De gevaren van tweestapsverificatie
Tweestapsverificatie (2FA) wordt vaak gezien als een wondermiddel tegen phishing, social engineering, accountdiefstal en andere cyberproblemen. Het idee is simpel: door een extra stap toe te voegen aan het inlogproces, bijvoorbeeld het invoeren van een eenmalig wachtwoord (OTP), wordt je account beter beveiligd. Dit wachtwoord wordt vaak via sms, e-mail, pushmelding of zelfs een oproep verstuurd. Hoewel dit de beveiliging aanzienlijk verbetert, is het geen wondermiddel. Oplichters hebben geleerd hoe ze eenmalige wachtwoorden kunnen onderscheppen met behulp van phishing-kits en OTP-bots op Telegram. Hierdoor blijven persoonlijke accounts kwetsbaar voor aanvallen.
Hoe OTP-bots werken
OTP-bots worden bestuurd via een controlepaneel in een webbrowser of via Telegram. Ze imiteren legitieme organisaties, zoals banken, om slachtoffers te verleiden hun eenmalige wachtwoorden te delen. Zo werkt het: nadat een oplichter de inloggegevens van een slachtoffer heeft verkregen, logt de oplichter in op het account en wordt gevraagd een eenmalig wachtwoord in te voeren. Het slachtoffer ontvangt dit wachtwoord op zijn of haar telefoon. De OTP-bot belt het slachtoffer en vraagt deze code in te voeren met behulp van een vooraf opgenomen social engineering-script. Het nietsvermoedende slachtoffer voert de code in, die vervolgens naar de oplichter wordt doorgestuurd via de Telegram-bot. De oplichter krijgt zo toegang tot het account.
De belangrijkste functie van de OTP-bot is het slachtoffer bellen. Het succes van de oplichting hangt af van hoe overtuigend de bot is. Een eenmalig wachtwoord is vaak maar voor korte tijd geldig, dus de kans op het verkrijgen van een geldige code tijdens een telefoongesprek is groter dan bij andere methoden. OTP-bots bieden talloze mogelijkheden om de parameters van de oproep te verfijnen. Ze beschikken over tientallen functies, waaronder kant-en-klare en aangepaste scripts in meerdere talen, verschillende bedieningsmodi en zelfs 24/7 technische ondersteuning.
De gevaren van gelekte persoonsgegevens
Hoewel OTP-bots effectieve hulpmiddelen zijn om tweestapsverificatie te omzeilen, zijn ze nutteloos zonder de persoonlijke gegevens van het slachtoffer. Om toegang te krijgen tot een account hebben aanvallers minimaal de gebruikersnaam, het telefoonnummer en het wachtwoord van het slachtoffer nodig. Hoe meer informatie ze echter hebben over het doelwit, zoals de volledige naam, geboortedatum, adres, e-mailadres en bankkaartgegevens, des te beter. Deze gegevens kunnen op verschillende manieren worden verkregen: via het darkweb, informatie uit open bronnen en phishing-aanvallen.
Hackers zetten regelmatig databases te koop op het darkweb, waardoor oplichters inloggegevens kunnen kopen, waaronder wachtwoorden, bankkaartnummers en andere gegevens. Deze gegevens zijn misschien niet actueel, maar veel gebruikers hebben hun wachtwoord al jaren niet veranderd. Andere details blijven zelfs nog langer relevant. Phishing-aanvallen bieden echter een onmiskenbaar voordeel: de gegevens van het slachtoffer zijn gegarandeerd up-to-date omdat phishing in realtime kan plaatsvinden. Phishing-kits zijn tools waarmee oplichters automatisch overtuigende nepwebsites kunnen maken om persoonlijke gegevens te verzamelen. Hierdoor kunnen cybercriminelen in één enkele aanval alle gebruikersinformatie verzamelen die ze nodig hebben, waarbij OTP-bots slechts een onderdeel zijn van een phishing-aanval.
Bescherm jezelf tegen deze bedreigingen
Een phishing-aanval in meerdere fasen kan bijvoorbeeld als volgt verlopen: het slachtoffer ontvangt een bericht dat zogenaamd afkomstig is van een bank, winkel of andere organisatie, waarin wordt gevraagd om persoonlijke accountgegevens bij te werken. Dit bericht bevat een phishing-link. Het slachtoffer komt op een site die bijna identiek is aan de originele en voert daar de inloggegevens in, die de phisher vervolgens steelt. De aanvallers gebruiken deze gegevens om in te loggen op het echte account van het slachtoffer. Als het account door tweestapsverificatie is beveiligd, geven de oplichters een opdracht aan het configuratiescherm van de phishing-kit om een pagina voor het invoeren van een eenmalig wachtwoord op de phishing-site weer te geven. Wanneer het slachtoffer de code invoert, krijgen de phishers volledige toegang tot het echte account, waardoor ze bijvoorbeeld bankrekeningen kunnen leeghalen.
Maar dat is nog niet alles. Oplichters maken van de gelegenheid gebruik om zoveel mogelijk persoonlijke informatie te achterhalen, waarbij ze de gebruiker onder druk zetten om 'zijn of haar inloggegevens te bevestigen'. Via het controlepaneel kunnen de aanvallers in realtime het e-mailadres, bankkaartnummer en andere gevoelige gegevens opvragen. Deze informatie kan worden gebruikt om andere accounts van het slachtoffer te hacken. Ze zouden bijvoorbeeld kunnen proberen toegang te krijgen tot de mailbox van het slachtoffer met het phishing-wachtwoord. Mensen gebruiken vaak hetzelfde wachtwoord voor veel, zo niet al hun accounts! Zodra ze toegang krijgen tot de e-mail, kunnen de aanvallers echt aan de slag. Ze veranderen bijvoorbeeld het mailboxwachtwoord en vragen na een korte analyse van de mailboxinhoud een herstelwachtwoord aan voor alle andere accounts die aan dit adres zijn gekoppeld.
Om je accounts te beschermen, zijn er een aantal stappen die je kunt nemen:
- Gebruik altijd een betrouwbare service om automatisch te scannen op datalekken die van invloed zijn op je accounts en die zijn gekoppeld aan je e-mailadressen en telefoonnummers. Als er een inbreuk wordt gedetecteerd, volg dan het advies van de service om dit te verhelpen, bijvoorbeeld door direct je wachtwoord te wijzigen.
- Wees op je hoede als je plotseling een eenmalig wachtwoord ontvangt. Misschien probeert iemand je account te hacken. Raadpleeg instructies van betrouwbare bronnen over wat je in zo'n geval moet doen.
- Maak sterke, unieke wachtwoorden voor al je accounts met een wachtwoordmanager. Oplichters kunnen je niet aanvallen met OTP-bots, tenzij ze je wachtwoord weten. Genereer daarom complexe wachtwoorden en bewaar deze veilig.
- Als je een bericht ontvangt met een link om persoonlijke gegevens of een eenmalig wachtwoord in te voeren, controleer dan eerst de URL goed. Een favoriete truc van oplichters is om je naar een phishing-site te leiden door een paar tekens in de adresbalk te vervangen. Neem altijd even de tijd om te controleren dat je je op een legitieme site bevindt voordat je gevoelige gegevens invoert. Beschermingssoftware kan helpen bij het blokkeren van pogingen tot phishing-omleiding.
- Deel nooit je eenmalige wachtwoorden met iemand en voer ze nooit in op het toetsenbord van je telefoon tijdens een oproep. Houd er rekening mee dat legitieme medewerkers van banken, winkels of diensten, en zelfs wetshandhavers, nooit om je eenmalige wachtwoord zouden vragen.
- Blijf cybercriminelen een stap voor door je te abonneren op blogs en nieuwsbrieven over cyberbeveiliging om je leven in de cyberomgeving veiliger te maken.
Samenvattend, hoewel tweestapsverificatie een belangrijke beveiligingsmaatregel is, zijn er geavanceerde methoden waarmee oplichters deze kunnen omzeilen. Door bewust te zijn van deze bedreigingen en de juiste voorzorgsmaatregelen te nemen, kun je jezelf beter beschermen tegen cybercriminaliteit. Het is essentieel om sterke, unieke wachtwoorden te gebruiken, waakzaam te blijven bij onverwachte berichten en oproepen, en gebruik te maken van betrouwbare beveiligingssoftware om je persoonlijke gegevens te beschermen.
Begrippenlijst: Sleutelwoorden uitgelegd
- Tweestapsverificatie (2FA): Een beveiligingsmethode waarbij naast het invoeren van een wachtwoord ook een tweede vorm van identificatie vereist is, zoals een eenmalige code die naar je telefoon wordt gestuurd.
-
Eenmalig wachtwoord (OTP): Een wachtwoord dat slechts één keer gebruikt kan worden en vaak binnen een beperkte tijdsperiode geldig is. Het wordt meestal via sms, e-mail of een speciale app verstuurd.
-
Phishing: Een vorm van cybercriminaliteit waarbij aanvallers zich voordoen als legitieme organisaties om gevoelige informatie van slachtoffers te verkrijgen, zoals wachtwoorden en creditcardnummers.
-
Phishing-kit: Softwaretools die cybercriminelen gebruiken om automatisch overtuigende nepwebsites te maken die ontworpen zijn om persoonlijke gegevens van slachtoffers te verzamelen.
-
OTP-bot: Geautomatiseerde software die gebruikers via social engineering manipuleert om hun eenmalige wachtwoorden te onthullen. Deze bots worden vaak gebruikt door oplichters om toegang te krijgen tot beveiligde accounts.
-
Social engineering: Een techniek waarbij aanvallers mensen misleiden of manipuleren om vertrouwelijke informatie prijs te geven. Dit kan bijvoorbeeld via telefoongesprekken of e-mails.
-
Darkweb: Een deel van het internet dat niet toegankelijk is via normale zoekmachines en waar vaak illegale activiteiten plaatsvinden, zoals de verkoop van gestolen gegevens.
-
Spoofing: Het vervalsen van communicatie om het te laten lijken alsof het afkomstig is van een betrouwbare bron. Bijvoorbeeld, het tonen van een neptelefoonnummer dat lijkt op dat van een bank.
-
Voicemail: Een elektronisch systeem waarmee gebruikers ingesproken berichten kunnen ontvangen als ze een oproep niet kunnen beantwoorden.
-
Wachtwoordmanager: Software die helpt bij het genereren en opslaan van sterke, unieke wachtwoorden voor verschillende accounts, waardoor het gebruik van eenvoudige of hergebruikte wachtwoorden wordt voorkomen.
-
Cryptovaluta: Digitale of virtuele valuta die gebruikmaken van cryptografie voor beveiliging. Voorbeelden zijn Bitcoin en Ethereum.
-
Controlepaneel: Een interface waar gebruikers instellingen kunnen aanpassen en beheren. In dit geval kunnen oplichters hiermee de OTP-bot configureren.
-
Herstelwachtwoord: Een nieuw wachtwoord dat wordt aangemaakt om een vergeten of verloren wachtwoord te vervangen, vaak na verificatie via e-mail of telefoon.