het klinkt misschien spannend maar veel mensen hebben er waarschijnlijk al eens mee te maken gehad en vaak zelfs zonder dat ze het zelf weten. Maar wat is een digitale identiteit nou eigenlijk en hoe wordt hij “gestolen”?
Misschien kunnen we beginnen de woorden digitale identiteit te vervangen door het woord digitale-meervoudige persoonlijkheidsstoornis. Elke website waar je met een e-mailadres of account inlogt is namelijk in feite een digitale identiteit. De meeste mensen zullen online dus een veelvoud aan digitale identiteiten hebben. Denk bijvoorbeeld aan facebook, linkedin, bol.com maar ook de webshop waar je kattenvoer besteld of dat discussieforum over die leuke oldtimers.
In de volksmond noemen we zo’n digitale identiteit trouwens meestal gewoon je account of login.
Vaak vul je bij het aanmaken van een nieuwe digitale identiteit ook allerlei persoonlijke informatie in, zoals je e-mailadres, huisadres, telefoonnummer of soms zelfs je creditcard of bankgegevens. Op deze manier vormt zich ergens weer een digitale identiteit.
Regelmatig komt het voor dat er gegevens van dit soort websites door middel van een hack buitgemaakt worden door cybercriminelen. Je digitale identiteit is gestolen en voor cybercriminelen zijn de gegevens die bij zo’n digitale identiteit horen waardevolle informatie.
De databestanden met digitale identiteiten worden via het darkweb veelvuldig verhandeld onder geïnteresseerden. (op onder andere https://haveibeenpwned.com/ kan je checken of je de afgelopen jaren onderdeel bent geweest van zo’n hack)
Spear phishing
De meeste mensen kennen het begrip phishing wel, de mailtjes waarin je wordt gevraagd om bijvoorbeeld je ING-bank gegevens op te geven en in te loggen in je account. Dat is ze niet gelukt, want toevallig heb je geen bankrekening bij de ING maar bij de Rabobank dus dat kan niet voor jou bedoeld zijn.
De laatste jaren is er echter een gerichtere vorm van phishing in opkomst, spear phishing. Cybercriminelen kunnen met alle beschikbare online-informatie, zowel publieke informatie van bijvoorbeeld facebook, maar ook de informatie die door middel van hacks is buitgemaakt een profiel van je vormen.
Wie je bent, waar je woont, waar je werkt en wat je interesses zijn. Met deze informatie kunnen ze een heel gerichte phishingmail opstellen. Dit noem je spear phishing. En in plaats van een mailtje van de ING ontvang je nu wel een mail van de Rabobank met hierin een kloppend rekeningnummer met de vraag in te loggen.
Gehackt account
Wat ook nog steeds aan de orde van de dag is zijn gehackte accounts. Je kan niet meer inloggen, of al je contacten krijgen ineens uit het niets een bericht van jou met hierin een linkje. Men zegt dan vaak, mijn account is gehackt. Maar meestal is hier niet echt sprake van een hack op dat moment zelf. De gegevens die gebruikt worden om in te loggen in het account zijn vaak al buitgemaakt bij een eerdere hack of een phishing aanval. Soms horen deze gegevens niet eens bij het account zelf, maar hebben cybercriminelen door bijvoorbeeld je e-mail adres en je wachtwoord van facebook te combineren ineens ook toegang tot je Bol.com zakelijke mail account.
Elk account zijn eigen wachtwoord
Het begint ondertussen een beetje afgezaagd te worden, altijd het gezeur over wachtwoorden, en iedereen die weet het inmiddels ook wel. Toch wil ik graag het belang blijven benadrukken van goede wachtwoorden en even belangrijk, unieke wachtwoorden voor verschillende accounts.
Wanneer is een wachtwoord goed? Veel mensen denken dat je vooral een lastig te onthouden wachtwoord met veel hoofdletters, leestekens en cijfers moet maken. Belangrijker is echter de lengte, en je kan het jezelf makkelijk maken door een zin te gebruiken, bijvoorbeeld Ikvoergraag2mussenopzaterdag.
Het is misschien nog wel belangrijker om voor alle accounts een uniek wachtwoord te gebruiken. Wordt er ergens één wachtwoord buitgemaakt dan zijn niet direct al je andere accounts ook gekraakt. Het onthouden van al die verschillende wachtwoorden is niet te doen. Daarom is het gebruik van een passwordmanager, een programma dat voor jou de wachtwoorden onthoud, een must. In het begin is het misschien wat extra moeite en even wennen, maar je vergroot de beveiliging van je accounts hiermee enorm.
Een goede gratis passwordmanager die synchroniseert tussen je smartphone en je webbrowser op de pc is bijvoorbeeld Bitwarden. (https://bitwarden.com/)
Multifactor-authenticatie het aller veiligst
Hoe goed je ook met je wachtwoorden om gaat, zonder Multifactor-authenticatie (afgekort naar MFA of 2FA) blijf je het risico houden dat iemand met je loginnaam en wachtwoord in kan loggen. MFA is een combinatie van iets wat je weet (bijvoorbeeld je inlognaam of e-mailadres), nog iets wat je weet (je wachtwoord) en iets wat je hebt (een authenticatie app op je smartphone). Als je loginnaam en wachtwoord dan zijn gestolen is er altijd nog de extra melding die je ontvangt op je smartphone voordat je ook daadwerkelijk kan inloggen.
De meeste online platformen zoals bijvoorbeeld Google, Microsoft en Facebook ondersteunen het gebruik van MFA. Stel het vandaag nog in!
ict/teamwork adviseert graag hoe je jouw bedrijfsnetwerk van MFA voorziet. Meer weten? mail kwinten@ictteamwork.nl
