De Politie heeft een “check je hack” pagina (https://politie.nl/informatie/checkjehack.html) beschkbaar gesteld, die leidt tot enige paniek en onrust onder mensen. Diverse media hebben het bericht over Check Je Hack gedeeld. Wat moet je doen als je op de lijst van Check Je Hack voorkomt?
Email adressen die op dergelijke lijsten voorkomen, die gebruikt worden om bijvoorbeeld phishing mails naar te sturen, zijn alleen dan kwetsbaar voor ‘hacks’ als u voor dit email adres op verschillende plaatsen eenzelfde wachtwoord gebruikt.
Daarnaast is er een gerede kans dat u (meer) “spam” email ontvangt en berichten met onbetrouwbare links er in.
Klik nooit zomaar op een link in een email adres!
Het beste kunt u dergelijke mails, bij onbekende afzenders, meteen weggooien of aan de “ongewenste email” toevoegen. U kunt de afzender van de email zien in de “kop” van uw mail (bijvoorbeeld in Outlook) of, bijvoorbeeld bij een telefoon, door te ’tappen’ op het afzender gedeelte. Dan verschijnt er onder in beeld meer detail-informatie, zie onderstaande voorbeeld.
Aan het emailadres ziet u dat de afzender zeker niet META (Facebook) is, maar een scammer die wil dat je op een link klikt waardoor ze je Facebook inlog gegevens kunnen achterhalen.
Wat als je email in Check Je Hack voorkomt?
Als je email adres in de lijst bij de politie voorkomt, is dat daarom niet per definitie een teken dat je “gehackt” bent. Check voor de volledigheid eventueel je mailadres ook via https://haveibeenpwned.com.
Als je emailadres voorkomt in Check Je Hack of “have i been pwned” is dat niet direct een reden tot paniek. Nogmaals, alleen als u voor de email bij ons (of een andere hostingprovider of ISP) hetzelfde wachtwoord gebruikt als bijvoorbeeld de email plus wachtwoord combinatie bij andere websites (wat héél onverstandig zou zijn!) moet u actie ondernemen.
Neemt u webhosting en email diensten af bij ons en maakt u zich zorgen over de beveiliging log in dat geval in op uw DirectAdmin panel en reset het wachtwoord van uw email. Laat de server een (veilig) wachtwoord automatish aanmaken.
Wat kun je leren van de gelekte seksvideo’s van Fred van Leer (en de hack van de verkiezingssite van Donald Trump)? Op basis van de informatie die inmiddels bekend is geworden kunnen een aantal leerpunten en belangrijke beveiligingsaanbevelingen worden gedaan.
Fred van Leer is niet de eerste bekende Nederlander die dit overkomt, en daarnaast zijn er nog talloze andere onbekende Nederlanders het slachtoffer van dit soort ellende.
1. Hou privé wat privé is
Een telefoon is geen foto- of videocamera. Dat klinkt gek immers: met een telefoon kun je filmen en foto’s maken? Maar wat ik bedoel is dit: volgens informatie die gisteren bekend werd is de video van van Leer in eerste instantie gelekt via zijn eigen instagram-account. Kennelijk bevond de gewraakte video zich dus op zijn telefoon.
De reden dat zoiets kan gebeuren is deze: wanneer iemand inbreekt op of via je Instagram, iCloud of Google account (en vele andere apps van diensten die je gebruikt op je telefoon) kan die persoon effectief toegang tot je telefoon krijgen. Immers: deze apps hebben om te functioneren toegang tot (de data van) je telefoon! Wie denkt dat ik nu echt onzin verkoop zou eens moeten kijken naar deze berichten op TheHackerNews, Checkpoint en Opgelicht van AvroTros (waarschuwing politie).
In either case, the attack could lead to a massive invasion of users’ privacy and could affect reputations — or lead to security risks that are even more serious (TheHackerNews).
Wat je dus opslaat (foto, film, data) op je telefoon is daarmee potentieel beschikbaar voor een eventuele inbreker. Die kan dat vervolgens simpelweg stelen, je er mee chanteren, de gegevens misbruiken en/of het publiceren. Er zijn ook speciale spionage-programma’s hiervoor in omloop (waar uiteraard geen link naar gemaakt wordt, want: illegaal).
Q – A hacker got into my phone and saw all my info and they found me through Instagram. Is it possible to hack into a phone if all you have is their Instagram? A – If you have uploaded photos from your phone to your Instagram account, which most people have, then yes. (Quora)
De éérste, belangrijke, les is dan ook: hou privé wat privé is. Sla, als je dingen privé wilt houden, dit niet op op je telefoon. Foto’s, Filmpjes, maar ook andere belangrijjke data, die niet in handen mogen komen van derden horen niet op een dergelijk kwetsbaar, vaak slecht beveiligd, apparaat. En al helemaal niet “in de cloud” (waar het vaak automatisch wordt opgeslagen door Apple en Google). Weet jij waar dergelijke data over tien jaar (nog) rondzweeft?
Let wel: het is dus niet de beveiliging van het apparaat zelf wat hier het issue is maar de toegang die je verleent tot het apparaat middels te zwak beveiligde apps en eigen onvoorzichtigheid!
2. Gebruik goede beveiliging voor je Social Media
Beveilig je social media accounts daarom maximaal. Ja, dat ís soms wat hinderlijk in gebruikt. Maar wat is hinderlijker? Dat je data op straat ligt of af en toe een verificatie-code invoeren of scannen?
Voorbeeld van hoe kwetsbaar sommigen zijn: heel veel mensen gebruiken hun Facebook-login ook voor allerlei andere diensten (media, webwinkels). Achterhaalt iemand je inloggegevens van je facebook-account dan heeft zo’n persoon, daar op ingelogd, ook toegang tot allerlei andere gegevens van je – inclusief eventueel financiële gegevens.
Instagram, Facebook en vele andere diensten bieden allemaal tweestaps-verificatie. Gebruik die!
Ook in Instagram kun je eenvoudig tweestaps-verificatie aanzetten. Er zijn meer dan voldoende handleidingen online te vinden die uitleggen hoe je dit kunt doen.
En vergeet uiteraard niet het ook in te stellen voor uw Google account (want: Playstore, Youtube, Gmail, Google Drive etc hangen allemaal achter dat éne wachtwoordje!). Google heeft onder andere hier een handleiding geplaatst.
Dit is, nogmaals, absoluut noodzakelijk om je privé data (dus niet alleen dat filmpje of die foto die je in een dolle bui een keer hebt gemaakt) te beschermen. Helaas is deze beveiliging binnen apps als Instagram en sites als Facebook nog steeds optioneel en vinden veel mensen het “teveel gedoe”. Maar nogmaals, bedenk hoeveel “gedoe” je kunt krijgen als je vertrouwelijke snapshots, videos of andere data op straat ligt?
3. Ik heb niks te verbergen?
Het aloude “ik heb niets te verbergen” gaat niet op. Mobiele apparaten, met name telefoons (die je nog nauwelijks een ‘telefoon’ kunt noemen) en alle koppelingen die daarmee gelegd kunnen worden, zijn een enorm risico. Ook als je “niets te verbergen” hebt. Denk immers maar aan je app voor bankieren, de inloggevens voor je website of online shops etc.
Privacy voert terug naar wat ons mens maakt en gaat daardoor vooraf aan het belang dat we al dan niet aan privacy hechten. (De Correspondent)
Zeker 15% van de Nederlanders heeft wel eens te maken gehad met inbreuk op de privacy. Inbreuk op privacy is een inbreuk op je ‘eigen ik’. Denk bijvoorbeeld aan ‘sexting’ wat veel jongeren overkomt.
Fred van Leer, Patricia Paay en vele andere bekende, maar ook talloze onbekende, mensen hebben dat op een verschrikkelijke manier moeten ervaren. Laat het u niet overkomen!
Campagnewebsite Donald Trump gehackt en gegijzeld afgelopen dinsdag. Hoe kon deze hack gebeuren? Hoe had deze hack voorkomen kunnen worden?
Na de hack van het Twitter-account van President Donald Trump was het afgelopen dinsdag de beurt aan de campagnewebsite van de President Donald Trump. De website was door hackers ‘gedefaced’ en achter een ‘betaalmuur’ gezet. De hackers wilden losgeld voor het ongedaan maken van de gijzeling. Hoe kon deze hack gebeuren?
(screenshot gehackte website DonaldJTrump.com)
“Deze website is in beslag genomen”, kregen mensen die op de categorie events klikten korte tijd te lezen. “De wereld heeft genoeg van het nepnieuws dat dagelijks door president Donald J. Trump wordt verspreid.” (Leeuwarder Courant).
Makkelijke wachtwoorden
Het Twitter-account van Trump was inmiddels al twee keer gehackt. Beide keren bleek dat Donald Trump (te) makkelijke wachtwoorden had gebruikt. De eerste keer was zijn wachtwoord ‘yourefired’ en bij de laatste, meest recente, hack (door een Nederlandse ethische hacker uitgevoerd) bleek zijn wachtwoord (maga2020!) wederom erg eenvoudig te achterhalen.
Ondanks gebruik van een hoog aangeschreven commercieel CMS systeem waarvan bekend is dat er niet of nauwelijks kwetsbaarheden in zitten en CloudFlare als CDN werd de website gehackt. Volgens WordFence kan uit hun onderzoek er maar één reden zijn waarom de campagnewebsite is gehackt: onvoldoende beveiligd. Er kan volgens hen alleen ingebroken zijn doordat er geen 2-factor authenticatie is gebruikt.
Een website van dergelijke importantie hoort eenvoudigweg 2-factor authenticatie te gebruiken. Dit is relatief eenvoudig te regelen. Gebruik je voor je website WordPress dan kun je zelfs met de gratis versie met Wordfence via de optie “Login Security” en een app als “Google Authenticator” er voor zorgen dat je website “dubbel beveiligd” is en niemand op die relatief eenvoudige manier kan inbreken.
Beveiliging installeren
Een dergelijke hack had dus voorkomen kunnen worden. Ook uw website is relatief eenvoudig te beveiligen voor dit soort inbraak, infecties met malware en andere hacks. Wij raden dan ook aan om een dergelijke beveiliging te gebruiken bij onze hostingproducten. Hebt u een WordPress website en ondersteuning nodig voor het installeren van de beveiliging, neem dan contact op met ons.
Voor een snel herstel van een website, na een inbraak, is tevens een actuele backup noodzakelijk. Lees hier hoe je in WordPress gratis een dagelijkse backup kunt instellen. Duidelijk is dat het campagneteam van Trump dit wel goed geregeld had: de website was vrij snel weer hersteld.
Via een ‘hackersforum’ is een bestand gedeeld met daarin 772 miljoen (772.904.991) email adressen en daarbij tevens 22 miljoen unieke wachtwoorden, zo meldt ondermeer Mashable via hun website.
Het 87 gigabyte grote bestand werd gehost en gedeeld via clouddienst “MEGA”, voorheen bekend als “Megaupload” van Kim Dotcom. Mega
“emails and passwords were built up from numerous data breaches from allegedly thousands of sources, dating all the way back to 2008” – Mashable
De collectie is dus niet altijd even accuraat, want opgebouwd uit veel oude bestanden. Maar, het feit dat er 22 miljoen unieke wachtwoorden zijn buitgemaakt geeft hackers de kans deze wachtwoorden in combinaties ‘af te testen’ met gebruikersnamen – uiteraard geautomatiseerd.
CONTROLEREN
U kunt controleren of uw email of wachtwoorden zijn buitgemaakt via de website “have i been pwned?” van beveiliginsonderzoeker Troy Hunt. Die toegaf dat zelfs wachtwoorden van hem zelf waren buitgemaakt, alhoewel ze inmiddels verlopen waren.
Niet alleen controle op email is mogelijk, als u vaak hetzelfde wachtwoord gebruikt of ‘makkelijke wachtwoorden’ kunt u die hier testen: https://haveibeenpwned.com/Passwords
WACHTWOORD REGELMATIG VERANDEREN!
We hebben er al vaker op geattendeerd maar zorg er voor dat u regelmatig uw wachtwoord veranderd, nooit overal hetzelfde wachtwoord gebruikt en: gebruik een ‘wachtwoord manager’ zoals bijvoorbeeld KeyPass.
De vraag is namelijk, wanneer u zich niet aan deze spelregels houdt, niet óf maar wannéér uw accounts bij allerlei diensten worden “gekraakt”.
Op dit moment gaat er een bedriegelijk echt lijkende valse email rond welke afkomstig lijkt te zijn van de ING. Klik niet op de links, reageer niet, gooi de email meteen weg.
Phishing of scam mails die afkomstig lijken te zijn van banken, organisaties en allerlei zogenaamde wedstrijden worden steeds professioneler nagemaakt. De valse emails lijken steeds echter. Ook spelen ze steeds meer en beter in op de actualiteit. Zo ook de bijgaande email die zogenaamd namens de ING wordt verzonden.
Helaas is het niet altijd mogelijk voor onze spamscanner en anti-virus software om deze emails te onderscheppen. Dit komt omdat de emails zodanig zijn gemaakt dat ze door de software als “legitiem” worden beschouwd.
ING GAAT OVER OP APP
De ING gaat over op het bevestigen van betalingen met een App, in plaats van de ‘TAN-codes’. Deze email speelt hier zeer gehaaid op in.
De ING bank informeert nooit haar klanten op deze manier, zij gebruiken geen email voor communicatie met klanten.
ANDERE DIENSTVERLENERS
Helaas zijn er, om de verwarring compleet te maken, ook dienstverleners die wél op deze manier met hun klanten communiceren (een zeer slechte zaak!) en “klikbare links” in hun emails meesturen zodat mensen kunnen klikken op een iDEAL plaatje om ze te betalen.
Ons advies is: nooit doen. U weet immers niet of het legitiem is of niet? Aanbieders die op deze manier facturen verzenden houden zich niet aan de regels voor elektronisch factureren. De belastingdienst heeft op haar website helder uiteen gezet hoe een organisatie dat dient te doen.
Een digitale factuur is precies dat: een factuur. Een betalingsverzoek per email voldoet in de meeste gevallen simpelweg niet aan de eisen die wettelijk gesteld worden.
Chinese Cybersecurity onderzoekers hebben een wereldwijde, nog steeds voortgaangde, besmetting met malware ontdekt van wifi-routers. Inmiddels zijn meer dan 100.000 routers besmet.
Voornaamste doel: het stelen van inloggegevens van banken en andere financiële instellingen waardoor onder andere Uw rekening geplunderd kan worden.
MALWARE BESMETTING De wifi-routers, die bij particuliere gebruikers en (kleine) ondernemers worden gebruikt, zijn besmet met een softwareprogramma dat er voor zorgt dat de DNS-instellingen gewijzigd worden. Daardoor worden mensen omgeleid naar andere websites dan de website die ze dénken te bezoeken. Voornaamste doel: het stelen van inloggegevens van banken en andere financiële instellingen waardoor onder andere Uw rekening geplunderd kan worden.
TheHackerNews weet te melden dat GhostDNS via het internet scant op ip-adressen (het nummer van uw internet-aansluiting) van routers die zwakke of géén wachtwoordbeveiliging gebruiken. Daarna breekt men bij een ‘hit’ in, verandert de router instellingen en kaapt zo uw verbinding met diverse websites.
ANTI-VIRUS SOFTWARE HELPT NIET
Onder andere routers van Cisco, D-Link en Thomson – en nog een lange lijst andere merken – zijn getroffen door de hack. Tegen deze vorm van kapen is anti-virussoftware zinloos. De enige oplossing, vooralsnog, is het instellen van een (veilig) wachtwoord op uw router. Zie de handleiding van uw router voor meer informatie hierover.
Wat is de meest voorkomende manier om een WordPress website te hacken? Via de inlogpagina proberen in te breken! Elke inbreker weet namelijk dat dat de manier is om binnen te komen in je website: de admin inlog via de wp-login.php. Hoe bescherm je WordPress snel en eenvoudig tegen deze zogenaamde “brute force” aanvallen op je inlogpagina?
WordPress is erg populair als “content management systeem”. Volgens recente cijfers zijn er rond de 175 miljoen(!) WordPress websites op het internet. Dit maakt de WordPress websites ook populair bij het online inbrekersgilde. Helaas zien wij nog steeds dat veel WordPress websites totaal niet of niet voldoende beveiligd zijn.
ALS HET KALF VERDRONKEN IS…
Als eigenaar merkt U het niet dat men probeert in te breken. Pas als er ingebroken is op uw website volgt de ontdekking. Net als bij een gewone inbraak in een woning. De schade en ravage die je dan aantreft kan enorm zijn. En dan is het te laat.
Aanvallen op WordPress websites worden bijna altijd geautomatiseerd met ‘bots’ uitgevoerd via de WordPress inlogpagina. Dit mechanisme kun je eenvoudig keren door de installatie van de juiste plugins! In dit artikel leggen we uit hoe je de inlogpagina van WordPress effectief kunt beveiligen.
Wij als hostingbedrijf zien het dag in dag uit: websites die ‘onder vuur’ liggen. Het is absoluut noodzakelijk uw website te beveiligen en dat is niet moelijk.
INLOG PAGINA BEVEILIGEN De inlogpagina beveiligen is erg eenvoudig en voor iedereen die een WordPress website heeft te realiseren. De volgende stappen zorgen voor een (veel) veiliger WordPress installatie:
verander uw gebruikersnaam
De standaard gebruikersnaam van de beheerder is bij WordPress: “admin”. Wijzig dit naar een andere naam. Bijvoorbeeld voornaam.achternaam van de beheerder. Of een combinatie van willekeurig gekozen cijfers en letters (nog veiliger!).
installeer een beveiling voor de inlogpagina
Bij de standaard WordPress installatie wordt geen enkele login limitering geactiveerd. Dat betekent dat mensen duizenden keren kunnen proberen in te loggen. Dat dóen ze dan ook! Dit is dus de volgende, en in onze ogen meest belangrijke én eenvoudige, stap om te beveiligen.
installeer een uitgebreide beveiligingsplugin
Wil je écht je website goed beveiligen, installeer dan een goede plugin die méér mogelijkheden biedt zoals Wordfence of All in One WP Security & Firewall.
gebruik SSL beveiliging
Naast deze opties kun je uiteraard ook SSL toevoegen aan je website om het verkeer van en naar je website te versleutelen. Dat geeft extra veiligheid, niet alleen voor de inlogpagina. Klik hier voor meer informatie over SSL Certificaten.
Voor dit artikel houden we het in eerste instantie eenvoudig en richten ons op het beveiligen van de inlogpagina.
PLUGIN INSTALLEREN
Voor de beveiliging van je inlogpagina zijn allerlei soorten plugins beschikbaar.
WP LIMIT LOGIN ATTEMPTS
Een eenvoudige “één klik installatie” plugin is WP Limit Login Attempts. De plugin kun je hier vinden. Je kunt de plugin eenvoudig installeren via de optie “Plugins” in je WordPress beheerscherm.
WP Limit Login Attempts zorgt er voor dat voor je inlogpagina een schermpje verschijnt met elke keer een unieke code die ingevoerd moet worden. De brute force aanvallen lopen daar op stuk.
Na het invoeren van de code (zie scherm) klik je op [Submit] en krijg je de reguliere WordPress inlogpagina.
Deze plugin is ook GDPR compliant (AVG compliant) omdat het de ip-adressen die worden gecontroleerd bij het inloggen maskeert. Als iemand een verkeerde code invoert of onjuist probeert in te loggen wordt deze persoon geblokkeerd en/of doorgestuurd naar de hoofdpagina van de website. Dit maakt de site meteen onaantrekkelijk voor de ‘brute force’ aanvallen op de inlogpagina.
Login No Captcha reCAPTCHA Deze plugin heeft de naam niet mee als in: niet makkelijk te onthouden. Maar in gebruik is dit de meest prettige voor het beschermen van je inlogpagina. De installatie is iets tijdrovender maar niet moeilijk.
Zoals te zien is in de afbeelding voegt deze plugin een ‘Ik ben geen robot’ vakje toe aan je inlogpagina. Zodra je daar op klikt wordt dit gecontroleerd en kun je inloggen op je WordPress website; de [Inloggen] button wordt actief.
Het is in die zin de meest gebruikersvriendelijke oplossing. Het reCaptcha mechanisme controleert aan de hand van een test de persoon die wil inloggen een legitieme bezoeker is of niet. Dit, om te voorkomen dat een bot of script het inlogformulier misbruikt.
Voor de installatie heb je een Google reCaptcha sleutel nodig. Een Google account is dus vereist.
Wat wij zo ijzersterk aan deze oplossing vinden is dat een ‘bot’ er niet doorheen komt zélfs al weten ze je inloggegevens!
De ‘bot’ zet namelijk het ‘vinkje’ niet. De geautomatiseerde inbraakpogingen worden daardoor simpelweg steeds maar weer afgeslagen. Dus óók als je inloggegevens ‘op straat liggen’ is je site nog steeds niet vatbaar voor brute force aanvallen door bots. Die proberen namelijk geautomatiseerd via de wp-login.php in te loggen en slaan daarbij de verificatie over. En daarmee faalt elke poging telkens weer. De bot zal dan op zeker moment stoppen met inbraakpogingen te doen.
BEVEILIGING VANUIT ONZE HOSTING OMGEVING
Tot slot is er, als ‘achtervang’ ook een beveiliging aangebracht in onze hosting omgeving. Wordt een WordPress website aangevallen dan zal na een aantal minuten onze programmatuur dat ondervangen en betreffende ip-adres (van de aanvaller) blokkeren. Dan kan het echter al wel te laat zijn – zeker als u een veel te makkelijke gebruikersnaam en wachtwoord gebruikt en/of verder geen maatregelen hebt getroffen.
IS UW WEBSITE GEHACKT?
Is uw website gehackt en maakt U gebruik van webhosting via Brinkman.IT? Dan is het van het grootste belang dat U ons per direct waarschuwt. Wij kunnen dan mogelijk nog een backup terug zetten van de situatie voor de hack en deze (oude) versie van uw site voor U beveiligen. Neem in voorkomende gevallen contact met ons op.