2. Hoe breken ze in?

Een hacker maakt altijd gebruik van de zwakste schakel. En als we het over beveiliging hebben dan ben jij zelf de zwakste schakel.

DDoS aanval

Je hoort misschien wel eens van een DDoS aanval. Daarbij worden websites en andere internetdiensten plat gelegd door ze zo vaak te benaderen dat ze dat niet aankunnen. Dat gebeurt vanuit een heleboel computers en andere slimme apparten (denk aan webcams die op internet zijn aangesloten) tegelijk. Daarvoor is dus de hack geweest om gebruik te kunnen maken van bijvoorbeeld jouw computer. Een DDoS is geen inbraak.

1. Website kraken

Hackers kraken een website waar jij een profiel hebt. Heb je daar ook een wachtwoord opgeslagen en heeft de website dit niet goed genoeg beveiligd dan kunnen ze jouw wachtwoord achterhalen. Hackers gaan vervolgens kijken of jij bij je mail of sociaal media account dezelfde gebruikersnaam en wachtwoord gebruikt.

2. Phising

voorbeeld

Dit is een vorm van internetfraude. Je bouwt zo nauwkeurig mogelijk iemands website na en vraagt dan om daar in te loggen.

Voorbeeld: link naar niet veilig inlogformulier

Hier inloggen is beslist niet veilig. Je kan dit voor de gebruiker volledig verbergen. Door je daarna door te sturen naar wel de juiste website.

3. Ransomware

voorbeeld

Dit is software die vaak in een bijlage van je mail zit. Of die je via een link in de mail download. De software neemt de controle van je computer over en versleuteld de bestanden. Alleen als je betaald kan je weer bij je bestanden. Er moet worden betaald met bitcoins. Deze vorm van criminaliteit treft vooral bedrijven. De reden is dat daar vaak makkelijker en meer geld is te verdienen. Bedrijven kiezen namelijk vaker voor betalen omdat het financieel verlies dat ze lijden door de aanval vaak heel groot is.

Ransomware kan verstopt zitten in documenten die je download. Denk dan aan Word, PowerPoints of pdf bestanden. Dat komt omdat je in deze bestanden script kunt opslaan. In Office bestanden (Word en PowerPoint) worden dit macro's genoemd. Het openen van deze documenten in een viewer (dus een pdf in de browser bekijken) is over het algemeen veiliger omdat daar deze scripts niet worden uitgevoerd.

4. Virussen of malware

In de beginjaren was een virus vaak een hobbyproject van een zolderkamerprogrammeur die daarmee computers van anderen vernielde. Tegenwoordig is het de bedoeling dat de maker er rijker van wordt. Met virussen en malware kan iemand anders toegang krijgen tot je computer.

Naast het daarna kunne plaatsen van Ransomware is er nog een manier om geld te verdienen. Je kan namelijk worden toegevoegd aan een botnet. Met een botnet kunnen bijvoorbeeld DDoS-aanvallen worden uitgevoerd.

Er zijn nog wel andere mogelijkheden waarvoor malware interessant is voor criminelen.

  • Browser hijackers: klikken op advertenties van de hacker zodat deze geld kan verdienen.
  • Keyloggers: alle toetsaanslagen vastleggen, denk aan toegang tot accounts krijgen.
  • Rogueware: doen zich voor als goede beveiligingssoftware en detecteren een probleem om vervoglens dure nepsoftware te verkopen.
  • Spyware: er wordt informatie verzameld over bijvoorbeeld het surfgedrag. Deze informatie is geld waard voor adverteerders.
  • Adware: er worden ongwenste advertenties getoond.

Grote websites verspreiden malware via advertenties

5. USB stick (of cd/dvd's)

Veel bedrijven hebben het gebruik van USB sticks verboden. Alleen al het aansuiten van een USB stick kan tot een besmetting leiden van de computer. Dat heeft met de 'autorun' en 'autoplay' functies te maken waarmee usb sticks automatisch worden gestart. Tegenwoordig wordt er wel eerst gevraagd of je wil dat de usb stick automatisch start. Je gebruikt deze functie bijvoorbeeld voor het afspelen van muziek. Daarnaast kunnen er bestanden op een usb staan die je verleiden om ze toch te openen (vergelijkbaar met phising).

Er is nog een reden om de USB sticks te verbieden en dat is dat je ze kan verliezen. Data is vaak zonder beveiliging toegankelijk op usb sticks. Voor opslag zijn veel betere alternatieven nu iedereen toegang heeft tot de cloud.

100% voorkomen dat je ergens wordt gehacked kan niet. Je hebt niet overal controle over. Je kan wel de schade beperkt houden.

Beantwoord de volgende vragen

  1. Doe de test Trucs met urls.
  2. Hoe controleer je of de mail betrouwbaar is?
  3. Wat vind je ervan dat bedrijven betalen aan criminelen?
  4. Hoe kan je zien dat inloggen met bovenstaande link (zie inloggen bij phishing) niet oké is.
  5. Welk risico zit er in pdf documenten?
  6. Welk risico zitten er in Word of PowerPoint bestanden?
  7. Controleer jij de beveiliging wel eens als je ergens ingelogd?

1. Voor wie beveiligen? 3. Voorbeeld