht ik. Nee, het is een aanpassing van Google zo blijkt. Wanneer je je Google Account wil instellen op een toestel of in een programma, dan moet je hiervoor een app-wachtwoord aanmaken. Dit doe je door eerst tweestapsverificatie in te stellen en vervolgens een wachtwoord te genereren voor de app waar je de account wil gebruiken. Dit kan een mailprogramma zijn, facturatieprogramma, …
Meer info over hoe je dit doet kan je hier terugvinden. Wil je toch maar wat hulp bij het aanmaken van zo een app-wachtwoord? Boek dan een technische support call via deze link.