Awareness

Sextortion mails

6/05/2019 - Ben je door je mails aan het gaan, krijg je plots een vreemd bericht binnen. 'Hallo, ik heb compromitterende beelden van u via de webcam. Als je niet wil dat ik ze online zet, betaal je x bitcoin. O ja, ik weet ook dat je wachtwoord <xxx> is. Hoe ga je om met deze sextortion mails?

Security awareness.jpg
Wat nu?

Dit fenomeen is beter bekend al 'sextortion'. Oplichters sturen een mail om je af te persen met seksueel getinte beelden die ze openbaar gaan maken als je niet een pak geld overmaakt, meestal in bitcoin. Ze maken de mail zo dreigend mogelijk om een beter schrikeffect te bekomen en een hogere kans op succes. 

Wat betreft de mail kan je voor 90% gerust zijn. Die persoon heeft geen compromitterende beelden en zal deze dan ook niet online kunnen gooien. Wat je best doet:

  • Antwoord niet op de mail.
  • Betaal niet.
  • Wis de mail (maar onthou welk wachtwoord er in stond).
Hoe weet de oplichter je wachtwoord?

Dit is op zich vrij eenvoudig. Je gebruikt een wachtwoord bij het aanmelden op verschillende websites (Facebook, Gmail, Office365). Deze slaan dit wachtwoord op in een database. Normaalgezien is dit steeds in een versleutelde vorm, maar er zijn uitzonderingen. Als deze database met wachtwoorden gestolen wordt tijdens een hack, worden de gevonden wachtwoorden (en gekoppelde e-mail adressen of gebruikersnamen) verkocht op internet. Zo kunnen oplichters aan uw e-mail adres komen en 'een' wachtwoord dat je gebruikt (hebt). Deze informatie gebruiken ze om dreigmails te sturen, in de hoop dat er een betaling volgt.

Wat nu met je wachtwoord?

Het wachtwoord dat je toegestuurd is, is sowieso gekend in duistere kringen. Nu zijn er een paar mogelijkheden:

  • Je gebruikt overal hetzelfde wachtwoord.
  • Je gebruikt verschillende wachtwoorden voor verschillende toepassingen en websites.

In het eerste geval dien je overal zo snel mogelijk je wachtwoord te veranderen. Je wachtwoord is immers gekend en iemand kan met de combinatie van gebruikersnaam, e-mail adres en je wachtwoord toegang krijgen tot al je accounts. Zorg nu je toch bezig bent dat je verschillende wachtwoorden gebruikt voor elke toepassing. Je hoeft deze wachtwoorden niet allemaal van buiten te leren, gebruik hiervoor een 'password manager' als Lastpass of Keepass password safe. Lastpass is hier vooral handig omdat je het in je browser kan laten draaien. Al je wachtwoorden kunnen automatisch ingevuld worden eenmaal je het complexe inlogwachtwoord voor lastpass ingegeven hebt. Nieuwe toepassingen kunnen eenvoudig opgeslagen worden en Lastpass kan ook complexe wachtwoorden genereren per site.

In het tweede geval dien je ook je wachtwoord te veranderen, maar enkel voor die sites waar je dat specifieke wachtwoord gebruikt.

Tips
  • Op de website van 'Have I been pwned' kun je nagaan of je e-mail adres ergens voorkomt in een database met gestolen gegevens. Hoewel dit niet 100% waterdicht is, is het een goede indicatie.
    Controleer je e-mail adres
  • Gebruik een password manager, zoals Lastpass.
  • Gebruik nooit hetzelfde wachtwoord voor verschillende toepassingen.
  • Gebruik wachtwoordzinnen. Deze zijn moeilijker te breken en zijn eenvoudiger te onthouden dan complexe wachtwoorden met speciale karakters.
  • Gebruik waar mogelijk 2-staps (factor) authenticatie. Hierdoor heb je naast je wachtwoord ook nog een extra code via SMS/smartphone/... nodig om in te loggen.
  • Wijzig af en toe je wachtwoorden.