Christiaan Colen / Wikimedia Commons
Een voorbeeld van ransomware-technologie
Techniek
Computers

Phishing, eavesdropping en malware: Zo breekt een hacker in

Password-cracking, phishing, social engineering en malware – vele wegen leiden naar je gevoelige data, en de slagboom staat vaak wijd open. Maar gelukkig kun je je beschermen – lees hier hoe.

Gepubliceerd op 13.10.21
Door Jeppe Wojcik

Password attacks

Dit doet een hacker

Een van de meest directe methoden waarmee hackers zich toegang verschaffen tot je persoonlijke gegevens, is een password attack, waarbij je wachtwoord van een beveiligd systeem, zoals een e-mailaccount of sociaal medium, gekraakt wordt.

Als een hacker zo bij persoonlijke, gevoelige en financiële data komt, staat de deur naar fraude en identiteitsdiefstal wijd open.

En er is behoorlijk wat voor nodig om een wachtwoord echt veilig te maken voor een goede hacker, zelfs als je alle adviezen opvolgt en cijfers, speciale tekens en kleine letters en hoofdletters gebruikt.

Voor een wachtwoord van acht tekens zijn er 3.025.989.069.143.040 mogelijke combinaties – ruim drie biljard of drie miljoen miljard verschillende varianten.

Toch zal een bekwame hacker met de juiste software er niet meer dan acht uur voor nodig hebben om achter zo’n wachtwoord te komen!

Maar lang niet alle wachtwoorden zijn zo lang, en de meest gebruikte ter wereld zijn nog steeds varianten op ‘123456789’.

Uit een analyse van een kwart miljoen gelekte wachtwoorden in 2020 bleek dat 151 van de 200 meest gebruikte wachtwoorden binnen een seconde te kraken zijn.

Slechts 14 waren er sterk genoeg om een aanval van een hacker een uur lang te weerstaan.

Mensen zijn zelfs zulke gewoontedieren en met de wachtwoordveiligheid is het over het algemeen zo slecht gesteld dat als een hacker een gebruikersnaam heeft en gewoon de 25 meest gebruikte wachtwoorden ter wereld probeert, hij in de helft van de gevallen binnen is.

Staat jouw wachtwoord in de top 200?

De tien meest gebruikte wachtwoorden

In 2020 kwamen er door een datalek ruim een kwart miljoen wachtwoorden op straat te liggen. ‘123456’ bleek het meest gebruikte én meest gehackte wachtwoord.

© NordPass

Als een wachtwoord voldoende complex is, maken hackers vaak gebruik van andere gaten in de beveiliging, zoals:

  • Eavesdropping: Hackers kunnen onversleuteld dataverkeer ‘afluisteren’ om wachtwoorden te onderscheppen. Daarom kunnen veel mensen alleen op het netwerk van hun werk via een virtueel particulier netwerk, VPN.
  • Databases met wachtwoorden: Hackers krijgen vaak grote hoeveelheden wachtwoorden en e-mailadressen te pakken via aanvallen op grote databases. Met die gegevens loggen ze in op accounts uit andere databases.
  • Spionage: Sommige mensen schrijven wachtwoorden op, bijvoorbeeld bij hun werkcomputer. Daar kunnen kwaadwillenden ze noteren.
  • Brute force: Sommige wachtwoorden zijn te raden, meestal met behulp van informatie over het slachtoffer, zoals geboortedatum, de naam van huisdieren of door gewoon heel vaak te raden.
  • Social Engineering: Onderdeel van de brute force-tactiek, waarbij persoonlijke gegevens van sociale media worden gehaald. Die kunnen rechtstreeks van een profiel komen of worden verkregen door aantrekkelijke posts of quizzen die gemaakt zijn om je gegevens te ontfustelen. Zo’n post of quiz heeft doorgaans de vorm ‘vertel ons waar je woont en wij raden je IQ’, ‘hoe ver woon je van je geboorteplaats’ of ‘hoe oud word je? Je eerste drie baantjes verraden het’.
  • Dictionary attack: Wachtwoorden kunnen worden geraden door een bestand vol versleutelde wachtwoorden te vergelijken met een document met bestaande woorden in dezelfde codering.

VIDEO: Zo proberen hackers wachtwoorden te achterhalen

Zo bescherm je je tegen wachtwoordaanvallen

Kies sterke wachtwoorden

Het is eigenlijk best simpel: kies een wachtwoord met cijfers, speciale tekens en kleine letters en hoofdletters.

Verder moet het lang zijn, het liefst 12 tekens of meer, en het zou geen persoonlijke informatie moeten bevatten, zoals je naam, de namen van je kinderen, je woonplaats, je geboorteplaats of je verjaardag.

Gebruik tweefactorauthenticatie

Zet altijd tweefactorauthenticatie aan indien beschikbaar. Dan krijg je bijvoorbeeld een code via sms waarmee je een login op je account bevestigt.

Gebruik biometrische beveiliging

Inloggen via smartphones en tablets met vingerafdruk- of gezichtsherkenning is niet alleen veiliger, maar zorgt er ook voor dat je minder ingewikkelde wachtwoorden hoeft te onthouden.

Gebruik verschillende wachtwoorden

Probeer niet overal hetzelfde wachtwoord te gebruiken, vooral niet op platforms met veel gevoelige of persoonlijke informatie.

Je mail, je accounts op sociale media en je bank mogen nooit hetzelfde wachtwoord hebben, en vooral niet een wachtwoord dat je ook op minder goed beveiligde sites gebruikt.

Als een site waar je een account hebt gehackt wordt, bijvoorbeeld een discussieforum, een internetwinkel of een voetbalclub, en het wachtwoord gelijk is aan dat van je e-mail, kan het het sterkste ter wereld zijn, maar je wordt alsnog gehackt.

Deel nooit je wachtwoorden

Dit zou vanzelfsprekend moeten zijn, maar veel mensen delen toch snel wachtwoorden van e-mail, streamingdiensten of andere dingen.

Houd je software up-to-date

Hackers worden steeds beter, en softwaremakers proberen hun een stapje voor te blijven.

Er worden voortdurend veiligheidsgaten ontdekt in systemen en programma’s, en daar worden updates voor uitgebracht. Alleen als je je software up-to-date houdt, ben je maximaal beschermd.

Val niet ten prooi aan phishing

E-mails, tekstberichten of posts op sociale media die van een betrouwbare afzender lijken te komen, maar je in werkelijkheid willen verleiden om gebruikersnamen en wachtwoorden prijs te geven, zijn heel effectief en worden steeds moeilijker te spotten.

Verderop meer hierover ...

Malware

Dit doet een hacker

Malware is een verzamelnaam voor bestanden of programma’s die zich toegang verschaffen tot een netwerk om informatie te stelen, een systeem plat te leggen of gebruikers uit te sluiten van delen van een netwerk.

Meestal gebruiken hackers bijvoorbeeld een link in een e-mail om een organisatie binnen te komen. Met een klik download je een stukje code of installeer je een programma.

Het begrip malware omvat onder meer:

  • Virussen: dit zijn stukjes code in documenten of programma‘s die zich verspreiden om computers of systemen traag of onbruikbaar te maken.
  • Wormen: deze verspreiden zichzelf ook, maar zitten niet in een programma. Het zijn programmaatjes op zich, die vaak naar alle gebruikers van een e-mailsysteem worden gestuurd.
  • Trojans: deze zitten vaak verstopt in een bruikbaar programma, maar verspreiden zich niet. Ze zetten een achterdeur in een netwerk open voor een hacker.
  • Keyloggers: dit zijn programmaatjes die alle aanslagen op het toetsenbord aflezen en naar de hacker doorsturen. Zo kunnen ze meelezen met wachtwoorden en privéberichten.
  • Spyware: dit is een type malware dat bijvoorbeeld wachtwoorden en surfgeschiedenis doorgeeft aan een hacker.
  • Ransomware: deze versleutelt delen van een netwerk of computer en eist losgeld, meestal in bitcoin, om ze weer toegankelijk te maken.

Een voorbeeld van een malware-aanval

In 2017 verspreidden hackers een combinatie van ransomware en een worm naar 150 landen en 200.000 computers die op Microsoft Windows draaiden. Deze WannaCry-aanval gebruikte een stukje gestolen software van de Amerikaanse veiligheidsdienst NSA.

VIDEO: Zo gaat de WannaCry-ransomware in de aanval

Zo bescherm je je tegen malware

Firewalls, antivirussoftware en beveiligingsupdates beschermen je het beste tegen malware. Daarnaast moet je nooit op verdachte links klikken of bestanden van onbekende afzenders downloaden.

DDoS

Dit doet een hacker

Een of meer hackers sturen met een Denial of Service-aanval of DoS een grote hoeveelheid verzoeken naar een website. Bij een Distributed Denial of Service-aanval komen die verzoeken van heel veel computers, zodat ingrijpen lastig is.

Schema van een DDoS-aanval
© Everaldo Coelho/YellowIcon/Wikimedia Commons

Zo werkt een DDoS-aanval

Een DDoS-aanval begint met een hacker (boven) die een netwerk van computers met malware aanstuurt (onder) en een datafragment (de wolk) naar een website op een server (onder) stuurt, zoals een zoekopdracht.

De website reageert door data terug te sturen, maar door het aantal verzoeken wordt de capaciteit van de server bereikt en wordt de website onbereikbaar.

Deze overbelasting maakt vaak deel uit van een grotere hackaanval, waarbij gebruikgemaakt wordt van een zwak punt terwijl het systeem plat ligt.

Een voorbeeld van een DDoS-aanval

Google wist in 2017 de tot dan tot grootste DDoS-aanval af te slaan. Er vloog 2,54 terabyte data per seconde door de kabels (een terabyte is de inhoud van 213 dvd’s).

Zo bescherm je je tegen een DoS-aanval

Een eenvoudige manier om je te wapenen tegen DDoS-aanvallen is het aantal routes waarlangs een hacker data op kan vragen, te beperken.

Grotere sites kunnen zich beveiligen door de server- en bandbreedtecapaciteit op te voeren, zodat een aanval opgevangen wordt.

Phishing

Dit doet een hacker

Bij een phishing-aanval geeft een hacker zich uit voor een betrouwbare afzender die het slachtoffer er met een valse link toe verleidt wachtwoorden of creditcard- of bankgegevens te delen.

Hackers gebruiken verschillende platforms voor phishing:

  • E-mail
  • Sociale media
  • Sms
  • Telefoontjes

Ook kunnen hackers hun slachtoffers informatie ontfutselen via nepsites of formulieren of pop-upvensters op echte websites.

VIDEO: Zo verloopt een phishing-aanval

Phishing is verreweg de meest voorkomende vorm van hacking.

Naast de inmiddels beruchte mails uit Nigeria richten hackers zich in toenemende mate op bepaalde bedrijven (spear phishing) of hooggeplaatste medewerkers van een organisatie (whaling).

Een poging tot phishing

**Een voorbeeld van een poging tot phishing via sms.

© Johnathan G. Freeman / Wikimedia Commons

Een voorbeeld van phishing

In 2017 werd het Amerikaanse internetbedrijf Amazon getroffen door een phishing-aanval, waarbij klanten ertoe werden verleid hun inlog- en creditcardgegevens opnieuw in te vullen in ruil voor een kortingscode.

Zo bescherm je je tegen een phishing-aanval

Phishing-aanvallen zijn lastig te bestrijden omdat ze gebruikmaken van een zwakke schakel in het systeem: de mens.

Maar software is er nu beter in om pogingen tot phishing te detecteren.

Gebruikers kunnen het beste mails van banken, webshops of abonnementsdiensten altijd kritisch bekijken. Als je bijvoorbeeld wordt aangesproken als ‘meneer of mevrouw’, je geen mail verwacht of je nog nooit dergelijke mail hebt ontvangen, wees dan op je hoede voor phishing.

Als je ook maar een beetje twijfelt, klik dan nergens op in een mail, maar log rechtstreeks in op de website van de vermeende afzender in een ander venster.