Menu

8) Wil je nog verder gaan?

Wil je nog verder gaan?
Wil je nog verder gaan?

Als je voorgaande stappen hebt doorgenomen dan ben je en heel eind gekomen. Je kennis over veiligheid op het internet is dan bovengemiddeld, maar, wil je nog verder gaan? Dat vereist echter enige technische kennis. We willen je dit toch niet onthouden. Daarom dit hoofdstuk waarin spearphishing, versleuteling, extra sterke wachtwoorden, tweetrapsverificatie zonder sms, automatisch vergrendelen, veilig bellen, Protonmail, TOR, PGP, OpenWRT, Signal, het privacyscherm, Tails en Cubes., je kunt nog meer doen

Het is belangrijk om na te denken over jouw threat model, oftewel wat voor jou de gevaren zijn. Ben je een vrouw op het internet? Dan kan het zijn dat je vervelende mannen achter je aan krijgt. Ben je een journalist? Dan is het mogelijk dat de overheid je in de gaten houdt. En ben je iemand met een computer en bankrekening? Je snapt hem al: iedereen kan een doelwit zijn. Daarom: wil je nog verder gaan?

Neem gepaste maatregelen met betrekking tot jouw threat model. Er zijn heel veel maatregelen in deze handleiding die iedereen zou moeten nemen, omdat veel gevaren voor iedereen gelden. Maar als activistische feminist met een Twitter-account is het waarschijnlijk stukken belangrijker dat je jouw huisadres en mobiele telefoonnummer afschermt dan voor het gros van de mensen op Twitter.

Elke situatie is anders en vergt een andere aanpak. Er is dan ook geen gouden regel die je tegen alles beschermt. Stel: je denkt dat je gewelddadige partner jou in de gaten houdt, bijvoorbeeld door in te loggen op je e-mail of via WhatsApp Web mee te lezen met jouw berichtjes. Dan kun je beter de chatfunctie van het spelletje Wordfeud gebruiken om een vriend te informeren over jouw situatie, een communicatiemiddel dat je partner hoogstwaarschijnlijk niet in de gaten houdt.

Spear phishing: online fraude met precisie

Cybercriminelen willen je inlog- of betaalgegevens. Ze worden steeds gehaaider om dat te bereiken. Een truc die we steeds vaker zien: spear phishing. Daarom moet je verder gaan.

Vreemde mailtjes in je inbox

‘Geachte Klant,
We hebben TAN -functie uw en tan codes geblokkeerd. Dit wordt doen wij om veiligheidsredenen. Log direct in om de blokkering op te heven.’

Als dit de aanhef is van een e-mail van je bank, gaan er waarschijnlijk direct alarmbellen rinkelen. Steeds minder mensen klikken dan ook op de link die ze zo dringend wordt voorgehouden, mede dankzij voorlichting en media-aandacht voor deze vorm van fraude. 

Helaas merken de criminelen achter dit soort acties dat ook. En dus worden ze steeds gehaaider. Een opkomende vorm van oplichting is spear phishing.

Wat is spear phishing?

Het op grote schaal rondsturen van fraudeleuze mails onder de naam van een ander bedrijf met als doel om inlog- en betaalgegevens te bemachtigen, staat bekend als phishing. Kenmerkend zijn de dwingende toon van de mails (je moet nú handelen) en de algemene aanhef (de mail wordt immers naar veel mensen tegelijk gestuurd). Dat laatste is anders bij spear phishing. Er wordt geen groot net meer uitgeworpen maar individuen worden heel gericht getarget. De cybercriminelen doen wat research naar je op internet en haken in hun mail of telefoontje in op zaken die ze over je ontdekken.

Hoe herken je (spear) phishing?

Als je alert bent op deze zaken, kom je al een heel eind in het herkennen van (spear) phishing.

 

1. Verwijzing naar iets herkenbaars

Bij ‘gewone phishing’ is het je bank of een webwinkel die je zogenaamd mailt. Daardoor ben je geneigd de mail te openen. Spear phising gaat een stapje verder. Je hebt bijvoorbeeld op social media iets gezegd over een online aankoop. Vervolgens krijg je een phishing mail specifiek over deze aankoop. Geef je eenmaal je inlog of wachtwoord, dan gaan criminelen ook je andere accounts af en testen varianten op je wachtwoord. Heel geraffineerd en daarom gevaarlijk.

 

2. Je wordt gevraagd ergens op te klikken

Meestal een link die voert naar een nepwebsite die erg lijkt op de originele website van je bank of het bedrijf dat je kent. Op die website wordt je gevraagd in te loggen of gegevens achter te laten. Het komt ook voor dat je (ongemerkt) een programma installeert op je pc (malware) dat van daaruit inloggegevens onderschept.

 

3. De mail is/was slecht geschreven

Vroeger werden veel mails door Google Translate gehaald maar tegenwoordig zijn er ook exemplaren in keurig Nederlands. Goed blijven opletten dus.

 

4. Het mailadres van de afzender wijkt af

Denk goed na over wat een logisch mailadres zou zijn voor een instelling of bedrijf. Meestal iets als [email protected] Heet de afzender heel anders, wees dan op je hoede. Overigens worden de phishers steeds geraffineerder en lijken ook steeds vaker de mailadressen echt. 

 

5. Het is dringend

Criminelen willen natuurlijk dat je snel hapt en spelen daarom in op je angsten en onzekerheden. ‘Als u niet direct inlogt, wordt uw pas geblokkeerd.’ ‘Als u niet snel terug mailt, komt uw bestelling niet op tijd.’

Wat kun je ertegen doen?

Wees altijd oplettend als iemand om wachtwoorden, inlog- of betaalgegevens vraagt. Geef ze nooit zomaar. Mail of bel liever het officiële nummer van het bedrijf om te vragen wat er aan de hand is. 
Om spear phishing te voorkomen moet je verder goed inzicht hebben in de gegevens die je achterlaat op internet. 

  • Wees voorzichtig met wat je online zet en wat je openbaar maakt
  • Zorg dat je wachtwoorden niet te veel op elkaar lijken, liefst voor elk account een eigen (sterk) wachtwoord
  • Hou de updates van je besturingssystemen en browser goed bij

Macbooks en iMacs

Je kunt Macbooks en iMacs met één druk op de knop versleutelen door FileVault in te schakelen. Het is enorm simpel en zorgt ervoor dat iemand die jouw laptop vindt of steelt niet bij je privébestanden kan. Daarom: wil je nog verder gaan? Schakel deze functie dus direct in.

Windows

Bij Windows is het een ander verhaal. Al jaren maakt Microsoft zijn versleutelingsdienst Bitlocker alleen in de Pro-versie van Windows beschikbaar. Dat is precies de versie die consumenten nauwelijks gebruiken.

Er zijn gelukkig goede alternatieven, waarvan Veracrypt de veiligste en betrouwbaarste optie is. Zorg ervoor dat je een backup maakt voordat je begint met het versleutelen van je harde schijf. Het soms urenlang durende versleutelingsproces kan fout gaan en met een backup heb je dan altijd je bestanden nog.

Backups

Over backups gesproken: ook die kun je versleutelen. Denk bijvoorbeeld aan een externe harde schijf die je met Veracrypt versleutelt. Een goede app is Cryptomator dat bestanden direct versleutelt en naar de cloud uploadt. Op die manier staan al jouw belangrijke bestanden veilig versleuteld in de cloud. Bewaar je wachtwoord van de backup goed: als je deze kwijtraakt heb je geen toegang meer tot jouw bestanden.

De Diceware-methode wordt door experts gebruikt om een zeer sterk wachtwoord te maken. Diceware maakt gebruik van de willekeurigheid van het gooien van dobbelstenen en een lange lijst met woorden. Hier vind je een lijst met Nederlandse woorden, samengesteld door de Vlaamse techneut Remko Tronçon.

Je begint door met de dobbelsteen te rollen. Doe dit vijf keer achter elkaar en noteer bij iedere worp het getal dat je gooit. Je krijgt dan een vijfcijferige reeks die correspondeert met een woord op de hierboven genoemde lijst. Stel, je gooit 3-5-5-5-4, dan is je woord kwibus.

Dit proces herhaal je zeven keer om écht veilig te zijn. Je krijgt dan een reeks met zeven compleet willekeurige Nederlandse woorden, zoals kwibus teugel flits augurk bagger zondag nylon. Wiskundig gezien is de Diceware-methode op dit moment de veiligste manier om een wachtwoord te maken dat je ook kan onthouden.

Tweestapsverificatie via een sms’je is niet heel veilig. Niet alleen kunnen sms-berichten worden onderschept, een aanvaller kan ook proberen om jouw telefoonnummer over te nemen door de telecomprovider om de tuin te leiden. Daarom: wil je nog verder gaan?

We hebben het er al eerder over gehad in het hoofdstuk: “3) Wat kun jij doen

De veiligste optie voor tweestapsverificatie is een app die inlogcodes op je toestel genereert, zoals 1Password, LastPass Authenticator, Authy of Google Authenticator. Kijk wel uit met die laatste: als je jouw telefoon kwijtraakt of reset, ben je al je inlogcodes kwijt. Bij de andere apps worden jouw inlogcodes tussen je apparaten gesynchroniseerd.

De andere optie is om een fysieke sleutel te gebruiken, een zogeheten Yubikey (35 euro). Deze steek je in je computer of verbind je met je smartphone om de inlogcode in te voeren.

Sommige wachtwoordbeheerders bieden de mogelijkheid om op websites automatisch je wachtwoord in te vullen. Dat is niet veilig. Een aanvaller zou een wachtwoordbeheerder kunnen foppen met een neppagina. Daarom kun je deze optie, die je onder andere in LastPass vindt, uitschakelen. Zo bepaal je zelf wanneer jouw wachtwoord bij een website wordt ingevoerd. Daarom: wil je nog verder gaan?

Ook is het verstandig om je wachtwoordbeheerder automatisch te laten vergrendelen nadat je de app een X aantal minuten niet hebt gebruikt. Op die manier voorkom je dat je digitale kluis met al je wachtwoorden langer open blijft dan nodig.

Smartphones zijn ideale spionage-apparaten. Opsporingsdiensten kunnen je telefoon tappen en de locatie ervan opvragen, hackers kunnen inbreken en naast je locatie bekijken ook de microfoon of camera inschakelen. Wees hier bewust van.

Android en iOS houden standaard bij waar je allemaal bent geweest en deze gevoelige data kan met derden worden gedeeld. Je kunt deze optie uitschakelen bij zowel Android als iOS, waarna je telefoon niet meer constant bijhoudt waar je bent. Dat weerhoudt een opsporingsdienst of hacker er echter niet van om achter jouw locatie te komen.

Eén van de extreme maatregelen die je kunt nemen is je telefoon uitschakelen en in een Faraday-hoesje (die kun je zelf knutselen) of magnetron (zet hem niet aan) stoppen. Dat is de enige manier om er zeker van te zijn dat niemand jouw locatie kan peilen of microfoon kan afluisteren.

Veel chat-apps bieden aan om al je chatgesprekken naar de cloud  te backuppen, zoals Google Drive en iCloud. Kijk hiermee uit. Alle berichten worden onderweg naar de ontvanger versleuteld met end-to-end-encryptie, maar zodra ze op jouw telefoon staan vervalt deze versleuteling, anders kun je ze niet lezen. Als je dan een backup maakt, worden jouw chats in leesbare vorm en dus zonder versleuteling naar de cloud geüpload. Een opsporingsdienst kan jouw chatgeschiedenis opvragen. Houd er ook rekening mee dat jouw berichtjes in een onversleutelde chatbackup van één van jouw contacten kan kunnen staan. Daarom: wil je nog verder gaan?

Het is belangrijk om je mobiele telefoonnummer goed te beschermen. Dit nummer geeft in veel gevallen toegang tot inlogcodes of het resetten van je wachtwoord. Hackers kunnen je telecomprovider opbellen en zich voordoen als jou, om vervolgens gevoelige informatie buit te maken en in sommige gevallen je mobiele telefoonnummer in handen te krijgen. Daarom moet je verder gaan. Vraag aan je telecomprovider of je een wachtwoord in kunt stellen voor de klantenservice. Zodra je dan telefonisch iets wilt wijzigen, moet je dit wachtwoord uitspreken voordat je wordt geholpen.

Als je veilig wilt bellen zonder via een telefoontap afgeluisterd te worden, dan is het aan te raden om Signal te gebruiken. Bij Signal worden telefoongesprekken versleuteld met end-to-end-encryptie. Voor veel mensen is deze maatregel overdreven, maar voor risicogroepen als journalisten en advocaten kan het soms nodig zijn. Daarom: wil je nog verder gaan?

Bellen via Signal (en eventueel WhatsApp) beschermt je ook tegen IMSI-catchers. Dit zijn apparaten die een telefoonmast imiteren, waarna jouw telefoongesprekken en berichtjes via dit apparaat worden afgetapt. IMSI-catchers worden meestal door opsporingsdiensten ingezet, maar zijn ook door hackers in elkaar te knutselen.

ProtonMail is momenteel één van de meest gebruiksvriendelijke diensten om versleuteld te e-mailen. De end-to-end-encryptie geldt echter alleen wanneer ProtonMail-gebruikers met elkaar mailen. Bij andere e-mailadressen, zoals Gmail of Outlook, vraagt ProtonMail of je een wachtwoord wilt instellen. De ontvanger kan de e-mail alleen openen met dat wachtwoord. Op die manier voegt ProtonMail een extra beveiligingslaag toe. Een account met 500MB is gratis, voor meer opslagruimte en functies betaal je tussen de 5 en 20 euro per maand.

De Tor-browser stuurt jouw internetverkeer langs verschillende computers. Op die manier wordt je privacy beschermd: websites weten niet waar je vandaan komt en je provider ziet niet wat jij op het internet doet. Dat is handig voor sommige Nederlanders, maar soms levensreddend in landen als Iran en Rusland. Naast anonimiteit maakt Tor het ook mogelijk om geblokkeerde websites te bezoeken, wat in een land als Turkije erg belangrijk is. Daarom: wil je nog verder gaan?

Tor biedt ook toegang tot het dark web, het gedeelte van het internet dat je met een normale browser niet kunt bezoeken. Op het dark web vind je voornamelijk marktplaatsen voor drugs en wapens, websites waar kinderporno wordt gedeeld en nazistische communities.

Dat is het nadeel van de anonimiteit die Tor biedt: het kan ook door kwaadwillenden gebruikt worden.

Bedenk goed of en wanneer je Tor nodig hebt. Ga je een misstand melden aan de media? Gebruik dan Tor via de openbare wifi in een koffietentje om er zeker van te zijn dat je jouw melding zo anoniem mogelijk doet. Het internet is met de Tor-browser wel een heel stuk trager, dus ga er niet Netflix mee streamen. Daarnaast zien websites dat je met Tor surft, waardoor ze soms jouw inlogpogingen blokkeren. Het is dan ook aan te raden om niet met Tor te internetbankieren.

PGP, dat staat voor Pretty Good Privacy, wordt gebruikt om de inhoud en bijlagen van e-mails te versleutelen met end-to-end-encryptie. Het is al jaren één van de sterkste vormen van encryptie, maar ook ontzettend ingewikkeld in gebruik. Denk goed na of je PGP echt nodig hebt, anders is het makkelijker om Signal te gebruiken.

Als je PGP nodig hebt maar niet weet hoe je het zelf kunt instellen, kijk dan eerst bij Keybase, een sociaal netwerk waar je relatief makkelijk teksten met PGP kunt versleutelen. Heb je meer functies nodig, zoals het versleutelen van bestanden met PGP, schakel dan de hulp in van een expert. Bij het Privacy Café van Bits of Freedom werken vrijwilligers die regelmatig PGP bij mensen installeren.

Veel fabrikanten stoppen na een tijd met het updaten van routers. Het is dan aan te raden om OpenWrt te installeren. De software is beschikbaar voor allerlei routers en wordt regelmatig geüpdatet om zo beveiligingslekken te dichten. Daarom: wil je nog verder gaan?

OpenWrt werkt niet met wifi-modems van internetproviders, die worden door de bedrijven zelf beheerd. Je kunt wel je eigen router kopen en deze aan het wifi-modem van je internetprovider koppelen. Zet de wifi-modem wel in de modus Bridge/DMZ, zodat het apparaat enkel de internetverbinding doorstuurt.

Als je technisch onderlegd bent, kun je zelf de touwtjes in handen nemen en een eigen VPN draaien. De makkelijkste optie is Algo, dat je op een eigen en liefst nieuwe server installeert. Je beheert dan zelf je beveiligde internetverbinding en kunt er vervolgens via al je apparaten mee verbinden. Omdat Algo zo makkelijk op te zetten is, kun je er ook een tijdelijke VPN mee creëren. Een nog betere oplossing is de aanschaf van een Firewalla, waarmee je je eigen (gratis) VPN dienst in huis haalt. Daarom: wil je nog verder gaan?

NSA-klokkenluider Edward Snowden heeft gewerkt aan Haven, een gratis Android-app waarmee je een oude smartphone kunt inzetten als slimme beveiligingscamera. Zo’n apparaat komt van pas als je denkt dat een aanvaller fysiek toegang tot jouw apparaten wil krijgen om je te hacken, bijvoorbeeld door een met malware besmette usb-stick in je laptop te steken.

Haven gebruikt de camera’s, microfoons, lichtsensor en versnellingsmeter van een telefoon om bewegingen en geluid te monitoren. Leg de oude smartphone in je hotelkamer en je wordt gewaarschuwd zodra iemand de ruimte betreedt. Ook maakt Haven foto’s en video’s van de inbreker. Snowden noemt Haven dan ook een digitale waakhond die je overal mee naartoe kunt nemen.

Smartphones maken constant verbinding met zendmasten om onder andere telefoontjes, sms’jes en data te ontvangen. Dat laat een flink spoor aan (meta)data achter, dat door opsporingsdiensten kan worden misbruikt. Risicogroepen als journalisten, advocaten en politici moeten hier rekening mee houden. Een iPod Touch met Signal is dan een veilige manier om te communiceren. De muziekspeler draait op de laatste versie van iOS, heeft toegang tot de App Store en kan via wifi onder andere met Signal bellen. Om een account bij Signal aan te maken, moet je wel een (tijdelijk) telefoonnummer registreren, bijvoorbeeld een prepaid simkaart of VoIP-nummer. Deze tip geldt ook voor iPads (zonder simkaart), hoewel die wat lastiger in je broekzak passen.

Een privacyscherm plaats je voor het scherm van je laptop, smartphone of tablet, waardoor pottenkijkers niet meer vanaf de zijkant op je scherm mee kunnen kijken. Het enige dat zij zien is een zwart scherm. Zo’n privacyscherm werkt zelfs zo goed dat je de telefoon echt recht voor je neus moet houden om ook maar iets te zien. Ligt de telefoon schuin voor je op de tafel, dan kun je niet eens je berichtjes lezen. Fellowes heeft goede privacyschermen van tussen de 10 en 50 euro.

Ja, usb-condoom is een beetje een vies woord, maar het omschrijft precies wat de SyncStop doet: ervoor zorgen dat er tijdens het opladen geen malware op je smartphone of tablet wordt geïnstalleerd. SyncStop laat alleen stroom en geen data door. Mocht je ooit jouw smartphone of tablet via een vreemde computer of usb-ingang willen opladen, dan houdt SyncStop een eventuele malware-aanval tegen.

Deze twee besturingssystemen zijn voor de experts, want ze zijn lastig in gebruik. Zowel Tails als Qubes draaien vanaf een usb-stick die je in een willekeurige computer kunt stoppen. Trek de usb-stick eruit en de computer heeft geen idee wat jij precies hebt gedaan. Tails beschermt je privacy en biedt daarvoor allerlei apps aan, zoals Tor en Thunderbird met PGP. Qubes biedt de beste beveiliging en wordt gebruikt door mensen die het doelwit zijn van (staats)hackers.

Maar onthoud: als je weinig technische kennis hebt kan het gebruik van één van deze twee besturingssystemen juist je online veiligheid verminderen. Probeer daarom altijd apparaten en diensten te gebruiken omdat je ze snapt en beheerst, niet alleen omdat je denkt dat het veiliger is. Dat is ook gelijk een goede tip om deze uitgebreide handleiding mee af te sluiten.