Dit zijn de drie grootste cybergevaren voor de moderne mens

Zelfs een broodrooster zoekt tegenwoordig contact met internet. Al die slimme apparaten vormen evenzovele uitnodigingen voor digitale insluipers. Drie cybergevaren die de moderne mens belagen en wat u eraan kunt doen.

Al die slimme apparaten vormen evenzovele uitnodigingen voor digitale insluipers. Beeld Rein Janssen

Het luxueuze Seehotel Jägerwirt in Oostenrijk heeft er genoeg van en besluit na de zoveelste hack de publiciteit te zoeken. Inventieve hackers hebben zowel het reserveringssysteem als het elektronische sleutelsysteem gekraakt. Gasten kunnen hun kamer niet meer in. De directeur besluit de criminelen hun zin te geven en 1.500 euro losgeld te betalen, uit te keren in niet-herleidbare bitcoins. Het bedrag is met zorg gekozen door de criminelen: net niet zo hoog dat het zou lonen om de eigen it-afdeling aan het werk te zetten. Het is in elk geval verreweg de snelste oplossing om het hotel weer draaiend te krijgen. De eigenaar heeft zijn lesje geleerd, zegt hij vorige maand. Hij wil weer ouderwetse fysieke sleutels gaan gebruiken. En hij installeert een betere firewall.

De hack is illustratief voor de gevaren die tegenwoordig op de loer liggen. Criminelen verdienen een goede boterham met afpersing. Nu gebeurt dat nog bijna altijd nadat 'ouderwetse' computers zijn gekaapt, maar in toenemende mate vormen alle apparaten in huis een risico. Alles wordt immers op internet aangesloten. Internet der dingen wordt daarmee Risico der dingen. Wat zijn de drie grote gevaren?

1. Ransomware

Ransomware betekent letterlijk: losgeldsoftware. Criminelen besmetten een computer met malware, kwaadaardige code. Het gevolg is dat ofwel de hele computer op slot gaat ofwel dat de bestanden die erop staan versleuteld worden. Pas als de eigenaar losgeld betaalt, kan hij zijn computer weer opstarten of bij zijn persoonlijke documenten en foto's.

Klinkt exotisch? Dat is het niet meer. Beveiligingsexperts noemen ransomware als grootste bedreiging. 'Op afstand het grootste gevaar', zegt bijvoorbeeld Pieter Lacroix van beveiliger Sophos. Concurrent Kaspersky schat dat het aantal gevallen van ransomware in 2016 verdrievoudigde.

Het scherm dat internetters te zien krijgen als ze besmet zijn met de Nagini Ransomware. Beeld Sophos

De reden voor deze groei is simpel: er valt veel geld mee te verdienen. Volgens recente schattingen verdienden criminelen het afgelopen jaar maar liefst 1 miljard dollar met deze vorm van chantage, waarvan zowel consumenten als bedrijven het slachtoffer zijn.

'Als je alleen al naar de afgelopen twee maanden kijkt, zijn de ontwikkelingen nauwelijks bij te houden', zegt Lacroix. De afpersers gaan daarbij steeds professioneler te werk. Bij de vorige maand ontdekte ransomware Spora bijvoorbeeld komt het slachtoffer op een tamelijk vriendelijk ogende site waar een aantal opties wordt geboden. Alvast twee bestanden terugkrijgen? Dat kan. Helemaal gratis. Maar wie al zijn bestanden terug wil, of helemaal ontsmet wil worden, moet uiteraard steviger de portemonnee trekken. Er wordt zelfs geschermd met een heuse helpdesk.

Nog een voorbeeld: om zoveel mogelijk slachtoffers te maken geven sommige criminelen tegenwoordig ook de optie te betalen door vrienden te laten besmetten. Wat is een vriend waard in ruil voor toegang tot je bestanden? Een cynische vraag die tegenwoordig werkelijkheid is.

Een andere innovatie is 'ransomware as a service'. Wie geen verstand heeft van malware, kan zo toch de cybercrimineel uithangen. Hij neemt een standaardpakketje af en draagt 30 procent van de winst af aan de maker van het pakket. Alsof het een gewone computerdienstverlener is.

De belangrijkste tip van experts: maak altijd backups. Maar daarop hebben de innoverende criminelen weer wat gevonden. Tegenwoordig dreigen ze ook dat de gevonden bestanden openbaar worden gemaakt. Dit is dus niet afdoende. Nadenken is dan ook het devies. Niet zomaar ergens op klikken, al klinkt het nog zo aantrekkelijk en lijkt het een linkje naar een interessante app, foto of video in een mail die afkomstig is van een bekende. Ook is het verstandig om zelf bestanden te versleutelen, zeker als die persoonlijke informatie bevatten. En verder zijn Word en wifi ook niet niet zonder risico.

Wie ondanks al deze maatregelen toch besmet raakt, rest het devies 'rustig blijven'. Het is niet raadzaam direct het gevraagde bedrag (meestal een paar tientjes) te betalen, omdat je nooit zeker weet dat je daarna helemaal schoon bent of zelfs dat je je bestanden werkelijk terugkrijgt.

Webbeveiligers hebben gereedschap om onder de gijzeling uit te komen. Kaspersky heeft bijvoorbeeld het gratis WindowsUnlocker waarmee een computer weer gewoon opstart. Lastiger is het voor losse bestanden die door criminelen versleuteld zijn. Een antivirusprogramma moet op zoek naar de malware en vervolgens is een backup verreweg de beste optie om weer toegang tot al die mooie foto's te krijgen.

Marsjoke Ransomware Beeld Sophos

2. Internet of things

Internet der dingen is gewoon: apparaten die aan internet worden gehangen. Was dat vroeger voorbehouden aan de pc en later het mobieltje, inmiddels doen ook deurbellen, koelkasten, horloges, beveiligingscamera's, muziekinstallaties en auto's vrolijk mee. Omdat het kan. Soms is dat handig, maar nooit zonder gevaar.

'Het potentiële risico is gigantisch', weet Lacroix van Sophos. 'Veel producenten willen goedkope spullen op de markt brengen. Een chip kost niets. Maar aan veiligheid wordt onvoldoende gedacht, terwijl de consument zich niet bewust is van de risico's.'

De voorbeelden zijn er nu al. Het hotel in Oostenrijk, maar ook dichter bij huis: veel beveiligingscamera's zijn zelf niet goed beveiligd waardoor hackers eenvoudig kunnen meekijken.

Een hoofdstuk apart vormt de auto. Onderzoekers van de Universiteit Leiden, de Technische Universiteit Delft en De Haagse Hogeschool waarschuwden deze week nog voor de risico's van deze 'rijdende computers'. 'Via internet is het vrij gemakkelijk om toegang te krijgen tot de ict-ruggegraat van de auto', meent onderzoeker Herbert Leenstra. In 2015 lukte het hackers om in te breken in een rijdende Amerikaanse Jeep Cherokee. Ze konden de remmen blokkeren en de snelheid van het voertuig aanpassen.

Slimme apparaten zullen in toenemende mate worden gebruikt voor DoS-aanvallen. Internetkoelkasten worden dan bijvoorbeeld onderdeel van een botnet dat door criminelen kan worden ingezet. Maar er is ook goed nieuws. Beveiliger F-Secure ziet dit pas op grote schaal gebeuren in 2018. Dit geeft de cybersecurityindustrie, wetgevers en apparaatmakers nog even de tijd om goed samen te werken om de slimme omgeving waaraan we werken veilig te maken.

Soms is het knulligheid of laksheid van de fabrikanten, maar volgens hoofdonderzoeker Mikko Hypponen van F-Secure hebben bedrijven er vaak ook een belang bij. Bedrijven die data verzamelen en exploiteren krijgen steeds meer toegang tot het dagelijks leven van consumenten. Deze bedreiging voor de privacy van de consument wordt groter door zoiets simpels als een broodrooster, zegt Hypponen. 'Het wordt interessant voor de fabrikant als bruikbare gebruiksgegevens worden doorverkocht aan een datawarehousingbedrijf.' Uw gegevens zijn geld waard.

En wat kan de consument zelf doen? De meest radicale stap is de apparaten van internet halen. Bij een broodrooster is dat wellicht niet zo'n gek idee. Het minste is in elk geval om direct na het uitpakken van de doos met het glanzende nieuwe apparaat de standaardwachtwoorden te veranderen.

3. Phishing

Een inmiddels vertrouwd gevaar is phishing. Mailtjes die zogenaamd van uw bank komen bijvoorbeeld en waarin gevraagd wordt in te loggen. Wie nietsvermoedend op de link klikt, komt op een nagebouwde site terecht van de bank in kwestie. En wie vervolgens zijn gebruikersnaam en wachtwoord intikt, geeft zijn account in verkeerde handen.

Deze vorm van cybercriminaliteit komt nog steeds veel voor. De mailtjes worden steeds professioneler. Een keurig logo, geen ge-jij en ge-jou meer en zinnen waarin de woorden in een logische volgorde staan. Een goed voorbeeld is de mail die aan Gmail-gebruikers wordt verstuurd, ogenschijnlijk afkomstig van een van de contactpersonen. Wie op een bijlage klikt, wordt naar een authentiek ogende inlogpagina van Gmail geleid. Met de mededeling: u bent uitgelogd, graag even opnieuw inloggen. Volgens de site Securityweek is deze poging zo geraffineerd dat zelfs technisch onderlegde internetters erin zijn getrapt. Ook Apple en Microsoft zijn gewilde doelwitten voor zulke aanvallen.

De beste methode om inloggegevens niet in verkeerde handen te laten vallen: vertrouw niets en klik nergens op. 'Ga er maar vanuit dat alles fake is', in de woorden van Pieter Lacroix. Wie ergens wil inloggen, doet er verstandig aan om zelf het webadres in de browser in te tikken.

Verder bieden bedrijven als Google, Apple en Microsoft alle een betere beveiliging aan in de vorm van tweewegverificatie. Er is dan een extra stap nodig om toch te kunnen inloggen. Dat is minder gebruiksvriendelijk, maar wel veel veiliger. Wie geen zin heeft in dat gedoe, zal in toenemende mate slachtoffer worden van data- of privacyverlies.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 de Persgroep Nederland B.V. - alle rechten voorbehouden