Hoe je in phishing trapt met 2FA code (+ video)

Hoe je in phishing trapt met 2FA code (+ video)

Tegenwoordig weten veel mensen al wat phishing is. In het kort is het, volgens de definitie van de politie, dat "slachtoffers van phishing naar een valse website [worden] gelokt waar ze vervolgens hun bank- of andere inloggegevens prijsgeven.".

Links zie je phishing site van de rechter originele.
Links zie je phishing site van de rechter originele. Naast elkaar zie je de verschillen duidelijk. In dit geval was de phishingsite kort na het online komen weer offline gehaald.

Het beste wat je kunt doen om te voorkomen dat iemand kan inloggen met jouw gebruikersnaam en wachtwoord, is het instellen van tweestapsverificatie (2FA). Dit is een extra inlogstap naast het invoeren van jouw wachtwoord. Een van de 2FA-opties die veel websites aanbieden is het instellen van een authenticator.

Instellen van een authenticator-app met je Google-account
Instellen van een authenticator-app met je Google-account

Zo'n authenticator-app op je smartphone (zoals Google Authenticator) genereert continu een nieuwe eenmalige code (TOTP — time-based one-time password). Deze moet je invoeren naast je wachtwoord tijdens het inloggen. Dus als een internetcrimineel jouw gebruikersnaam en wachtwoord heeft kan hij niet inloggen zonder zo’n code. Die kun je alleen krijgen als je in bezit bent van de smartphone met de authenticator-app. Je zou nu dus denken dat je geen zorgen hoeft te maken over phishing. Echter is dat helaas niet waar. Ook mét 2FA kan een internet crimineel via phishing in jouw account komen.

Hoe internetcriminelen aan jouw 2FA-code komen

In de volgende video laten we een voorbeeld zien van hoe zo'n internetcrimineel te werk gaat om toch nog in jouw account te komen. Zelfs al heb je een authenticatie-app ingesteld.

Verdere uitleg onder de video.

Hoe werkt het?

  1. Slachtoffer wordt gelokt

    Allereerst moet de crimineel het slachtoffer naar een phishing site lokken. Dit kan op verschillende manieren gebeuren, zoals via een e-mail, WhatsApp- of sms-bericht, een brief of social media.

    Voorbeeld van een phishing mail

    Er is vaak een veronderstelling dat berichten die linken naar phishingsites snel te herkennen zijn. Bijvoorbeeld door taalfouten, de stijl, door de naam van de afzender of omdat het niet persoonlijk is ("Geachte klant" in plaats van “Beste Jan Modaal”). Deze veronderstellingen kunnen valkuilen zijn omdat ze je de criminelen laten onderschatten.

    Door middel van datalekken of informatie die jij zelf online plaatst, kunnen criminelen phishing berichten dusdanig aanpassen dat ze zeer persoonlijk zijn. Denk daarbij aan NAW-gegevens, of informatie over plaatsen waar jij geweest bent of websites die je bezocht hebt die in phishingmails verwerkt worden.

    Ook e-mailadressen van de criminelen kunnen erg lijken op die van echte bedrijven. Uit dit nieuwsbericht van Tweakers heeft een verdachte achter phishing bijvoorbeeld de letter "m" vervangen door "rn".

  2. Crimineel volgt slachtoffer live

    Zodra een slachtoffer de ontvangen link opent, gaat er een seintje af bij de crimineel. De crimineel moet namelijk inloggen in de echte website op hetzelfde moment wanneer het slachtoffer in de phishing site inlogt.

    Dashboardomgeving internetcrimineel
    De internetcrimineel kan zien wanneer iemand hun link heeft geopend.
  3. Slachtoffer voert gegevens in, crimineel logt zelf in

    Wanneer het slachtoffer zijn gebruikersnaam en wachtwoord invoert in de neppe site, ziet de crimineel wat het slachtoffer heeft ingevoerd. Met deze gegevens gaat de crimineel direct zelf inloggen.

    Als de crimineel ziet dat het slachtoffer 2FA heeft ingeschakeld, dan kan hij aangeven dat de neppe site ook om een 2FA code moet vragen. Het slachtoffer voert de code vervolgens in. De crimineel ziet nog steeds wat het slachtoffer allemaal invoert. Hij gebruikt dus de code van het slachtoffer om door de tweestapsverificatie te komen.

    2FA phishing stappen
    De internetcrimineel voert de gegevens van het slachtoffer in de echte website in.

    Als het de crimineel gelukt is om in te loggen, geeft hij aan dat het slachtoffer doorgestuurd moet worden naar een of andere error pagina. Voor het slachtoffer lijkt het dan alsof er iets mis is gegaan tijdens het inloggen. Maar ondertussen kan de crimineel zijn gang gaan met het account van het slachtoffer.

Veiligste 2FA opties

Gebruik maken van een authenticator-app is nog altijd veiliger dan geen 2FA. Maar zoals je ziet ben je nog steeds kwetsbaar voor phishing. Gelukkig is er nog een veiligere optie, namelijk het gebruik van een fysieke beveiligingssleutel. Zo’n security key, wat lijkt op een USB-stick, plug je in je computer of smartphone tijdens je tweestapsverificatie. Op de achtergrond wordt er met behulp van bepaalde algoritmes en technieken gecontroleerd of je door kunt gaan naar jouw account. Een internetcrimineel met een phishingsite kan dit niet gebruiken om in jouw account te komen. Een simpele code kon de crimineel eenvoudig doorgeven aan de echte site, maar bij zulke authenticatiesleutels is dat niet mogelijk.

Het kost misschien wat geld om zo'n hardwaresleutel aan te schaffen maar het kan je potentieel duizenden euro's schade voorkomen. Volgens Betaalvereniging Nederland was in 2020 de schade door phishing € 12,8 miljoen. Het instellen van een security key kan je heel veel kopzorgen besparen en schade voorkomen — voorkomen is immers beter dan genezen.

Security inlog USB kopen

Bij hardwaresleutel.nl verkopen we zulke beveiligingssleutels waarmee je geen angst meer hoeft te hebben voor phishing. Voor de meeste consumenten is bijvoorbeeld een YubiKey 5 NFC goed. Zo'n authenticatiesleutel kun je zowel op je computer als op je Android of iPhone gebruiken. Je kunt het onder andere instellen met je Google-, Twitter of crypto exchange accounts, maar ook op véél meer andere platformen!

Meer leren over hardware security keys? Check dan onze blog.

Recent gepost