Internetcriminelen bedenken telkens wat nieuws om achter jouw persoonsgegevens te komen. Gelukkig wordt er ook vaak weer iets bedacht om jezelf te beschermen, zoals het inmiddels bekende Tweestapsverificatie. Maar met een zogeheten security key kun je jouw gegevens nóg beter beschermen. We leggen uit hoe het werkt en hoe jij zo’n fysieke beveiligingssleutel kunt gebruiken.
Cybercrime
Aan het begin van internet, toen we nog maar weinig accounts hadden en dus weinig wachtwoorden, voldeed een gebruikersnaam en wachtwoord. Maar we kregen steeds meer accounts met als gevolg meer wachtwoorden. Al gauw was alleen een gebruikersnaam en wachtwoord niet meer voldoende en konden cybercriminelen door allerlei trucjes snel achter je inloggegevens komen. Dat deden (en doen ze nog steeds!) door onder andere phishingmails te sturen. Met phishingmails proberen kwaadwillenden je naar een nepwebsite te lokken zodat je daar je gegevens invoert. Eenmaal met die gegevens, kunnen ze zichzelf toegang verschaffen tot je online account(s).
Tweestapsverificatie
Om jezelf beter te beschermen, werd tweestapsverificatie in het leven geroepen. Hiermee wordt een extra stap genomen bij het inloggen; zo krijg je bijvoorbeeld een code per sms die je moet invoeren om toegang te krijgen tot je account. Je hebt dus je gebruikersnaam, wachtwoord én een extra verificatie. Op die manier wordt het oplichters moeilijker gemaakt.
Sim Swapping
Maar helaas, oplichters gaan met de tijd mee en verzinnen een nieuwe techniek om achter die code op je telefoon te komen: sim Swapping. Criminelen weten toegang te krijgen tot je 06-nummer en kunnen daarmee ze alle codes ontvangen die per sms verstuurd worden. Gelukkig zit de beveiligingswereld ook niet stil en kun je dit met een zogeheten ‘security key’ tegengaan.
Security key
Een security key is een fysieke usb-sleutel die je in de computer steekt of met je telefoon verbindt. De bedoeling is dat je daarmee een inlogpoging goedkeurt. Dat gaat als volgt: de beveiligingssleutel wordt gevonden door de online dienst, die vervolgens controleert of de sleutel wel bij het account hoort. De sleutel controleert vervolgens of je je bij de juiste app of website hebt aangemeld. Als dat niet het geval is, wordt het inloggen geweigerd. De sleutel moet immers met de online dienst kunnen verbinden. Op deze manier word je beschermd tegen nepsites en phishing.
Veiligste vorm van tweestapsverificatie
De beveiligingssleutel registreer je bij diensten als Dropbox, Google, Twitter en Facebook. Volgens Laat Je Niet Hack Maken is het de veiligste vorm van tweestapsverificatie. De website raadt aan om twee usb-sleutels te hebben die je beiden koppelt aan een account. Mocht je er één kwijt zijn, dan heb je altijd een back-up sleutel. Het is voor mensen met een beveiligingssleutel verstandig om tweestapsverificatie per sms uit te schakelen. Zoals je inmiddels hebt gelezen is dit een minder veilige optie.
Een beveiligingssleutel kost doorgaans tussen de twintig en vijftig euro. Je kunt ze kopen bij verschillende webwinkels en diverse elektronicazaken.
Security key kwijt
Wie zijn security key kwijt is, kan opgelucht ademhalen, zélfs als een oplichter de sleutel in handen heeft. Als ze jouw wachtwoord niet kennen, kunnen ze er alsnog niets mee. Je wachtwoord resetten is niet van toepassing op een beveiligingssleutel. Met een security key verklein je dus het risico dat een kwaadwillende aan de haal gaat met je persoonsgegevens. Wel wordt het misschien wat lastiger om je account te kunnen resetten omdat een verificatie-stap ontbreekt, maar gelukkig hebben veel diensten verschillende reset-opties ingebouwd.
Weet je niet welke beveiligingssleutel jij moet hebben en ben je benieuwd naar de verschillen? Tech-site Tweakers heeft een uitgebreid artikel geschreven over diverse beveiligingssleutels.
Noot van de redactie
Cybercrimeinfo heeft geen enkel belang of aandelen in 'Yubco' maar kijkt enkel naar de beste oplossingen ter bestrijding van cybercrime.
Wil je meer weten over het ontstaan van de website en motivatie van de vrijwilligers van Cybercrimeinfo, lees dan hier verder.
Bron: yubico.com, laatjeniethackmaken.nl, bnnvara.nl
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Tips of verdachte activiteiten gezien? Meld het hier.
Sim Swapping gerelateerde berichten
Zet accounts om van tweestapsverificatie via SMS naar authenticator app. Waarom?
Wegens het risico van sim-swapping doen zowel eindgebruikers als banken er verstandig aan om codes voor tweefactorauthenticatie (2FA of tweestapsverificatie), waarmee erop een account kan worden ingelogd, niet via sms te versturen, maar hiervoor een app te gebruiken. Dat adviseert het Europees Agentschap voor cyberbeveiliging (ENISA).
Tien verdachten aangehouden voor 'Sim-swapping'
Criminelen hebben vorig jaar door middel van 'sim-swapping' meer dan 100 miljoen dollar (83 miljoen Euro) gestolen, zo laat Europol gisteren weten. In totaal zijn er in deze zaak inmiddels tien verdachten aangehouden. Acht verdachten werden eergisteren door de Britse politie opgepakt. De overige twee verdachten konden eerder al in België en Malta worden aangehouden.
Europol: "Sim-swapping een belangrijke 'nieuwe' trend"
Het afgelopen jaar wisten criminelen door middel van 'sim-swapping' miljoenen euro's te stelen en deze vorm van cybercrime vormt dan ook een serieus risico, zo stelt Europol in een nieuwe editie van het jaarlijkse Internet Organised Crime Threat Assessment (IOCTA). Daarin maakt de opsporingsdienst ook de zorgen kenbaar die het heeft over de impact van encryptie op onderzoeken, bijvoorbeeld in het geval van DNS over HTTPS.
Cybercriminelen aangehouden die 3,5 miljoen euro buitmaakten via Sim-Swapping
Europol heeft in samenwerking met Europese politiediensten twee bendes sim-swappers opgerold die bij elkaar 3,5 miljoen euro wisten te stelen. De eerste bende bevond zich in Spanje en bestond uit personen tussen de 22 en 52 jaar, afkomstig uit Italië, Roemenië, Columbia en Spanje.
Tweestapsverificatie (2FA) via SMS niet waterdicht
Onderzoekers ontdekten slechte authenticatie technieken voor prepaid-accounts. Vijf grote Amerikaanse prepaid telecom providers - AT&T, T-Mobile, Verizon, Tracfone en US Mobile - gebruiken slechte account verificatie procedures en technieken die hun klanten open laten staan voor SIM-swapping-aanvallen, volgens onderzoekers van Princeton University.
Aanhoudingen voor Sim-Swapping
De Amerikaanse autoriteiten hebben 14 november twee mannen opgepakt en aangeklaagd voor het stelen van cryptovaluta via 'sim-swapping'. De twee zouden naar verluidt 550.000 dollar hebben buitgemaakt of hebben geprobeerd dit bedrag te stelen, zo meldt het Amerikaanse Openbaar Ministerie.
E-sim maakt overnemen mobiel nummer door hackers eenvoudiger
Een e-sim is een elektronische simkaart die al in je telefoon of tablet zit. Het enige wat je hoeft te doen, is een abonnement op de e-sim zetten. Door een e-sim kun je meerdere abonnementen tegelijkertijd op één toestel gebruiken, bijvoorbeeld een zakelijk en privé-abonnement, maar ook een tijdelijke databundel voor gebruik in de VS. De smartphones die in Nederland verkrijgbaar zijn en e-sim ondersteunen, zijn de iPhone XS, XS Max en XR. Bij tablets gaat het om de iPad Pro en iPad Air. Het maakt voor de aanval niet uit welk apparaat het slachtoffer heeft: elke klant van T-Mobile kan een e-sim activeren. Het is niet duidelijk hoeveel Nederlanders gebruikmaken van een e-sim. Wanneer andere providers de e-sim gaan aanbieden en op welke manier, is ook nog niet bekend.
Malware ontvreemd pincodes voor Sim Swapping
Cybersecurity onderzoekers hebben een nieuwe variant van de 'TrickBot-malware' ontdekt die pincodes probeert te ontvreemden om zo het telefoonnummer van het slachtoffer over te nemen. Een aanval die ook wel 'sim-swapping' wordt genoemd. De malware heeft het vooralsnog alleen op Amerikaanse telecomklanten voorzien.
Duitse banken stoppen met tweestapsverificatie sms-codes
Verschillende Duitse banken gaan vanwege veiligheidsredenen stoppen met het gebruik van sms-codes voor internetbankieren of hebben het al uitgefaseerd. Klanten moeten straks met een TAN-generator, app of QR-code werken, zo meldt het Duitse Handelsblatt.
Nieuwe truc cybercriminelen Sim-swapping met 06-nummers
Gehackt worden via je telefoonnummer. Het kan, en dit jaar zijn al honderden Nederlanders slachtoffer geworden van deze nieuwe hackmethode 'Sim-swapping' genoemd.