Tweestapsauthenticatie, beveiligingsupdates, wachtwoordmanagers, inloggen zonder wachtwoord met de FIDO-standaard. Allemaal tools om je smartphone te beveiligen tegen criminelen. Toch is er een groot beveiligingsrisico op telefoons te vinden dat al deze tools makkelijk kan omzeilen. Hierdoor kunnen internetcriminelen eenvoudig je Google-account overnemen.
Social engineering
Joanna Stern van The Wall Street Journal rapporteert deze week over een toename van diefstallen van iPhones. Hierbij wordt gebruik gemaakt van social engineering, waardoor de dieven je pincode van je telefoon kunnen lezen en onthouden. Social engineering betekent sociale manipulatie. Hierbij maken internetcriminelen misbruik van menselijke eigenschappen zoals angst, hebzucht, nieuwsgierigheid, vertrouwen en onwetendheid. KVK meldt twee vormen van social engineering: fysieke en digitale.
Bij de fysieke vorm kan de internetcrimineel bijvoorbeeld je afval doorzoeken (dumpster diving). Of een willekeurige voorbijganger die je vraagt om de foto die je net hebt gemaakt met hem te delen. Jij tikt de pincode in op je telefoon om de foto te laten zien. Iemand die met jou meekijkt in de trein als je een wachtwoord ingeeft om je laptop te ontgrendelen. Bij de digitale vorm maakt de internetcrimineel gebruik van bijvoorbeeld social media of valse e-mails (phishing) om persoonlijke gegevens van een slachtoffer te achterhalen.
De pincode van je telefoon
Het grote beveiligingsrisico op telefoons gaat om de fysieke vorm van social engineering. En de pincode.
Naar aanleiding van het artikel van Joanna Stern over gestolen iPhones, ging Mishaal Rahman van de Android-ontwikkelaarssite Esper, op onderzoek uit. Hij stelt in een draadje op Twitter: Als een dief de pincode van je Android-telefoon heeft gezien, kan hij het wachtwoord van je Google-account wijzigen.
Zowel Apple als Google bieden hun gebruikers namelijk de mogelijkheid aan om het wachtwoord van hun Apple- of Google-account opnieuw in te stellen. Dat is al mogelijk als je alleen de pincode van een telefoon weet. Rahman dook hiervoor in de instellingen van zijn Android-telefoon: Instellingen -> Google -> Je Google-account beheren -> Beveiliging -> Wachtwoord -> Wachtwoord vergeten -> Bevestig je schermvergrendeling -> Tik op JA op telefoon of tablet.
Als een dief de pincode van je telefoon weet, krijgt hij hierdoor meteen toegang tot al je persoonlijke informatie. Hij kan deze gebruiken om je Google Foto’s te doorzoeken op bijvoorbeeld foto’s van je paspoort, je te chanteren met je privĂ©gegevens of zelfs je identiteit over te nemen om weer andere slachtoffers te maken. In jouw naam. En jij kan niks doen want het wachtwoord van je Google-account is gewijzigd.
Wijzig je pincode nu
Rahman kon dus eenvoudig het wachtwoord van zijn Google-account wijzigen, alleen door de telefoon te ontgrendelen met een pincode. Zijn advies, verander de schermvergrendeling van je telefoon meteen in een wachtwoord. Heb je gezichtsherkenning of een vingerafdruk ingesteld? Ook deze vormen van schermvergrendeling kunnen terugvallen op een pincode, een wachtwoord of een patroon. Dus ook hier geldt het advies: wijzig de pincode of patroonvergrendeling van je telefoon in een alfanumeriek wachtwoord. Dus een wachtwoord met cijfers, letters en speciale tekens.
Rahman adviseert ook om het ‘inloggen met Google’ zoveel mogelijk te vermijden. Dit omdat de ‘Tik op Ja op uw telefoon of tablet’ veelal op dezelfde telefoon te zien is. Hopelijk past Google dit zo snel mogelijk aan.
Meer moeite, meer veiligheid
Inderdaad, het zal je meer tijd en moeite kosten om je telefoon te ontgrendelen. Je moet dit wachtwoord namelijk onthouden om de schermvergrendeling eraf te halen, en dat kan de wachtwoordmanager niet voor je doen. Maar dat euvel zal je snel vergeten als je niet meer in je Google-account komt, omdat een internetcrimineel je account heeft overgenomen.
- Pas de schermvergrendeling op je telefoon aan naar Wachtwoord
- Gebruik tweestapsauthenticatie voor je Google-account (stappenplan)
- Gebruik een wachtwoordmanager
- Gebruik een YubiKey
Welke schermvergrendeling heb jij op je telefoon ingesteld? Wat doe jij om je telefoon tegen internetcriminelen te beschermen? Laat het ons weten in de reacties.
Reacties
Inloggen of registreren
om een reactie achter te laten
Ik heb het even nagekeken op mijn OnePlus Nord en inderdaad, met alleen kennis van mijn pincode kan ik in het menu mijn Google wachtwoord zichtbaar maken en daarmee dus ook wijzigen.
In het verleden had ik de app Timepin die het tijdstip als toegangscode gebruikte. Hierbij kon je diverse variaties gebruiken met wel of geen prefix, tijd achterstevoren enzovoort
Helaas werkt die app niet meer
Gelukkig heb ik een idioot patroon
Een simpel trucje is misschien niet de hele oplossing, maar ik heb meestal m’n scherm gedimd. OkĂ©, iemand die wat handig is, kan misschien ook de cijfers achterhalen die ik intik door het patroon te volgen dat ik met m’n vinger op het scherm vorm om die cijfers in te geven, maar hij kan volgens mij m’n scherm zelf niet zien. Kijk, dat is nu een klein voordeeltje als talkbackgebruiker in combi met oortjes. Nog een voordeel van scherm uitzetten, is dat je minder batterij verbruikt.
Ik heb de pincode naar wachtwoord gewijzigd, dacht eerst dat ik die optie nog niet had maar toch gevonden.
Een gewaarschuwd mens telt voor twee, dank voor dit artikel:-)