Helpdesks zetten deur open voor hackers

De pc, tablet en smartphone van een Amerikaanse technologiejournalist werden afgelopen week vanop afstand gewist. De hackers deden geen gesofisticeerde cyberaanval, ze gebruikten gewoon de helpdeskprocedures bij Amazon, Google en Apple.

In nog geen uur tijd verloor Mat Honan bijna alles wat hij het voorbije jaar digitaal had verzameld. E-mails, documenten en andere notities die hij als journalist had verzameld, maar ook privé-informatie zoals alle foto’s van zijn jonge dochtertje. Honan doet op de Amerikaanse technologiewebsite Wired het volledige verhaal uit de doeken. Een aanrader, al is het niet de meest opbeurende lectuur.

Honan dacht eerst dat hackers zijn wachtwoorden hadden gekraakt via een complexe cyberaanval. Het is veel eenvoudiger gegaan. Door de helpdeskprocedures bij Apple, Google en Amazon tegen elkaar uitspelen, konden de hackers nieuwe wachtwoorden aanmaken en zo de controle krijgen over het digitale leven en de toestellen van de Amerikaanse technologiejournalist.

Achterpoortje In de cybercriminaliteit wordt die methode ‘social engineering’ genoemd. Het is te vergelijken met hoe inbrekers zich voordoen als familie van u en bij de buren de reservesleutel komen vragen van uw huis in plaats. In dit geval deden de hackers zich bij de helpdesk van Apple voor als de journalist. Daarvoor hadden ze slechts de vier laatste nummers van zijn kredietkaart en zijn facturatieadres nodig. Het adres was vrij eenvoudig online te vinden, en de nummers van de kredietkaart konden ze vinden via een online helpdeskprocedure bij de internetwinkel Amazon, waar Honan ongeveer dezelfde login heeft. Honan en zijn collega’s hebben de methode zelf ook al getest en hebben zo ook met succes toegang gekregen tot Apple-accounts van andere mensen.

Eén wachtwoord Met de gegevens konden hackers de account van Honan bij Apple wijzigen. Daar stopte het leed niet. Honan had enkele tools geactiveerd om bij diefstal of verlies zijn iPad, iPhone en Apple-computer vanop afstand te wissen. Dat werd nu tegen hemzelf gebruikt. Als de hackers hadden gewild, hadden ze volop liedjes in de iTunes Store en Mac-apparatuur kunnen bestellen op de naam van Honan.

Honan gebruikte zijn Apple-account ook als backup voor zijn profiel bij Google. Zo kregen ze toegang tot het mailadres dat hij hoofdzakelijk gebruikt. Vandaar konden ze ook zijn Twitter-profiel wijzigen.

Geen backups
Honan geeft ruiterlijk toe dat hij fouten heeft gemaakt: Hij heeft niet goed nagedacht over hoe profielen met heel belangrijke informatie aan elkaar zijn gekoppeld, hij heeft te weinig back-ups gemaakt van belangrijke informatie, enzovoort. Maar een deel van de verantwoordelijkheid ligt ook bij de aanbieders zelf, en dan vooral Apple. De volledige kredietkaartgegevens opvragen bij identificatie zou bijvoorbeeld al veel kunnen helpen.

Net als Amazon en Google slaat Apple informatie van zijn gebruikers op in datacenters, de zogenaamde ‘cloud’. Mensen willen immers hun mails en documenten kunnen lezen op een computer, smartphone en tablet, waar ze zich ook bevinden. Het nieuwe besturingssysteem van Windows zal ook een cloud-functionaliteit hebben.

Tips
Omdat ons leven zich meer en meer digitaal en online afspeelt en meer mensen verschillende hebben, is er eigenlijk geen weg terug. Er zal ook altijd een beveiligingsrisico zijn. Dit zijn enkele zaken die u zelf kan doen:

– Gebruik moeilijke wachtwoorden. Dus een combinatie van letters, cijfers en andere tekens. En geen voor de hand liggende combinaties zoals namen van familie en geboortedata.
– Gebruik verschillende wachtwoorden voor iedere service waar uw kredietkaartgegevens en andere gevoelige informatie in het profiel zitten. En zeker niet hetzelfde wachtwoord gebruiken voor e-mail, Facebook en Twitter.
– Pas op met reserve-adressen. Bij heel wat services kan u een extra e-mailadres ingeven waar u bij verlies een nieuw wachtwoord naartoe kan sturen. Daar schuilt vaak een groot beveiligingsrisico.
– Denk goed na of u diensten activeert waarbij u uw toestellen vanop afstand kan wissen. Dat kan tegen u worden gebruikt.
– Wie een account bij Google heeft voor bijvoorbeeld de Gmail-dienst, kan werken met een identificatie in twee stappen waarbij Google ook bij iedere login een gratis sms stuurt met een extra toegangscode. Dat is veel veiliger.

Maar bovenal: Zorg dat u altijd meerdere recente back-ups hebt van belangrijke informatie. Eén daarvan kan online, een andere fysiek bij u thuis, nog een andere elders.

De helpdesk van Apple zal alvast tijdelijk niet ingaan op telefonische vragen om wachtwoorden te wijzigen van Apple-accounts. Wie zijn account wil wijzigen, zal de procedure via de online-support moeten volgen. Waar onder meer de traditionele veiligheidsvragen worden gesteld.

Stijn Fockedey