e-mail hacked

U kunt wel een paar redenen verzinnen waarom u niet zou willen dat er iemand in uw privémails (of werkmails) zou beginnen rondneuzen. Het volgende voorbeeldscenario is minder onwaarschijnlijk dan u denkt:

U bent zelfstandig ondernemer en gebruikt een computer en een smartphone waarop u uw werkgerelateerde e-mails, alsook uw privé e-mails leest. Van het moment dat iemand toegang tot één van die toestellen krijgt, kan deze persoon dus aan allebei die mailboxen. Die persoon heeft het misschien niet zo goed met u voor; denk bv. aan een recent ontslagen werknemer, een inbreker, iemand die uw laptop uit uw wagen heeft gestolen of een hacker die op uw PC heeft ingebroken. Als men uw paswoord raadt, is fysieke toegang tot uw toestel zelfs niet eens nodig, maar uiteráárd heeft u voor elke e-mail-account een wachtwoord van 20 tekens dat u nergens anders gebruikt en dat hoofdletters, kleine letters, leestekens en cijfers bevat. Toch? ;-).

Men gebruikt de zoekfunctie van uw e-mailprogramma en doet een zoektocht op een aantal sleutelwoorden in het Engels en het Nederlands:

  • password, wachtwoord, paswoord, pass, code, reset
  • account, login, user, username, gebruiker, gebruikersnaam
  • license, licentie, aankoop

Ik raad u aan om dit zelf eens te doen bij wijze van test. Kijk eens hoeveel e-mails er naar boven komen die aantonen dat u een account heeft op één of andere online dienst. Met veel kans komt hier naar boven dat u Facebook, Google, Skype, Microsoft, Apple, Instagram en Twitter gebruikt, alsook een aantal beroepsverenigingen, vakfora, etc. In het allerslechtste geval staat er een leesbaar wachtwoord in die e-mail en heeft men daar dus onmiddellijk toegang toe. Indien niet, is het een koud kunstje om op de login-pagina van die betreffende dienst te klikken op “Ik ben mijn wachtwoord vergeten”. Luttele seconden later krijgt die persoon op uw adres een e-mail toegestuurd met een link om een nieuw wachtwoord te kiezen.

Op dat moment heeft uw “inbreker” de mogelijkheid om u alle toegang tot al die diensten af te nemen; hij kiest immers een wachtwoord dat u niet kent, en dat hij u ook niet gaat komen vertellen, tenzij tegen betaling. In dat laatste scenario zijn er echter weinig gevallen bekend waar u na betaling ook daadwerkelijk weer toegang tot uw accounts krijgt…

Uiteraard gebeurt dit op een moment dat u slaapt en uw smartphone op “niet storen” staat. Zo heeft u niet meteen gezien dat uw smartphone ineens geen e-mails meer kan ontvangen omdat uw wachtwoord niet meer klopt. Alle password-reset-mails komen dan ook niet meer op uw smartphone toe, dus u heeft ‘s ochtends bij het ontwaken ook niet meteen in de gaten dat er wat scheelt, buiten het niet meer werken van uw e-mailprogramma. Op dat moment is het kwaad echter reeds geschied.

En het kan nog erger…

Hier houdt het echter niet op als iemand er écht op uit is om u te grazen te nemen. Als u met uw bedrijf een website heeft, is de kans groot dat ook de login-informatie daarvan ergens in uw e-mails is terug te vinden. De voorpagina van uw website bevat even later:

  • een aantal gevoelige e-mails met prijsafspraken
  • pikante e-mails van uw echtgenote; of nog slechter : uw maîtresse
  • mails van uw boekhouder dat u beter niet teveel zwart geld meer kunt aannemen, want dat het anders gaat beginnen opvallen bij de BTW administratie

Al uw contactpersonen krijgen daarna de volgende promotie-mail van “u” :

Van: info@uwbedrijfsnaam.be
Verzonden: Vandaag om 03:08
Aan: <undisclosed-recipients>
Onderwerp: Wij bestaan 10 jaar en dat vieren we samen met u!

Beste,

Deze week bestaat onze firma 10 jaar en dat vieren we graag in stijl met onze partners, leveranciers en goede klanten. Klik hier en schrijf u en uw partner in voor een gratis 3-gangendiner in restaurant “De Zilveren Vork” dat onlangs haar eerste Michelin-ster ontving.

Wees er vlug bij, want het aantal plaatsen is beperkt!

Met vriendelijke groet,
xx yy
Zaakvoerder

 

Die e-mail komt van uw adres en bevat uw bedrijfsnaam en de URL achter de “klik hier”-link klopt, dus niemand vermoedt dat er iets foutloopt, laat staan dat hun spamfilter het zou tegenhouden.

Ik hoef u niet te vertellen dat dit zowel voor uw privéleven als voor uw zaak een fiasco van formaat kan betekenen.

Wat zou er gebeuren als dit u morgen overkomt? Weet u wat u kunt doen om dit tegen te gaan? Stuur vandaag nog een e-mail naar info@meetinthemiddle.be en wij bekijken graag samen met u wat we kunnen doen om u en uw zaak zo goed mogelijk te beschermen tegen dergelijke praktijken.

Enkele tips

  • Zorg dat er een wachtwoord moet ingetikt worden als u uw PC opstart.
  • Vergrendel uw sessie als u van uw PC weggaat. U moet dan uw wachtwoord invoeren als u de computer weer wilt gebruiken. Vergrendelen doet u zo:
    • In Windows : Druk de toets met het windows-logo in en houd deze ingedrukt tewijl u op de “L” drukt.
    • In Mac OSX :
      • Eénmalig: Klik op het Apple logo en ga naar “system preferences” > “Security & Privacy”> “General” en zet het vinkje bij “require password” aan.
      • Als dat is ingesteld is, drukt u op CTRL+SHIFT+EJECT (of CTRL+SHIFT+POWER op recentere Apple toetsenborden).
  • Als u Windows gebruikt als besturingssysteem, zorg er dan voor dat u de door Microsoft aangeraden minimum paswoordlengte van 14 karakters gebruikt. Er bestaan hacking-technieken die Windows-wachtwoorden tot 12 tekens met gemak kunnnen kraken. Als u een bedrijfsnetwerk zogenaamd “lokaal domein” gebruikt, kunt u dit op uw centrale server forceren voor al uw gebruikers.
  • Stel, waar mogelijk, zoveel mogelijk opties in die het moeilijker maken om een wachtwoord te wijzigen. SMS-verificatie of een beveiligingsvraag zijn niet waterdicht, maar verhogen de drempel aanzienlijk.
  • Sluit uw computer ‘s nachts af. Als u een goede reden heeft om dat niet te doen : vergrendel hem dan op zijn minst.
  • Gebruik een complex wachtwoord, zeker voor uw mailbox
  • Gebruik een systeem dat u toelaat om verschillende complexe wachtwoorden te hebben voor al uw accounts. Een goed voorbeeld is het door onszelf ontwikkelde MIMPS.
  • Gebruik bij voorkeur niet de “onthoud wachtwoord” functie van uw browser.
  • Wijzig uw wachtwoorden regelmatig. Het is niet omdat u niets merkt, dat niemand uw wachtwoord weet.
  • Stel encryptie in op uw harde schijf, zodat deze niet meer leesbaar is als ze uit uw PC wordt gehaald. Deze techniek wordt gebruikt als men bij het normaal starten van uw systeem niets kan doen, dus wordt uw harde schijf inclusief alle data aan een andere computer gekoppeld om de gegevens te kunnen lezen die erop staan. Door encryptie toe te passen is dit onmogelijk.
  • Houd uw virusscanner en uw besturingssysteem up-to-date om ook de meest recente beveiligingslekken te dichten.
  • Voorzie een firewall op uw internetverbinding(en).
Wat zou er eigenlijk gebeuren als iemand mijn e-mail hackt?