Een cyberaanval: zo werkt dat dus (deel 3)

Stel, je hebt een goed en ingewikkeld wachtwoord bedacht, met getallen, hoofd- en kleine letters en nog wat bijzondere tekens. Je zou zeggen: dat raadt een hacker nooit. Toch is die kans wel degelijk aanwezig, vertelt Robert van Dijk, accountmanager bij digitaal beveiligingsbedrijf Promax. ‘Professionele’ hackers
beschikken namelijk over enorme bestanden van (onder andere) ooit gelekte wachtwoorden en kunnen uitzoeken of een van die wachtwoorden bij jouw e-mailadres hoort. Weliswaar is dat zoeken naar de bekende speld in de hooiberg, maar dat laten de hackers dan ook aan bots over. Computerprogramma’s die razendsnel combinaties van gebruikersnamen en wachtwoorden testen.

Natuurlijk hebben beveiligingsprogramma’s wel door wanneer herhaaldelijk een ongeldige inlogpoging plaatsvindt. Microsoft bijvoorbeeld verstuurt een waarschuwing wanneer meerdere inlogpogingen binnen een uur tijd worden gesignaleerd. Zoiets helpt echter niet lang. De hackers zorgen dan dat hun bot net onder het maximaal aantal toegestane pogingen blijft. Van Dijk: ‘Wanneer wij bij een opdrachtgever zien dat er sprake is van ongebruikelijk veel (ongeldige) inlogpogingen, adviseren wij - wanneer dat nog niet is geactiveerd! - direct multifactorauthenticatie (MFA) aan te zetten. Dat betekent bijvoorbeeld dat de eigenaar van het wachtwoord er per mail of sms op wordt geattendeerd dat iemand vanaf een onbekend device wil inloggen. De eigenaar kan dan ontkennen of bevestigen dat hij of zij zelf deze actie uitvoert of ervan op de hoogte is. Bij ontkenning wordt de hacker alsnog geblokkeerd en weet de eigenaar dat het dringend tijd is om het wachtwoord te wijzigen. Als de eigenaar (per ongeluk) toch bevestigt, zoals bij vervoersbedrijf Uber eerder dit jaar gebeurde, zal een hacker onmiddellijk de MFA veranderen en is hij binnen. Moraal van het verhaal? Ten eerste: maak gebruik van MFA. Ten tweede: denk héél goed na voordat je een toegangsaanvraag accepteert.’