Berichten

Zo herkent u WhatsApp fraude en voorkomt u oplichting

Schimmiger dan u wellicht dacht

“Wil je even €800 overmaken? Ik heb mijn vlucht gemist en ik moet een extra nacht logeren in een hotel. Ik stuur wel even een Tikkie”, een klein voorbeeld uit het script waaruit internetcriminelen hun oneliners halen. Even versturen via WhatsApp uit naam van uw zus of tante… en voor u het weet is de overschrijving gedaan en staat uw zus of tante net voor de deur om een kopje koffie te drinken. En ook al voelt WhatsApp als persoonlijk en privé, het is een sociaal medium dat internetcriminelen graag gebruiken om op slinkse manier geld aan u te verdienen.

De truc

Het trucje is eenvoudig. Gewoon een simpel berichtje waarin met spoed om geld wordt gevraagd in een crisissituatie. Een grote staking van het OV personeel, een onverwachte rekening die de afzender niet kan betalen of misschien wel het perfecte paar schoenen dat nu net is afgeprijsd… noem maar op. Om u te overtuigen zoeken criminelen online naar een foto van familie of vrienden, waardoor het bericht doet vermoeden van hen afkomstig te zijn. En al dacht u uw sociale medium goed te hebben afgeschermd… controleer maar eens opnieuw. Vaak laat ons profiel meer informatie aan vreemden zien dan we oorspronkelijk dachten. Met een urgent bericht en een gestolen profielfoto proberen criminelen u te frauderen. Voeg daar moderne technieken zoals Tikkie en Betaalverzoek aan toe en deze criminelen zijn klaar voor actie. En al was de truc vroeger gemakkelijker te herkennen (een onbekend telefoonnummer met een gestolen Facebook profielfoto), hebben criminelen tegenwoordig een manier gevonden om ook echt toegang tot uw WhatsApp account te krijgen. Door uw security code te stelen kunnen deze fraudeurs het nepbericht vanuit het echte telefoonnummer sturen.

De voicemail hacken

Hoe ze toegang krijgen tot uw WhatsApp account? Met behulp van een bijna vergeten techniek: uw voicemail. Uw WhatsApp account is beveiligd met een security code. Een unieke code die alleen aan uw account is gelinkt. Bij het installeren van WhatsApp stuurt het sociale platform een verificatie code in een sms’je naar de gelinkte telefoon. Als de verificatiecode niet wordt ingevuld, belt WhatsApp u op met een spraakbericht waarin de code wordt genoemd. Als u niet opneemt komt de code uiteindelijk op uw voicemail terecht. En dat is het moment waarop de crimineel zijn slag slaat. Dit doet hij door uw voicemail te hacken die alleen beschermd wordt door een pincode die u in de vroege jaren 2000 instelde. U kan u voorstellen dat ‘0000’ en ‘1234’ toen behoorlijk populair waren. Door het kraken van uw voicemail-pincode beluistert de crimineel uw berichten en bemachtigt de verificatiecode. En met deze informatie neemt hij zo het stuur van uw account over.

Wachtwoord veranderen

Het eerste wat u moet doen is de zwakke schakel uit de ketting halen, uw voicemail pincode aanpassen dus. In de vroege jaren 2000 wisten we misschien niet beter, maar nu wel: ‘0000’ en ‘1234’ kunnen echt niet meer. Om uw pincode te wijzigen belt u naar uw voicemail en volgt u de stappen zoals aangegeven. Als tweede verwijdert u WhatsApp en installeert u deze opnieuw. Door dit te doen start u het verificatieproces opnieuw. Dit betekent dat u een nieuwe security en verificatiecode ontvangt. En met uw nieuw beveiligde voicemail is deze code van u alleen. Ten slotte zet u nog de twee-staps-verificatie aan op uw WhatsApp account. Ga naar instellingen > account > verificatie in twee stappen. Deze beveiliging maakt het criminelen moeilijker om uw account te misbruiken. Maar geen zorgen, de zes-cijferige-code hoeft u maar af en toe in te vullen.

“En laat u niet van de wijs brengen als de zogenaamde afzender beweert geen bereik te hebben.”

Gehackt of het slachtoffer

Misschien zit u aan het andere eind van het spectrum en bent u het beoogde slachtoffer dat een nepbericht heeft ontvangen. Als u twijfelt over de echtheid van het bericht, kan u altijd even bellen met de zogenaamde afzender. En laat u niet van de wijs brengen als de zogenaamde afzender beweert geen bereik te hebben. Dan weet u eigenlijk al genoeg. Als u de ongelukkige bent die al heeft betaald doet u er goed aan om de fraudeafdeling van uw bank te bellen. Met een beetje geluk kunnen zij de overschrijving nog tegenhouden terwijl deze wordt verwerkt. En natuurlijk moet je de persoon waarschuwen van het geïnfecteerde WhatsApp account en hen vertellen wat zij kunnen doen om zelf weer aan de knoppen te zitten (ps. zie bovenstaande alinea). Of deel dit artikel met hen.

Eervolle vermeldingen

Het delen van grappige memes en gifjes van bekende bronnen, natuurlijk ga je gang. Het delen van linkjes naar (nieuws)artikelen die te goed lijken om waar te zien, liever niet. WhatsApp wordt ook gebruikt om malware en nepnieuws te verspreiden en eenmaal gedeeld gaat dit als een lopend vuurtje. Malware wordt vaak geactiveerd door op de doorgestuurde link te klikken, nepnieuws is daarentegen moeilijker te herkennen. Ons advies: niet zomaar klikken en vergaar informatie bij betrouwbare bronnen zoals NOS en NPO.

Met dank aan Nationale-Nederlanden security officer Karim Hussainali. Zoekt u naar praktische tips, omdat u nu gehackt bent? Bekijk onze Eerste Hulp bij Hack tips. 

Dagboek van een Hacker

Beste Johan,

Als je dit leest ben ik allang weg met jullie intellectueel eigendom. Maar om je in de toekomst te behoeden, heb ik een dagboek voor je bijgehouden.Bedankt me later.

Groeten,

Saai Bert

8 februari

Yes, vandaag gebeld door een nieuwe opdrachtgever. Hij wil dat ik jullie Intellectual Property ontfutsel. Daarnaast moet ik het bedrijf ontregelen zodat hij een goede voorsprong krijgt. Ik heb er 7 maanden de tijd voor dus ik kan dit goed aanpakken. Zin in!

Verkennen

12 februari

Eerst kijk ik naar jullie verdediging. Ik kijk naar de opbouw van de e-mailadressen (was ik snel achter via de website: voornaam.achternaam@organisatie.com) en naar LinkedIn. Ik zie gelijk dat jij, Johan, vol trots een taart-foto plaatst omdat “de Office365 implementatie van start gaat”. Ha, bedankt…

14 februari

Valentijnsdag. Ik ben gewoon met een bos rozen aan de balie gaan staan – “ik kom deze persoonlijk bezorgen voor Johan”, toen mocht ik door lopen. Social Engineering noemen ze dat, maar ik noem het gewoon “lef ”. Ik heb een USB stick op het toilet gelegd, hopelijk dat iemand hem inprikt.

20 februari

Thuis bekijk ik dagenlang jullie digitale beveiliging. Met een poortscan kijk ik welke poorten direct bereikbaar zijn vanaf internet. Ik werk zorgvuldig, ik neem de tijd. Want ik heb de tijd.1 maart
Helaas, niemand heeft mijn USB stick van het toilet ingeprikt dus schakel ik over naar plan B.

Indringen

3 maart

Vandaag ga ik lekker vissen. I love it, the game is on. Ik heb een prachtig mailtje getikt over Office365, ik weet dat iedereen bij jullie hier nu mee bezig is dus de kans dat iemand klikt is groot. Mijn mail is niet van echt te onderscheiden. Ik zet er een link bij met het verzoek vandaag nog Officce365 te activeren.Wow een uur later en bam, I am in. Hoera. Door de klik is er een code achtergelaten. Met een stukje code dat ik via een simpel Word Macrotje heb ingebakken, zet ik nu de communicatie met het netwerk op. Ik ga maar eens rustig met een biertje in de hand en de voeten op tafel jullie netwerk ontleden en uittekenen. Waarschijnlijk duurt het nog maanden voordat het opvalt.

Laterale beweging

5 maart

Handen uit de mouwen, ik ga zo veel mogelijk systemen proberen te bereiken en me daarin nestelen (heerlijk woord toch, nestelen). Mijn doel vandaag: gebruikersaccounts onder mijn beheer krijgen, oftewel: controle. Ik verken rustig het netwerk. Jullie zullen mij voorlopig niet door hebben want ik gebruik alleen geautoriseerde gebruikersaccounts. Ik laat wat passwordsprays los, zo kan ik lekker geautomatiseerd gebruikersnaam en wachtwoord combinaties uitproberen op jullie systemen. Tevens hop ik van het ene naar het andere systeem omdat er geen netwerk- of systeemsegmentatie heeft plaatsgevonden.18 april
Ik heb bestandsservers inmiddels gevonden en ook wachtwoordbestanden gelokaliseerd. Het hele netwerk heb ik netjes in kaart gebracht, ik ben immers een nette jongen, Johan. Mijn macht over de systemen en accounts is nu echt groot. Lekker gevoel.

Privilege escalatie

22 mei

Via bestaande gebruikersaccounts heb ik toegang tot bestanden. Volgens mij heeft nog niemand mij door. Het is net een puzzel, en daar ben ik dol op. Ik ben systematisch bezig geweest om simpele wachtwoorden op ‘admin-accounts’ te kraken en dat is gelukt. Ik heb nu volledige controle over systemen en kan alle informatie verkrijgen die horen bij die ‘admin-accounts’. Yes: datalek is een feit. Ik heb macht én ben onzichtbaar want ik doe het netjes met bestaande accounts. Goede combinatie.

Exfiltratie

22 juni

Zo, het harde werk is gedaan, nu is het een inkoppertje. Ik werk geraffineerd alle bestanden naar buiten. Ik ben inmiddels zo lang op het netwerk dat ik exact weet wanneer de back-up procedures en service-windows gestart worden. Precies op die momenten sla ik mijn slag. Bingo, intellectueel eigendom in de pocket.

Bij jullie zal dit moment, het moment van exfiltratie, later door de recherche “dag nul” genoemd worden. Maar voor mij is het dag L.O.L.

Zo. Weer een missie geslaagd. Ik laat nog wat “grapjes” achter, zoals deze brief die nu uit jullie printer rolt, en daar ga ik.

Tijd voor een welverdiende vakantie.

Dag mijn Johan!

Tot nooit.

* Scenario en naam zijn gefingeerd maar gebaseerd op de werkelijkheid

Wilt u meer over  cybercriminaliteit? 

Dit begrijpen wij zeker! Cybercriminaliteit is een breed begrip. Van hacks tot aan malware en fraude. Lees onze blogs vol met feiten, tips en nieuws!

>> Naar de blogs