Online security: veilig online zijn doe je zo
Inhoudsopgave
Het is allereerst belangrijk je te realiseren dat geen enkel beveiligingssysteem 100% veilig kan zijn. Het lijkt wat dat betreft op het beveiligen van je fiets: geen slot is onbreekbaar, maar hoe meer en betere sloten je hebt, des te kleiner de kans dat je fiets gestolen wordt.
Security-experts zijn het er allerminst over eens wat nu de belangrijkste veiligheidsmaatregelen zijn. Dit blijkt ook uit deze leuke tweet van de Britse komische kennisquiz QI van 20 september 2020:
“Toen 41 cybersecurity-experts gevraagd werden naar de 5 belangrijkste maatregelen die iedereen zou moeten nemen om zichzelf online te beschermen, noemden ze 118 verschillende dingen.”
In dit artikel kiezen we ervoor om tips te geven die laagdrempelig en voor iedereen gemakkelijk uit te voeren zijn, maar bovenal effectief zijn. Hiervoor vroegen we advies aan Maria Genova, journalist en schrijver over onder andere internetcriminaliteit en een veelgevraagd spreker over identiteitsfraude, privacy en informatiebeveiliging.
Dit zijn de drie belangrijkste beveiligingstips op een rij:
- Pas op voor phishing
- Maak sterke wachtwoorden
- Voer software-updates meteen uit
Maria Genova zegt hierover: Er zijn duizenden manieren om te hacken maar ik zie in de praktijk drie dingen het meest terugkomen. Ik denk dat je met drie simpele stappen 95% veiliger bent. Dat is snelle winst. Het hoeft niet super ingewikkeld. Dat is mijn boodschap.
Pas op voor phishing
Phishingberichten zijn een van de grootste securityproblemen van computergebruikers. Dit geldt zowel privé als zakelijk. Gemeten naar absolute aantallen is phishing de meest gebruikte methode door internetcriminelen en het aantal zaken neemt alleen maar verder toe.
Phishing houdt in dat internetcriminelen je proberen te misleiden met als doel om persoonlijke informatie of geld te pakken te krijgen. Internetcriminelen doen dit door zich voor te doen als een echt bedrijf, zoals een bank, of als een persoon die je persoonlijk kent. Ze vragen bijvoorbeeld om geld over te maken of dreigen met een incassobureau of rechtszaak als je niet direct betaalt.
Cybercriminelen die phishingaanvallen uitvoeren kunnen verschillende methoden gebruiken om online gebruikers te misleiden. Denk aan valse berichten via e-mail, sms of chat-app, maar ook valse websites of neplinks.
Iedereen kent waarschijnlijk de e-mails waarin een prins uit een ver land je een miljoen euro zal schenken als je eerst even duizend euro kunt overmaken. Of mailtjes met het logo van je bank met honderden taalfouten en een e-mailadres die niet van de bank is. Duidelijke gevallen van oplichting natuurlijk. Helaas hebben internetcriminelen niet stilgezeten en worden dergelijke phishingmails steeds beter, en dus steeds moeilijker als nep te herkennen.
Als je een e-mail of ander bericht krijgt die afkomstig lijkt te zijn van een bekende, de bank of een overheidsinstantie waarin aan je gevraagd wordt om een bijlage te openen, op een link te klikken of belangrijke informatie te delen negeer het bericht dan. Klik ook nooit op de bijlage of de link. Als je zeker wilt weten of het bericht misschien toch van de afzender afkomstig is, neem dan contact op met die persoon of organisatie via een ander communicatiemiddel, bijvoorbeeld door te bellen.
Je kunt ook proberen om een deel van de letterlijke tekst het bericht te googelen. Als het inderdaad een phishingbericht is, dan is de kans groot dat andere mensen hetzelfde bericht ontvangen hebben en er online iets over te vinden is.
Controleer als je een bericht van een bedrijf of overheidsdienst krijgt of het e-mailadres, de contactgegevens en de naam van de afzender kloppen. Als er veel spel- en taalfouten in het bericht staan is waarschijnlijk een vals bericht.
Als je een website bezoekt, zorg er dan voor dat de URL begint met ‘https’ in plaats van ‘http’. Klik ook nooit op een pop-up advertentie.
Als je desondanks toch op een phishing-website terechtkomt en je kan er niet weg tenzij je iets intypt, vul dan valse informatie of druk wat willekeurige toetsen in.
Phishing via smartphone
We besteden hier nog wat extra aandacht aan phishing via chatberichten, beter bekend als ‘Whatsappfraude’. Deze vorm van internetcriminaliteit is al jaren aan een opmars bezig, en helaas wordt het steeds erger. In 2020 haalde dit onderwerp ook geregeld het landelijke nieuws.
Maria Genova: Whatsappfraude is booming nu. De politie kan het niet aan. Er zijn soms honderden aangiftes per dag. En je krijg meestal je geld niet terug van de bank, dus mensen raken duizenden euro’s kwijt en soms zelfs meer.
Sommige van deze pogingen zijn zo goed dat het criminelen lukt om berichten te sturen met als afzender een officieel telefoonnummer van een bank. Dus als mensen dat nummer controleren denken ze, hé dat is echt van mijn bank. Maar als je dan geld overmaakt is dat niet naar jouw bank, maar naar de criminelen. Het geld ben je vaak kwijt want de bank vergoed dit vaak niet.
Wat ook gebeurt is dat je een bericht krijgt van een persoon die je kent. Stel, je krijgt een berichtje van je dochter en ze vraagt je wat geld voor te schieten. Heel veel mensen twijfelen dan.
Je kunt er maar het beste van uitgaan dat alle onverwachte verzoeken om geld vals zijn. En zeker als die via Whatsapp binnenkomen. Vaak kun je zulke berichten beter negeren. Maar denk je dat een bericht mogelijk wel echt is, controleer dit dan altijd via een ander communicatiemiddel. Bel of mail de organisatie waarvan het bericht afkomstig lijkt. En bel je dochter of neef of vriend via zijn of haar oude nummer of ze je echt een bericht met een nieuw nummer verzonden heeft, of stuur een e-mail.
Criminelen proberen je vaak onder druk te zetten om snel te handelen. Dat je bankrekening geblokkeerd wordt als je vandaag niks overmaakt, dat een deurwaarder op je af gestuurd wordt, dat je ‘dochter’ nú geld nodig heeft. Het belangrijkste is om rustig te blijven. Raak niet in paniek, ga op onderzoek uit en maak in ieder geval nooit meteen geld over.
Maak sterke wachtwoorden
Het is algemeen bekend dat je niet hetzelfde wachtwoord voor al je accounts moet gebruiken. Gebruik dus in ieder geval een aantal verschillende wachtwoorden. Het allerbeste is natuurlijk om alleen maar unieke wachtwoorden te gebruiken, maar dat is wellicht ook veel gedoe. Je moet immers eerst heel veel wachtwoorden verzinnen en vervolgens ook nog onthouden.
Maria Genova: Hoe onthoud je 100 sterke wachtwoorden? Als je mensen goede tips geeft om 100 sterke wachtwoorden te onthouden, dan doen ze dat wel. Ik hoor vaak zelfs dat mensen meteen na mijn lezing, of zelfs in de pauze, hun wachtwoorden veranderen.
Bij het verzinnen van een wachtwoord denken we vaak dat het gebruik van hoofdletters, cijfers en speciale tekens het belangrijkst is. Maar dat is een misvatting. Eigenlijk is de lengte van je wachtwoord het allerbelangrijkst. Wachtwoorden worden namelijk niet door mensen gekraakt, maar door computerprogramma’s. Zo’n programma probeert razendsnel alle tekencombinaties uit. Hoe meer tekens, hoe langer het programma erover doet om het wachtwoord te kraken.
Maria Genova: Dat klopt, dat is ook wat veel mensen niet weten. Dan zitten ze heel moeilijk te doen, terwijl ‘ik heb een schuur in de tuin’ al een bijna onhackbaar wachtwoord is, of bijvoorbeeld ‘het plafond is wit’, of ‘de vloer is bruin’. Dit zijn op zich al supersterke wachtwoorden.
Toch blijven sommige programma’s en websites nog steeds vragen om een hoofdletter, een cijfer en een bijzonder teken. Korte wachtwoorden maak je zo inderdaad sterker, maar een langer wachtwoord is nog veel sterker. En als je wachtwoord lang genoeg is, kun je volstaan met alleen maar letters.
Maria Genova: Ook al maak je een supersterk wachtwoord dat in geen 10.000 jaar te hacken is, dan nog wordt gezegd: dat tekentje moet erbij, want dat is ooit zo bedacht. Gelukkig zie ik een trend dat steeds meer bedrijven daarvan afstappen. Bij korte wachtwoorden van bijvoorbeeld acht tekens maken hoofdletters of speciale tekens ze wel sterker. Als je alleen letters gebruikt, dan zijn 14 tekens echt nodig. Maar bijna elke zin die je kunt verzinnen is wel minstens 14 tekens lang.
Voor alle duidelijkheid is het gebruiken van cijfers of speciale tekens in je wachtwoord natuurlijk prima. We willen hier vooral benadrukken dat meer veiligheid zit in de lengte van een wachtwoord dan in welke tekens je gebruikt.
Het grote voordeel van langere wachtwoorden zonder cijfers of speciale tekens is dat ze veel makkelijker te onthouden zijn. Mocht je desondanks moeite houden om al je wachtwoorden te onthouden dan is een passwordmanager wellicht een goede tip. Hier kun je al je wachtwoorden veilig opslaan. NordPass of Bitwarden zijn bijvoorbeeld goede opties voor particuliere gebruikers. Een onbeveiligd document op je computer met je wachtwoorden is echt een slecht idee. Je kunt dan beter een lijst op papier of in een notitieboekje maken, want daar kunnen hackers niet bij.
Steeds meer sites bieden multi-factor authenticatie aan om in te loggen. Dat betekent een inloggen in meerdere stappen, meestal door middel van een controlebericht naar je mobiele telefoon. Maak hier altijd gebruik van. Mocht iemand je wachtwoord weten te achterhalen, kan hij niet inloggen zonder jouw telefoon. Multi-factor authenticatie biedt dus extra bescherming.
Slimme apparaten beveiligen
In onze huizen zijn inmiddels heel veel apparaten ook met het internet verbonden. Denk bijvoorbeeld aan een smart-tv, een slimme thermostaat of beveiligingscamera’s. De trend is duidelijk: we krijgen steeds meer ‘slimme’ apparaten in huis. Heel handig, maar al deze apparaten zijn een potentieel beveiligingslek.
Er zijn security-experts die aanraden om een tweede wifi-netwerk aan te leggen voor de slimme apparaten zodat hackers niet via een slecht beveiligde slimme deurbel of lamp toegang tot je computer of smartphone kunnen krijgen. Dit is echter niet heel makkelijk te doen en het niet alle slimme apparaten zijn makkelijk over te zetten op een ander netwerk.
De gemiddelde internetgebruiker kan beter beginnen met wachtwoorden wijzigen. Elk slim apparaat heeft een fabriekswachtwoord. Als die apparaten gehackt worden is het meestal via dit wachtwoord. Pas dus van alle apparaten het wachtwoord aan.
Maria Genova: Je hoeft ook niet voor elk apparaat een heel nieuw wachtwoord te verzinnen. Zelfs één letter verschil helpt. Gebruik bijvoorbeeld hetzelfde wachtwoord voor alle slimme apparaten thuis en zet er ergens c bij voor camera of t voor televisie. Het is echt niet zo dat alle wachtwoorden totaal verschillend moeten zijn. Een letter verschil kan al een enorm verschil maken om een hacker tegen te houden.
Een andere eenvoudige maatregel is het updaten van software. Ook voor slimme apparaten zijn er software updates. Installeer deze updates altijd meteen.
Slimme apparaten zijn over het algemeen nu eenmaal minder goed beveiligd dan computers en smartphones. Maar zoals eerder al gezegd bestaat 100% veilig niet. Net als dat een fiets met de beste sloten ook alsnog gestolen kan worden. Het doel is altijd om de risico’s zoveel mogelijk te beperken en met het wijzigen van de fabriekswachtwoorden en het uitvoeren van software updates kom je al een heel eind.
Voer software-updates uit
Veel mensen doen nooit software updates, of stellen ze vaak uit tot een later moment. Waarschijnlijk herken je het zelf: mensen willen als ze aan hun bureau gaan zitten graag meteen aan de slag, en niet minutenlang op updates wachten.
En dat is zonde, want het updaten van software is misschien wel de allermakkelijkste maatregel om veiliger online te zijn.
Veel mensen weten niet dat veel van die updates veiligheidsupdates zijn en dat als je ze niet uitvoert dat je computer of smartphone heel erg kwetsbaar is voor hackers. Softwaremakers brengen updates uit om ‘foutjes’ en potentiële kwetsbaarheden in hun software weg te nemen. Als jij geen updates installeert blijf je kwetsbaar.
Op het moment dat er een update verschijnt, wordt ook meteen bekend welk veiligheidsprobleem ermee opgelost wordt. Dus iedereen kan hierdoor opzoeken welke kwetsbaarheden er in de software zitten.
Maria Genova: Precies, en er verschijnen meteen programma’s op het internet waarmee je de kwetsbaarheden kunt exploiteren. En daarom is het nog belangrijker om op het moment dat er updates komen dat je het wel doet want die hackers lezen het ook, die zien meteen: ‘O, Windows heeft deze maand 100 kwetsbaarheden, welke 100 zijn dat, waarvoor zijn er al programmaatjes om mee te hacken?
Updates zijn voor veel mensen een bron van ergernis, maar ze zijn ook een hele goede manier om je online veiligheid te vergroten. En het is makkelijk om te doen en het kost je niks, behalve een beetje tijd.
Let op: er verschijnen niet alleen veiligheidsupdates voor computersoftware, maar ook voor slimme apparaten. Vergeet niet om de software op deze apparaten ook te updaten.
Veiligheid en thuiswerken
Door de coronacrisis zijn we met zijn allen veel meer thuis gaan werken. Vóór 2020 was het voor veel mensen natuurlijk ook al mogelijk om vanuit huis te werken, maar op kantoor werken was de norm, en thuiswerken de uitzondering. Dit jaar is het andersom en het is zeer denkbaar dat we ook ná de coronacrisis veel meer thuis zullen blijven werken dan vroeger. Maar beschikt iedereen wel over een veilige thuiswerkplek? En wat zijn de risico’s voor werkgevers?
Maria Genova: Dat is een discussie die we nu moeten voeren. Want al die thuiswerkenden gebruiken het bedrijfsnetwerk. IT’ers willen bedrijfsnetwerken beschermen, maar hoe dan als de meeste mensen thuis routers hebben die niet eens recente updates hebben, en dus heel kwetsbaar zijn? Van daaruit kan de hele thuiswerkomgeving aangevallen worden. Ik gaf dit jaar een lezing aan een grote organisatie en de mensen vroegen zelf aan hun IT afdeling: als thuis mijn computer gehackt is, kan de hacker het hele bedrijfsnetwerk overnemen via mij? Het antwoord was ja, bij bepaalde types malware kan dat echt. Het is dus niet zo simpel meer om bedrijfsnetwerken te beveiligen. Want nu heb je heel veel gebruikers met een onveilige internetverbinding en dat maakt bedrijfsnetwerken heel kwetsbaar.
Het is goed voor zowel werkgevers als werknemers om zich te realiseren welke risico’s er zijn. Werknemers moeten zich realiseren dat ze niet alleen zichzelf potentiële schade toebrengen als hun internetbeveiliging onvoldoende is, maar ook hun werkgevers. En werkgevers zullen zich meer moeten inzetten op het zo veilig mogelijk maken van de thuiswerkplekken van hun werknemers en vooral ook zorgen dat iedereen goed voorgelicht is over dit onderwerp.
Next level security: VPN
Een VPN (Virtual Private Network oftewel Virtueel Privé Netwerk) is een programma waarmee je verbinding maakt met internet via een versleutelde tunnel. Met een VPN gebruik je niet je eigen IP-adres. Daardoor kunnen je online activiteiten niet herleid worden tot jouw computer of smartphone.
Je kunt dus anoniem op het web surfen. Je bent ook beschermd tegen het verzamelen, bekijken of verkopen van je zoekgeschiedenis. Dat betekent dat de gegevens die je verzendt en ontvangt onbereikbaar zijn voor internetcriminelen.
Dit is vooral fijn als je gebruikt maakt van een openbaar WiFi-netwerk op je laptop of smartphone. Maar ook thuis ben je met een VPN veiliger.
Kijk elders op deze site voor meer informatie over VPN.
Kortom, honderd procent beveiliging bestaat niet in de offline wereld en ook niet online. Het is vooral een kwestie van je bewust zijn van de risico’s en daar naar handelen. Je kunt met een aantal eenvoudige handelingen je online veiligheid enorm laten toenemen. Verzin zoveel mogelijk wachtwoorden met een lengte van minstens 14 karakters en doe je software-updates meteen. Let goed op als je berichten via e-mail, sms of chat-app ontvangt waarin gevraagd wordt om geld, persoonlijke informatie of om op een verdacht link of bijlage te klikken. Ook als het bericht afkomstig lijkt te zijn van een bekende of een betrouwbaar bedrijf of de overheid. Controleer altijd via een ander medium of het bericht echt of nep is voordat je geld overmaakt of ergens op klikt. Wil je er zeker van zijn dat niemand jouw apparaten via een wifi-netwerk kan binnendringen, gebruik dan een VPN.
Meer over expert Maria Genova:
Maria Genova is schrijfster van de boeken ‘Komt een vrouw bij de h@cker’ (voor volwassenen) en ‘What the h@ck!’ (voor kinderen). Ze is een veelgevraagd spreker op het gebied van privacy, identiteitsfraude en cybersecurity.
Persoonlijke website van Maria // Maria op Twitter