Iedereen kent wel de verhalen, maar hoe weet je eigenlijk of je zelf gehackt bent? Of je online account of je computer gecompromitteerd zijn? In dit artikel kijken we naar verdachte symptomen en geven we je tips om hacks te voorkomen of op te lossen.
Toon van Daele
Heel strikt genomen betekent ‘gehackt zijn’, dat je het slachtoffer van hackers bent geworden. Personen dus die doelbewust in je thuisnetwerk of computer zijn binnengedrongen met behulp van gespecialiseerde software. In dit artikel nemen we dit begrip wel iets ruimer en geldt dit ook wanneer iemand zich toegang heeft verschaft tot een of meerdere van je online accounts. Of als iemand erin is geslaagd om kwaadaardige software zoals ransomware of een virus op je computer te zetten.
Google Chrome weet je snel te vertellen of een van je opgeslagen wachtwoorden is gehackt |
ACCOUNT GEHACKT?
De kans is groot dat je over een account bij diverse online diensten of webapps beschikt, zoals Google, Microsoft, Facebook of een van de vele andere. Helaas zijn (databases van) zulke diensten al vaker het slachtoffer geweest van hackers die met miljoenen inlog- en gebruikersgegevens aan de haal gingen. Surf maar eens naar haveibeenpwned.com/PwnedWebsites en zoek bijvoorbeeld naar 2021, of ga naar avast.com/hackcheck/leaks voor een lijst met recente hacks. Verderop in dit artikel hebben we het over mogelijke symptomen en oplossingen, maar eerst vertellen we je hoe je op elk moment zelf kunt nagaan of je e-mailadres in een of andere gehackte database voorkomt. Je hoeft hiervoor je e-mailadres maar in te vullen op scatteredsecrets.com, op f-secure.com/en/home/free-tools/identity-theft-checker of op haveibeenpwned.com. Bij deze laatste site klik je bovenaan op Notify me om je automatisch op de hoogte te laten brengen zodra je e-mailadres (nogmaals) opduikt in een gehackte database.
Ook browsers kunnen je hierbij van dienst zijn. In Edge bijvoorbeeld tik je edge://settings/passwords in de adresbalk en activeer je Meldingen weergeven wanneer er wachtwoorden zijn gevonden in een online lek. Kies Resultaten bekijken en Nu scannen om zo’n controle uit te voeren. In Chrome tik je chrome://settings/privacy in en klik je op Nu controleren. Bij chrome://settings/ security schakel je de optie Waarschuwen als je wachtwoorden zijn gelekt bij een gegevenslek in. Beide browsers vertellen je zo of een van de wachtwoorden is gehackt die je in de browser had opgeslagen.
SYMPTOMEN
Het is natuurlijk goed nieuws wanneer zo’n site of je browser geen gehackte e-mailadressen of wachtwoorden heeft gevonden. Helaas biedt dit geen spijkerharde garanties, net zoals je er ook niet zomaar vanuit kunt gaan dat elk bedrijf je meteen op de hoogte zal stellen wanneer hun gebruikersdatabase is gehackt. Zo liet bijvoorbeeld allekabels.nl begin 2021 na om de gebruikers snel op de hoogte te brengen nadat de gegevens van zo’n 3,6 miljoen klanten waren gehackt.
Je doet er dus goed aan ook altijd zelf alert te blijven en oog te hebben voor mogelijke symptomen van gehackte logins. Zo is het erg verdacht als plotseling je correct ingevoerde wachtwoord niet meer aanvaard wordt, of wanneer kennissen je vertellen dat ze verdachte mails binnenkrijgen die van jou afkomstig (lijken te) zijn. Of je ontvangt zelf phishing-mails met je correcte naam of adres. Handig is wel dat sommige diensten je een bericht sturen wanneer er vanaf een niet eerder gebruikt apparaat (of locatie) met jouw account werd aangemeld. Als je zelf had ingelogd, is er natuurlijk niets aan de hand.
Controleer af en toe ook de accounts die je toegang tot (bepaalde gegevens in) je Google-account hebt gegeven |
SNEL REAGEREN
Krijg je de melding dat een van je accounts is gehackt of vermoed je zelf dat op basis van symptomen, dan is het zaak om zo snel mogelijk je wachtwoord bij die dienst of webapp te wijzigen, evenals bij alle andere apps of diensten waar je diezelfde login hebt gebruikt. Zorg er deze keer dan wel voor dat je nergens hetzelfde wachtwoord gebruikt. Een slimme wachtwoordbeheerder als LastPass (lastpass.com/nl) of Dashlane (dashlane.com/nl) kan je hierbij ondersteunen. Activeer waar mogelijk ook tweestapsverificatie (zie ook PC-Active 319 en 320), zodat je telkens om een bijkomende verificatiecode wordt gevraagd.
Sommige diensten, waaronder de eerder vermelde site van F-Secure, delen je mee welke data er precies zijn gecompromitteerd, maar je kunt er maar beter van uitgaan dat alle gegevens die via zo’n gehackt account beschikbaar waren, nu in gevaar zijn. Zat daar bijvoorbeeld een creditcard-nummer bij, laat die dan veiligheidshalve blokkeren. Op creditcardacties.nl/creditcard-blokkeren vind je hiervoor de nodige contactinformatie. Je doet er ook goed aan te controleren of je de gehackte dienst ooit toestemming hebt gegeven om via diezelfde login ook andere diensten of apps te benaderen. Als dat inderdaad zo is, trek je die toestemming direct weer in. Bij Facebook bijvoorbeeld kan dat op facebook.com/settings/?tab=applications (klik 2x op Verwijderen) en bij Google doe je dat via myaccount.google.com/ permissions (klik op Toegang intrekken en OK).
Facebook somt onder meer alle ‘herkende apparaten’ op van de afgelopen jaren |
LOGBESTANDEN
Meldt een dienst je niet automatisch wanneer die een verdachte aanmeldingspoging heeft ontdekt, dan is het best mogelijk dat je daarvan wel sporen terugvindt in de online logbestanden van zo’n service. Het kan trouwens nooit kwaad af en toe zulke logs te raadplegen.
Bij Facebook kan dat als volgt: meld je aan en ga naar je startpagina. Klik op het knopje met de drie puntjes en kies Activiteitenlogboek. Open de sectie Gelogde acties en andere activiteit. Interessante items zijn hier onder meer Actieve sessies, Aanmeldingen en afmeldingen en Herkende apparaten.
Soortgelijke informatie vind je ook bij Google op myaccount.google.com. Hier ga je naar Beveiliging en kies je Beveiligingsactiviteit bekijken. Merk je onbekende inlogsessies op, wijzig dan je Google-wachtwoord. Een interessante rubriek is ook Je apparaten: hier krijg je een overzicht van de apparaten waarmee je op dat moment op je Google-account bent ingelogd. Klik op Meer details om je eventueel bij dit apparaat af te melden of om een (mobiel) apparaat te lokaliseren via Apparaat zoeken.
Wil je het zekere voor het onzekere nemen, dan kun je een handmatige scan van je computer laten uitvoeren. Klik in Windows-beveiliging op Virus en bedreigingsbeveiliging en daarna op App openen om het programmaatje Webroot te starten. Klik hier op Mijn computer laten scannen. Dit proces duurt nog geen minuut.
Een hacker stuurt commando’s door naar (de gehackte computers in) zijn botnet om andere systemen te belagen |
COMPUTER GEHACKT?
Wachtwoorddatabases van online diensten zijn natuurlijk een begeerde prooi voor hackers, maar helaas vinden ze ook ‘gewone’ computers wel interessant. Ze koppelen bijvoorbeeld je computer ongemerkt als een ‘zombie’ aan een groot botnet, waarna ze alle gehackte computers tegelijk spam laten versturen. Of de computers bombarderen een of andere webserver met talloze verzoeken tot die er de brui aan geeft (een zogeheten DDoS-aanval). Hackers kunnen op je computer ook gewoon speuren naar interessante informatie, zoals e-mailadressen, wachtwoorden of creditcardgegevens. Of ze leiden je computer ongemerkt om naar een frauduleuze site zodra je online betalingen wilt verrichten.
Meestal maken hackers hierbij slim gebruik van allerlei malafide software, kortweg malware. Die kan op verschillende manieren in je systeem terechtkomen, bijvoorbeeld door een link in een phishing-mail aan te klikken of met een verouderde browser naar een foute site te surfen. Of ze gaan na welke poorten op je computer via internet bereikbaar zijn, zodat ze langs die weg wellicht malware kunnen installeren of je computer ongemerkt overnemen.
Soms lijdt het geen twijfel dat je computer gehackt is, bijvoorbeeld wanneer ransomware je gegevensbestanden heeft versleuteld. Maar vaak ook zijn de symptomen minder opvallend. Zo kunnen bepaalde services of programma’s opeens dienst weigeren; vaak zijn dat systeem- of beveiligingstools. Of nieuwe applicaties laten zich opeens niet meer installeren of sommige sites blijken niet langer bereikbaar. In dergelijke gevallen dringt een grondiger controle zich op om na te gaan of je computer daadwerkelijk gehackt is.
MALWARECHECK
Een logische eerste stap is een uitgebreide malware-analyse door een antivirustool. Dat kan de ingebouwde Windows-beveiliging zijn (zie ook ons artikel op pagina 20), maar ook een externe oplossing. We gaan er hier wel vanuit dat die tool al op je systeem draait en dat die de bedreiging dus mogelijk niet heeft opgemerkt.
Bij twijfel kun je om een ‘second opinion’ vragen (Afbeelding: Wikipedia ) |
Je kunt dan een extra viruscontrole door een ander programma laten uitvoeren, want wellicht weten twee meer dan één. Een geschikte kandidaat hiervoor is Malwarebytes Antimalware. De gratis versie biedt weliswaar geen actuele bescherming, maar gaat op jouw aanvraag wel mooi op zoek naar potentiële malware. Download de tool (nl.malwarebytes.com) en installeer die. Start de applicatie op en klik op Scannen. Na afloop verschijnen de scanresultaten en kun je alle geselecteerde items met een druk op de knop Quarantaine onschadelijk maken.
Vindt ook deze tool niets of weigert die te installeren of op te starten en vermoed je echt dat er iets aan de hand is, dan is het een goed idee om je computer op te starten vanaf een usb-stick waarop je een antivirustool hebt geïnstalleerd. Op deze manier krijgt eventueel reeds geïnstalleerde malware niet de kans mee op te starten en zal die zich normaliter blootgeven.
Een usb-stick (met Kaspersky Rescue Disk) creëren is zo gepiept met Disk Imager |
BOOTSCAN
Voor zo’n live antivirus-stick maken we graag gebruik van de Kaspersky Free Rescue Disk (kaspersky.nl/downloads/thank-you/free-rescue-disk). Je moet natuurlijk wel nog het gedownloade ISO-bestand omzetten naar een opstartbare usb-stick. Daarvoor zetten we het gratis Win32 Disk Imager in (sourceforge.net/projects/win32diskimager). Je installeert de tool met enkele muisklikken, waarna je die opstart. Klik op het mapicoon, kies *.* in het uitklapmenu rechtsonder en verwijs naar het gedownloade bestand krd.iso. Bij Doelapparaat selecteer je een lege usb-stick en druk je op de knop Schrijven. Bevestig met Yes. Na afloop klik je op Afsluiten.
Vervolgens start je de computer op vanaf deze stick. Raadpleeg hiervoor desnoods even je systeemhandleiding. Druk na het opstarten op de Enter-toets (2x) zodat je in een grafische omgeving belandt. Kies Kaspersky Rescue Tool en bevestig met Accept. Klik op Update now, op OK en op Start Scan. Ontdekt de tool inderdaad kwaadaardige software, dan kun je die laten verwijderen of desinfecteren. In dit laatste geval plaatst de tool het verdachte bestand in quarantaine.
AdwareDuiken er soms zomaar advertenties in je browser op of krijg je storende Duiken er soms zomaar advertenties in je browser op of krijg je storende toolbars maar niet weg, dan heb je te maken met hardnekkige adware. Die is minder kwaadaardig dan echte malware, maar kan toch best vervelend zijn. |
SCHIJFACTIVITEIT
Vinden de antivirustools niets verdachts, maar ben je er niet helemaal gerust op, dan moet je zelf verder speuren. Een zinvol aandachtspunt is dan opvallende schijfactiviteit, die zich niet zomaar laat verklaren. Roep in dit geval Windows Taak beheer op met Ctrl + Shift + Esc. Klik indien van toepassing op Meer details en ga naar het tabblad Processen, waar je op de kolomtitel Schijf klikt, zodat alle actieve processen op basis van hun schijfactiviteit worden geordend. Via het menu Beeld en Bijwerksnelheid kun je de verversingsfrequentie aanpassen of ook stopzetten.
Blijkt een proces een onverklaarbare hoeveelheid schijfactiviteit aan de dag te leggen, dan dringt nader onderzoek zich op. Is het je niet direct duidelijk welk (programma)bestand achter zo’n proces schuilt, klik dit dan met rechts aan en kies Bestandslocatie openen in het context menu. Desnoods kijk je even op internet naar de proces- of programmanaam om uit te maken of het om malafide software gaat. Blijkt het proces inderdaad verdacht, dan kun je de bijbehorende applicatie van je systeem verwijderen.
Gaat het om een service, kies dan Services openen in het contextmenu, waarna je naar de service scrolt. Klik die met rechts aan en kies Stoppen of - drastischer nog - kies Eigenschappen en stel het opstarttype in op Uitgeschakeld om te vermijden dat die service bij de volgende keer opstarten vanzelf weer actief wordt. Je doet dit alleen maar als je zeker weet dat je systeem deze service niet nodig heeft.
Het ingebouwde Windows Taakbeheer toont je in een oogopslag de (schijf)activiteiten van processen en applicaties |
NETWERKACTIVITEIT
Malware die door hackers op je computer is geplaatst, communiceert vaak heimelijk met de thuisbasis, bijvoorbeeld om gegevens te uploaden, bijkomende malware te downloaden of mogelijke instructies te ontvangen. Daarom kan het nuttig zijn om ook de netwerkactiviteit van je systeem nader te bekijken.
Ook dit kun je doen vanuit Windows Taakbeheer, waar je deze keer het tabblad Prestaties opent. Vervolgens klik je onderaan op Broncontrole openen. Je ziet hier verschillende tabbladen, waaronder Schijf en Netwerk. Op het tabblad Schijf zie je in real-time (oftewel actueel) hoeveel bytes de processen van schijf lezen of naar schijf schrijven. Op het tabblad Netwerk lees je eveneens in real-time af hoeveel bytes elk proces verzendt of ontvangt. Klik indien nodig op de balk Processen met netwerkactiviteit om onder meer ook het IPadres te vernemen van de server waarmee zo’n proces contact opneemt. Via een zogeheten whois-opvraging kun je vervolgens nagaan welke instantie dit IP-adres heeft geclaimd. Surf bijvoorbeeld naar dnschecker.org/ipwhois-lookup.php, tik het IP-adres in de zoekbalk en klik op Lookup IP. Met wat geluk zie je ev
en later welke instantie dit adres heeft geregistreerd. Ook deze informatie kan je wellicht helpen om de betrouwbaarheid van de app te beoordelen en de gepaste actie te ondernemen.
Je kunt nagaan welke toepassingen een netwerkverbinding met welke server hebben opgezet |