Online identiteitsdiefstal

Het internet biedt vele nieuwe mogelijkheden. Het is voor velen een soort tweede levensomgeving geworden naast het “echte leven”. Net als in het echte leven is er echter ook criminaliteit op het internet. Een van de internetmisdaden is identiteitsdiefstal, waarbij een internetgebruiker zich voordoet als een ander persoon en daarmee onwenselijke dingen kan doen. Softwarebedrijf McAfee publiceerde in januari 2007 een rapport waaruit bleek dat deze vorm van internetcriminaliteit jaarlijks tientallen miljarden kost. Koploper is de Verenigde Staten op het gebied van identiteitsdiefstal, daar worden jaarlijks tien miljoen Amerikanen het slachtoffer. Maar wat is nu precies identiteitsdiefstal? Daar ga ik in dit artikel verder op in.

Phising

Criminelen gaan over op identiteitsdiefstal om zich voor te doen als een ander persoon. Op die manier kunnen ze geld ontvremen via online bankdiensten. Bij “phising” wordt een e-mail gestuurd waarvan de opmaak en stijl gelijk is aan die van een organisatie of bedrijf waarbij de geadresseerde aangesloten is. In de e-mail wordt de geadresseerde verwezen naar een website waar allerlei persoonlijke informatie ingevuld moet worden. Phising is vrij makkelijk te herkennen maar het gebeurt dagelijks. De adresbalk in de browser toont meestal een licht afwijkend adres. Zo kan de letter “o” vervangen zijn door het cijfer “0”. Bovendien worden phishingmails vaak gestuurd vanuit Nigeria en zijn ze geschreven in gebrekkig Engels of Nederlands.

Naast phising kan een crimineel ook het banksysteem waar alle persoonsbestanden zijn opgeslagen hacken. Sommige banken hebben geen gesloten computersysteem en een slechte beveiliging waardoor persoonsgegevens met bijvoorbeeld creditcardinformatie zomaar op straat kunnen komen te liggen. Goedbeveiligde websites maken gebruik van HTTPS in plaats van HTTP. HTTPS is een uitbreiding op HTTP, waarbij data versleuteld verstuurd wordt van computer naar computer. Beide computers maken gebruik van SSL om de gegevens te versleutelen en weer te ontcijferen. HTTPS kan echter niet garanderen dat de organisatie of persoon waarmee zaken wordt gedaan te vertrouwen is.

Toetsenbordrecorder

Een andere manier om identiteitsgegevens van iemand te achterhalen is door een programma te gebruiken dat toetsaanslagen onthoudt. Op slechtbeveiligde computers bij bedrijven of instellingen kunnen dit soort programma's geïnstalleerd zijn. Wie zijn e-mail wil controleren of zijn bankzaken wil afhandelen via een zo'n computer kan zomaar het slachtoffer worden van een criminele organisatie. Kinderen die MSN'en kunnen eveneens het slachtoffer worden van dit soort programma's, het programma onthoudt ook wachtwoorden die zijn ingevoerd in computerprogramma's. Zelfs zonder enig idee kan een wachtwoord altijd gekraakt worden. Het hangt er echter vanaf hoeveel tijd en computerkracht een hacker wil investeren in het kraken. Een 7-karakter tellend wachtwoord kost bij snelle websites zo'n zeventien jaar om te kraken.

Slechtbeveiligde draadloze netwerken kunnen ook voor veel problemen zorgen. Draadloze routers die niet beveiligd zijn met een wachtwoord kunnen op eenvoudige wijze gebruikt worden door iedereen die zich binnen het bereik van het apparaat bevindt. Veel gebruikers van zo'n draadloos netwerk weten niet eens dat zij verbonden zijn met het netwerk van iemand anders. Windows XP maakt bij bepaalde instellingen automatisch verbinding met het draadloze netwerk dat het sterkste signaal heeft. Kwaadwillenden kunnen op dezelfde manier echter criminele vergrijpen plegen via de internetverbinding van iemand anders.

Computercodes

Alsof dit alles nog niet genoeg is om mee rekening te houden, kan het gevaar ook nog op de loer liggen bij het bezoeken van gevaarlijke websites en het downloaden van software. Zeer kleine programmeerfoutjes kunnen al leiden tot gevaar. Webwereld meldde in juli 2005 dat Acrobat Reader, dat wereldwijd op miljoenen computers geïnstalleerd is, een beveiligingslek bevat, waardoor een hacker een Unix-computer kan overnemen wanneer een speciaal PDF-bestand geopend wordt.

Een Turkse hacker meldde in 2006 dat computer die Winamp geïnstalleerd hebben eveneens over te nemen zijn door kwaadwillenden, wanneer een afspeellijst met een extreem lange bestandsnaam geopend wordt. Soortgelijke gevallen zijn ook bekend bij de programma's Google Desktop, Firefox, Internet Explorer, iTunes en zelfs Windows XP. Bij browsers is het probleem het grootst, meer dan 70% van alle aanvallen wordt gedaan via Internet Explorer. Via dit programma proberen hackers computercodes op de computer te installeren om daarmee de computer over te nemen. Reclamebanners en pop-ups zijn vaak de boosdoeners. Een anonieme hacker meldde op de website computertotaal.nl dat hij vaak viruscodes verstopte onder pornografische reclamebanners en kruisjes waarmee pop-ups gesloten kunnen worden.

De meeste beveiligingsproblemen zijn te voorkomen door een antivirusprogramma te installeren. Voorbeelden hiervan zijn Norton, McAfee en Antivir. Deze programma's vergelijken, indien goed ingesteld, iedere code die binnenkomt met codes van virussen in de database. Wanneer de codes overeenkomen wordt de gebruiker op de hoogte gesteld van de bevindingen. Ondanks dat sommige antivirusprogramma's zelfs gratis zijn heeft een aanzienlijk deel van de internetgebruikers geen antivirusprogrammatuur op zijn computer geïnstalleerd. Hierdoor wordt het voor een hacker veel makkelijker om in de computer in te breken. Een antivirusprogramma biedt overigens geen waterdichte bescherming. Een virus moet eerst gedetecteerd zijn voor het wordt opgenomen in de virusdatabase.

Waarom een computer kidnappen?

Een hacker kan simpelweg geld verdienen door een computer over te nemen of te “kidnappen”. Door in grote hoeveelheden reclame-e-mails te versturen worden miljoenen mensen over de hele wereld bereikt. Slechts tienden of honderden van procenten reageert op die e-mails. In de praktijk betekent dit dat enkele tientallen mensen wel reageert op de e-mail. Dit levert geld op voor een bedrijf, waarvoor de spamverstuurder betaald krijgt. Aangezien het versturen van reclame-e-mails of spam illegaal is gebruiken hackers een computer van een derde om de spam te versturen. Onschuldige computergebruikers kunnen op die manier in een kwaad daglicht gesteld worden.

Conclusie

Een computer met internet is in de praktijk nooit 100% te beveiligen. Zodra een antivirusprogramma een nieuw virus in de database heeft staan zijn er al weer nieuwere. Een wachtwoord kan altijd gekraakt worden met brute force-aanvallen, waarmee alle mogelijke wachtwoordcombinaties met behulp van computerrekenkracht geprobeerd worden. Toch kun je door een eenvoudig antivirusprogramma, een moeilijk te raden wachtwoord en niet bezoeken van bedenkelijke websites het risico tot een minimum beperken.