Om accounts van gebruikers veiliger te maken, bieden veel websites en sociale media tweestapsverificatie aan. Zo’n extra beveiligingsmaatregel is hartstikke mooi, maar u moet als gebruiker niet denken dat u op deze manier volledig beschermd bent tegen hackers.
Tweestapsverificatie werkt heel eenvoudig: na het invullen van gebruikersnaam en wachtwoord op een site of in een app krijgt u doorgaans een bericht op uw telefoon met een beveiligingscode. Ook die code moet u invoeren, dan pas wordt u ingelogd.
Beveiligingsexperts raden al een paar jaar aan om tweestapsverificatie aan te zetten voor bijvoorbeeld LinkedIn, Twitter of Instagram. Ook is het verstandig om uw mailbox hiermee extra te beveiligen (zowel Microsoft als Google bieden dit aan voor respectievelijk Outlook en Gmail).
Toch is tweestapsverificatie niet zaligmakend. Kevin Mitnick, die ooit bij de FBI als meest gezochte hacker te boek stond en tegenwoordig onze chief hacking officer is, ontdekte dat de beveiligingsmethode kwetsbaar is. En niet zo’n beetje ook. Er zijn maar liefst twaalf manieren waarop cybercriminelen tweestapsverificatie kunnen omzeilen.
De voornaamste manier werkt als volgt: hackers sturen het beoogde slachtoffer een phishing e-mail. Als de ontvanger op de link in de e-mail klikt, komt hij op een echte website terecht – bijvoorbeeld die van LinkedIn – en kan hij inloggen zoals gewoonlijk, inclusief de beveiligingscode die hij op z’n telefoon ontvangt. Vanwege het aanklikken van de link verloopt het inloggen echter via de server van de hacker. De hacker kan zo de sessie cookie achterhalen. Door die cookie in zijn browser in te voeren en op enter te drukken is hij ingelogd op het account van het slachtoffer. In deze video laat Kevin Mitnick aan de Amerikaanse zender CNBC nog eens zien hoe het werkt.
Niet achteroverleunen
Betekent dit dat tweestapsverificatie nutteloos is? Zeker niet. Het werpt een extra barrière op voor cybercriminelen en alle andere personen die mogelijk toegang hebben tot uw accounts. Ook ik adviseer altijd om tweestapsverificatie aan te zetten, simpelweg omdat het u een minder makkelijke prooi maakt.
Maar: als u tweestapsverificatie hebt ingesteld op je accounts, kunt u dus niet achteroverleunen. Blijf waakzaam en controleer of u niet met phishing te maken hebt voordat u op een link in een e-mail klikt. Zo’n e-mail kan ook van een vertrouwde afzender komen. Als u ook maar een beetje twijfelt, neem dan contact op met die persoon of organisatie. Mocht u de mogelijkheid hebben om via uw werkgever een security awareness training te volgen, maak daar dan zeker gebruik van. Het kan een heleboel ellende voorkomen.
