Instagram en Facebook nog steeds niet opgewassen tegen simpele phishing
Salwa van der Gaag
redacteur NOS op 3
Relatief simpele trucjes van oplichters zijn nog steeds voldoende om accounts op bijvoorbeeld Instagram en Facebook over te nemen, ondanks maatregelen van die platforms om hackers tegen te gaan. Dat blijkt uit onderzoek van de NOS, die meekeek met een Nigeriaanse bende van internetoplichters. De NOS bleef onopgemerkt door de bende en identificeerde 3200 slachtoffers, van wie 1000 uit Nederland, die hun Instagram-, Facebook- of mailaccount kwijtraakten.
Het genoemde aantal is waarschijnlijk maar een fractie van het totale aantal slachtoffers dat de bende maakte. Voor de slachtoffers begint het bij een valse internetpagina die ze verleidt om hun logingegevens achter te laten. In werkelijkheid gaan de logingegevens naar internetcriminelen; dat heet phishing. Zij veranderen vervolgens snel het e-mailadres en het wachtwoord dat gekoppeld is aan het account, waarna de eigenaar er niet meer bij kan.
De NOS volgde het spoor van zo'n aanval en kwam terecht in Lagos, de grootste stad van Nigeria. Gewapend met niet meer dan een iPhone maken criminelen daar dagelijks internetgebruikers hun logingegevens afhandig, in veel gevallen Nederlanders.
In deze video van NOS op 3 zie je hoe dit onderzoek verliep:
Met behulp van beveiligingsonderzoeker Matthijs Koot verkreeg de NOS toegang tot de systemen van de bende. Drie weken lang zag de NOS hoe de criminelen dagelijks nieuwe slachtoffers maakten, in een halfjaar tijd minimaal 3200. Naast Instagram- en Facebook-accounts hebben ze het ook op X-accounts en e-mailaccounts gemunt.
Circa een derde van de mensen die hun gegevens op de valse pagina invoerde en die de NOS identificeerde, kwam uit Nederland. In hoeveel gevallen de accounts van slachtoffers daadwerkelijk zijn gekaapt, is niet te zeggen.
Erg geavanceerd is de groep niet. "Hun technische expertise is zeer beperkt. Je hoeft dus geen briljant techneut te zijn om slachtoffers te maken", zegt beveiligingsonderzoeker Koot. De criminelen lijken onder meer spam voor cryptocurrency-scams te verspreiden op gekraakte accounts.
Wat ze precies doen met de gekraakte accounts blijft in veel gevallen onduidelijk. Slachtoffers weten vaak ook niet precies wat er met hun account gebeurt. Ze kunnen worden gebruikt voor oplichting of het verspreiden van desinformatie. De accounts inzetten voor de verkoop van likes en volgers is ook mogelijk.
Wie achter de bende zit en of de groep het bewust op Nederlandse slachtoffers heeft gemunt, is onbekend. De NOS achterhaalde contactgegevens van de groep en vroeg ze om meer informatie, maar antwoorden bleven uit.
Wel is zeker dat ze uit Nigeria komen. Zo logden ze voornamelijk in vanuit dat land, via mobiel internet. Dat deden ze zonder een zogenoemde VPN-verbinding te gebruiken; daarmee zou het echte internetadres kunnen worden gemaskeerd. Ook het webhosting-account van de aanvallers, waartoe de NOS toegang verkreeg, is opgezet in Nigeria.
In totaal heeft de Nigeriaanse oplichtersbende minimaal 125 phishing-websites op zijn naam staan, waarvan er op dit moment 24 actief worden gebruikt. Het begint met een berichtje van een Instagram- of Facebook-vriend dat hij of zij meedoet aan een bepaalde challenge of verkiezing, met de vraag: "Wil je me steunen?"
"Ik klikte daarop, en dacht vervolgens dat ik opnieuw moest inloggen bij Instagram, dus dat deed ik", aldus een slachtoffer. Vervolgens wordt het account gekaapt en gaat hetzelfde bericht uit naar de vrienden van het slachtoffer, als een virus dat zich verspreidt.
Toegang verkrijgen tot gekaapte accounts is daarna lastig voor slachtoffers. "Instagram helpt je totaal niet! De helpdesk wilde me ook niet te veel helpen, omdat ze bang waren dat ik de hacker was. De omgekeerde wereld!", zegt een slachtoffer van de hackersgroep.
Het moederbedrijf van Instagram en Facebook, Meta, zegt tegen de NOS dat het veel investeert in zijn beveiligingssystemen en die "constant verbeteren"." We weten dat het verliezen en herstellen van toegang tot je accounts frustrerend kan zijn", aldus het bedrijf in een schriftelijke reactie. Op de vraag waarom het dan toch niet lukt om de strijd tegen phishers te winnen, gaat het bedrijf echter niet in. Wel zegt het bedrijf dat oplichters constant proberen detectie-mechanismen te omzeilen.
Accounts goed beveiligen ís ook lastig, stelt Koot. "Als je die te strikt op slot zet, is er de kans dat je gebruikers buitensluit." Zelfs extreem verdacht gedrag, zoals vanaf de andere kant van de wereld inloggen, is niet uit te sluiten. "Een gebruiker kan ook op vakantie zijn of vanuit het buitenland werken."
Een oplossing kan zijn dat je niet een aan het account gekoppeld e-mailadres kunt wijzigen zonder dat je bij dat originele e-mailaccount kunt. Maar: "In de echte wereld verliezen mensen regelmatig toegang tot hun e-mail, dus dat werkt ook niet", zegt Koot.