In opdracht van de Consumentenbond voerde Onvio een onderzoek uit naar identiteitsfraude. Hoe makkelijk is het om de identiteit over te nemen van een persoon met alleen een emailadres als gegeven?
Drie vrijwilligers verstrekten hun naam en mailadres om zich te laten hacken door Jasper Weijts en Dick Snel van beveiligingsbedrijf Onvio. Zij kregen twee weken de tijd en mochten niet daadwerkelijk schade berokkenen en geen andere accounts of websites hacken.
Privédetective
In hun presentatie ontvouwen ze eerst hun werkwijze. Ze blijken als privédetectives te werk te zijn gegaan. ‘We hebben steeds eerst een profiel opgebouwd van de persoon door te kijken wat er online over hem of haar is te vinden’, licht Weijts toe. ‘Waar woont hij, wat doet hij voor werk, wat zijn z’n hobby’s? Vooral op sociale media is veel te vinden. Maar ook het sociale netwerk om deze persoon heen is interessant voor ons. Als je genoeg weet, kun je een gerichte val opzetten, bijvoorbeeld met een mail zogenaamd van een vriend, of over een onderwerp dat hem interesseert.’
Maar ook zonder phishingaanval is het mogelijk wachtwoorden in handen te krijgen. ‘We zoeken ook uit op welke mail- en andere diensten iemand een account heeft. Misschien kunnen we met het antwoord op de ‘geheime vraag’ een nieuw wachtwoord aanmaken. En we zijn alert op kleinere webdiensten. Die sites hebben nog weleens een lek en dat kun je dan hacken om het wachtwoord in handen te krijgen.’
Geschokt
Wie nog denkt dat het niet meer dan een onprettig idee is dat anderen in je accounts rondsnuffelen, helpt Weijts uit de droom: ‘Het mocht natuurlijk niet, maar we hadden heel wat financiële schade kunnen aanrichten.’ Hij noemt een paar voorbeelden. ‘We hadden betalingen kunnen doen tot het limiet van de creditcard en we hadden identiteitsfraude kunnen plegen door een krediet aan te vragen. Met een paspoortscan en een rekeningnummer is dat zo gepiept.’ Afpersing is een andere mogelijkheid. ‘Stel je vindt naaktfoto’s of iets anders om iemand te chanteren.
Dan kun je dat tegen iemand gebruiken. Of je dreigt iemands reputatie kapot te maken door kwalijke berichten te sturen via zijn Twitter-, Facebook- of LinkedIn-account.’ Wat de drie slachtoffers nog het meest schokt, is dat het kennelijk toch zo eenvoudig is om gehackt te worden, terwijl ze wisten dat ze doelwit waren, en terwijl ze dachten phishingmails wel te herkennen. Nabil: ‘De associatie met slechtgeschreven mails uit Nigeria of van de bank is achterhaald. De babbeltrucs zullen snel verfijnder worden denk ik’.