Als je je ooit hebt afgevraagd waarom cybercriminelen geïnteresseerd zijn in je IM-wachtwoorden…
…nou, het is niet alleen zodat ze je account kunnen binnensluipen en in je persoonlijke gegevens kunnen snuffelen met de bedoeling om er zelf misbruik van te maken of het door te verkopen aan iemand anders die dat wel zal doen.
Toegang tot uw account geeft oplichters ook een niveau van vertrouwde toegang tot uw vrienden en familie, waardoor oplichting van allerlei soorten veel gemakkelijker uit te voeren is.
Of het nu gaat om een nepbeleggingsplan, iemand naar een nep-inlogpagina lokken, hem overhalen een sollicitatieformulier voor een niet-bestaande baan in te dienen, of hem gewoon zover krijgen dat hij zijn geld verspilt aan nutteloze, te dure, slordig gemaakte prullaria…
… wel, het is veel waarschijnlijker dat een oplichter in staat zal zijn om u over te halen op een link te klikken met behulp van een bericht dat eigenlijk van de account van een vriend kwam dan wanneer ze gewoon contact met u opnemen uit het niets.
Inderdaad beperken veel gebruikers opzettelijk hun “contactcirkels” op sociale media en instant messaging-diensten, niet alleen om privacyredenen, maar ook om het soort ongevraagde berichten, spams en scams te beperken dat ze via e-mail te verduren krijgen.
Een bedreiging voor de mensen om je heen
Een oplichter met je instant messaging of social media wachtwoorden is niet alleen een bedreiging voor jou, maar ook voor de mensen om je heen, zoals een van onze lezers vanavond ontdekte toen hij via Facebook Messenger een berichtje van een vriend ontving waarin stond:
Ben jij het in de video
Van iemand die je niet kent, zou zo’n vraag ergens tussen bizar en griezelig vallen, maar van een vriend, wie zou er niet even willen kijken?
Er is natuurlijk geen video – het zwarte plaatje linkt naar een URL-verkortingsservice, die op zijn beurt doorverwijst naar een URL die een soort Facebook-inlogpagina oproept:
De URL (hierboven bewerkt) heeft duidelijk niets te maken met Facebook – het is een willekeurig gegenereerde servernaam op een Hongaars webhostingplatform – en zoals u kunt zien aan het doorgekruiste hangslotpictogram in de adresbalk, maakt de site gebruik van HTTP en niet van HTTPS.
Facebook was een vroege aanhanger van HTTPS-voor-alles, en gaf HTTP helemaal op in 2012, dus elke pagina die beweert Facebook te vertegenwoordigen, maar geen HTTPS heeft, is een ongereconstrueerde fake.
Helaas, het invoeren van je gebruikersnaam en wachtwoord op de nep login pagina hierboven zou hen naar een server sturen die draait op een goedkope web hosting service in de VS, met behulp van een vaag legitiem ogende domeinnaam die minder dan een maand geleden werd geregistreerd.
Onze lezer veronderstelde onmiddellijk dat zijn vriend onlangs zelf een soortgelijk (misschien zelfs een identiek) bericht had ontvangen, en niet alleen had doorgeklikt maar ook had geprobeerd in te loggen, waarbij hij zijn wachtwoord aan de oplichters overhandigde en er aldus voor zorgde dat al zijn contacten spoedig op hun beurt zouden worden gespamd.
Na de valse login pagina
Deze zwendel gaat nog verder – of als een afleiding om een beetje tijd te kopen voordat slachtoffers beseffen dat ze zijn beetgenomen en zich haasten om hun Messenger-wachtwoorden te wijzigen, of gewoon om de oplichters een tweede hapje van de kers te geven, we weten het niet.
Na het invoeren van je wachtwoord, is er een korte vertraging, zoals je zou verwachten bij het inloggen op een online service, waarna de oplichters lijken te kiezen uit een reeks van andere oplichting en je willekeurig omleiden naar een van hen.
Deze zagen er niet uit alsof ze werden gerund door dezelfde criminelen, dus we gaan ervan uit dat de berichten-spamming oplichters gewoon hoopten om “affiliate vergoedingen” te verzamelen van andere criminelen in de underground.
Deze “tweede omleiding” oplichting varieerde van specieuze VPN aanbiedingen tot een reeks van die “gratis” telefoon deals waar alles wat je hoeft te doen is het betalen van een bescheiden levering vergoeding (£ 1,95 in de varianten die we hier zagen), waardoor de oplichters een geloofwaardig excuus hebben om uw credit card gegevens te verzamelen.
Wat te doen?
- Gebruik 2FA op elke account die je kunt. Het toevoegen van een tweede factor van authenticatie betekent dat de oplichters niet kunnen phishen uw wachtwoord alleen en vervolgens toegang tot uw account. 2FA is een klein ongemak voor u, maar een grote wegversperring voor cybercriminelen.
- Als u denkt dat het account van uw vriend is gehackt, neem dan contact met hen op via een andere methode. Antwoord niet via hetzelfde account dat u niet vertrouwt – als het een scam is, tipt u gewoon de oplichters, die tegen u zullen liegen en u vertellen dat alles in orde is.
- Als een vriend u laat weten dat uw account is gehackt, treuzel dan niet. Ga zo snel mogelijk naar uw account (zonder op links te klikken die iemand u zojuist heeft gestuurd!), ervan uitgaande dat u er nog steeds bij kunt, en verander uw wachtwoord meteen, zodat het oude wachtwoord nutteloos is voor de criminelen.
- Gebruik een wachtwoordbeheerder. Wachtwoordbeheerders helpen op vele manieren: u krijgt automatisch een ander wachtwoord voor elke site; u krijgt wachtwoorden die willekeurig zijn en niet kunnen worden geraden; het is sneller om uw wachtwoord te wijzigen als u wordt gehackt; en het is veel moeilijker om gephisht te worden omdat uw wachtwoordbeheerder niet het juiste wachtwoord op de verkeerde site zet.
- Gebruik een antivirus met een ingebouwd webfilter. Bij dit soort aanvallen wordt meestal geen malware naar uw computer gestuurd, maar wordt u er in plaats daarvan toe aangezet geheime gegevens zoals wachtwoorden vanaf uw computer te uploaden. Een webfilter helpt voorkomen dat u op valse pagina’s terechtkomt en beschermt u daarom tegen phishing. (Sophos Home heeft een webfilter – er is een gratis versie voor zowel Windows als Mac.)
