Ondertussen in de krochten van het internet….
Wij noemen een login en en wachtwoord samen logingegevens, 10.000 van deze op een hoop noemen ze in de krochten van het web een combolist. Deze kan je overal downloaden, zoek, uiteraard met Duck Duck Go maar eens op combolist. Het is een simpele lijst met een e-mailadressen en wachtwoorden.
Yevgeniy Nikulin
Je kan op deze lijst komen door een gelekt of gestolen wachtwoord, zoals Yevgeniy Nikulin deed, hij hackte LinkedIn, Dropbox en Formspring. Hij mag daar nu 84 maanden over gaan nadenken in een cel.
Hij had wel 186.000.000 login’s gestolen en deze verkocht. Deze lijst is nog steeds de basis van veel scriptkiddies (kinderen met tooltjes die naargeestige dingen doen met computers).
En dan?
Wat ze ermee doen is het volgende, ze downloaden een tooltje, en in dit tooltje laden ze de combolijst en een lijst van proxies, dat zijn openbare computer om door te verbinden om de werkelijk afzender te maskeren.
in dit tooltje markeer je welke diensten je wil proberen:
- Spotify
- Netflix
- Amazon Prime
- PayPal
- iCloud
- etc
Elk van deze diensten geeft een bepaald antwoord bij het succesvol inloggen of falen van een login poging.
Mocht het geslaagd zijn dan gaat je account in de verkoop, een Spotify Premium account levert een euro of 2 op, een Netflix account ook. Dit zijn dan nog de ‘onschuldige’ bezigheden.
Iemand kan ook op je Facebook account komen, het wachtwoord veranderen en iedereen in je vriendenkring het volgende bericht sturen:
“Ik heb wat pech, ik ben mijn portemonnee verloren en mijn telefoon, zou je mij €50 willen overmaken naar: IBAN nummer, ik betaal je volgende week terug.“
Je fantasie kan wel invullen wat de mogelijkheden zijn.
En nu?
Nu je een beetje op de hoogte bent wat de mogelijke consequenties kunnen zijn als een dienst jou wachtwoord verliest. In de eerste instantie zou je verwachten dat er niets aan de hand is, want je gebruikt een uniek wachtwoord voor elke website, je gebruikt complexe wachtwoorden, de hack is gepubliceerd, en je vult een nieuw sterk wachtwoord in nadat je ingelogd hebt met Two Factor Authentication, een smsje met een code op je telefoon bijvoorbeeld. Toch?
Echter……..
Is dat jou realiteit? Of heb jij voor elke site hetzelfde wachtwoord?jestraatnaam+huisnummer met een uitroepteken? Of de naam van je hond met je postcode, of je favoriete automerk en het typenummer erachter?
Als dat zo is, gefeliciteerd, jij hebt het meeste aan dit artikel die je nu leest, en ik ga je nu vertellen hoe je dat iets beter kan doen zodat jij straks niet je hele vriendenlijst hoeft aanschrijven, of kan gaan zoeken hoe het mogelijk is dat je film of muziek stream elke keer stopt.
Een paar simpele regeltjes
- Gebruik voor elke site een uniek wachtwoord
- Waar mogelijk zet two factor authentication aan
- Gebruik een Wachtwoordmanager
- Gebruik geen woorden maar bijvoorbeeld: *&(^67893hghhjk3&^@@ als wachtwoord
Is dat alles?
Bijna. je kan nog even kijken of je account ooit gelekt is, er is een gratis dienst op het internet die combolijsten op een hoop gooit en kijkt of jij ertussen staat.
Have I been Pwned
Pwned, een term die gebruikt wordt door hackers om aan te geven of ze van het systeem ‘gewonnen’ hebben. Owned. Eigenaar zijn van, maar wat doet die P in Pwned dan? Die zit naar de O, en de term is blijven hangen.
Wil je nog een extra check dan kan je je e-mailadres invoeren op Avast, zij sturen je ook een email zodra je op een lijst komt te staan.
https://www.avast.com/hackcheck
Dan kan je nu beginnen aan het veranderen van je wachtwoorden en het aanzetten van Two Factor Authentication op de verschillende diensten op het web. Begin in ieder geval met de belangrijkste.
Volgende blog gaat over Veiligheid binnen je bedrijf, hoe kan je dat verhogen?
ps. de lijst in de kop van het artikel is een gegenereerd voorbeeld van niet bestaande emailadressen om te illustreren hoe een combolist eruit ziet.