Er verschijnt een melding op het scherm van uw smartphone: “We hebben een ongebruikelijke inlogpoging gedetecteerd vanuit Rio de Janeiro, Brazilië .” Of de loginpoging nu plaatsvindt vanuit uw eigen woonplaats, aan de andere kant van de wereld, vanaf het soort telefoon dat u zelf gebruikt of vanaf een apparaat waar u nog nooit van hebt gehoord: dit is vooral een poging om u in paniek te brengen. Panikeer niet.
Het kan zijn dat iemand is gesnapt bij een poging om op uw account in te loggen, maar overstuur raken helpt hier niet bij. Om u te helpen kalm te blijven en dit incident met minimale verliezen te overleven, rusten we u uit met de nodige kennis over wat dit kan zijn en wat u moet doen.
Wat het kan zijn
Laten we allereerst eens onderzoeken hoe een buitenstaander überhaupt toegang heeft kunnen krijgen tot uw account. Dat kan op meerdere manieren gebeuren.
Gegevenslek en credential stuffing
Er verschijnen regelmatig gegevenslekken in het nieuws, en zelfs als Facebook en Instagram niet rechtstreeks zijn getroffen, kan het zijn dat een andere website die gegevens heeft gelekt ook uw accountdetails bevatte, en in dat geval zijn de cybercriminelen dus in het bezit van uw inloggegevens. Met gebruik van een lijst e-mailadressen en wachtwoorden kunnen ze een credential-stuffing-aanval uitvoeren — oftewel: ze voeren de gestolen inloggegevens ook op andere websites in. Deze tactiek werkt omdat mensen regelmatig hetzelfde wachtwoord voor meerdere accounts gebruiken. Dit is een onverstandige maar zeer gebruikelijke praktijk.
Het kan ook zijn dat uw Facebook- of Instagram-inloggegevens via een gekoppelde app zijn gelekt. Afgelopen jaar in juni lekte SocialCaptain, een dienst voor het verkrijgen van meer Instagram-volgers via automatisering bijvoorbeeld duizenden wachtwoorden van Instagram-accounts. Het bleek dat de dienst hun klantengegevens niet had versleuteld. Er mag gerust worden aangenomen dat veel SocialCaptain-gebruikers sindsdien slachtoffer zijn geworden van hackpogingen.
Phishing
Het kan zijn dat u te maken hebt met de resultaten van een phishing-scam en dat uw gebruikersnaam en wachtwoord in de handen van oplichters zijn gevallen. Dat gebeurt. Misschien hebt u op een link geklikt en uw gegevens ingevoerd op een overtuigende maar neppe inlogpagina voor Facebook of Instagram. Nog niet zo lang geleden onthulden onze experts bijvoorbeeld een phishing-campagne die slachtoffers naar neploginpagina’s lokte door te dreigen met het blokkeren van hun Facebook-account in verband met een schending van auteursrechten.
Wachtwoorddiefstal
Malware kan ook inloggegevens stelen. Veel trojans zijn bijvoorbeeld uitgerust met een ingebouwde keylogger, een programma dat, zoals de naam al verraadt, toetsaanslagen op het toetsenbord logt. Als u malware hebt opgepikt die toetsaanslagen bijhoudt, bezitten cybercriminelen elke gebruikersnaam en elk wachtwoord dat u sindsdien hebt ingevoerd.
Diefstal van toegangstokens
Misschien heeft iemand uw toegangstoken gestolen. Om te voorkomen dat u uw wachtwoord elke keer moet invoeren op Facebook of Instagram, slaat de app een klein stukje van uw inloginformatie op uw computer op, ook wel bekend als een toegangstoken of kortweg token. Als een cybercrimineel een geldige token steelt, hebben ze toegang tot het account zonder een gebruikersnaam en wachtwoord.
Er zijn al tokens gestolen via kwetsbaarheden in Facebook — in 2018 kregen hackers bijvoorbeeld toegangstokens in hun bezit voor meer dan 50 miljoen Facebook-accounts. Tokens kunnen ook worden gestolen via browser-extensies.
Login vanaf en ander apparaat
Het is ook niet ondenkbaar dat u vanaf het apparaat van een ander hebt ingelogd op Facebook of Instagram — op een feestje, in een internetcafé, een hotellobby — en vervolgens niet hebt uitgelogd. Of u bent vergeten uit te loggen van uw account op een apparaat dat u later hebt verkocht of weggegeven. Zo kunt u ook iemand anders toegang bieden tot uw account.
Vals alarm (opnieuw phishing)
Wellicht is uw account helemaal niet gehackt. Het is ook mogelijk dat iemand juist een nepmelding over een verdachte inlogpoging probeert te gebruiken. Dat is phishing, en zoals hierboven al besproken, maar dan op een iets andere manier. In plaats van te dreigen uw account te blokkeren, kunnen cybercriminelen een nepmelding over een inlogpoging gebruiken met daarin een link naar een phishing-site die erg lijkt op de echte inlogpagina. Ze hopen er vervolgens op dat slachtoffers in paniek raken, naar de nepsite gaan en daar hun gegevens invoeren.
Wat te doen
Nu u de mogelijke oorzaken kent, is het tijd om actie te ondernemen.
Log allereerst in op uw account — maar natuurlijk niet via de link in de melding (want we hebben net gezien dat die u naar een phishing-site kan doorverwijzen). Gebruik de mobiele app van het sociale netwerk of voer het adres handmatig in de adresbalk van uw browser in. Als het wachtwoord niet werkt en u bent buitengesloten, raadplaag dan onze gedetailleerde gids over wat te doen als uw account al is gekaapt.
Als u wel kunt inloggen, ga dan naar uw accountinstellingen en controleer de authenticiteit van de melding. Elk sociaal netwerk kent zijn eigen interface; hier leest u hoe Facebook en Instagram berichten beheren.
Ga vervolgens naar Account-logins. Als u hier niets verdachts ziet, dan was het een phishing-bericht. Verwijder het bericht en ga verder met uw leven.
Als u wel iets verdachts ziet staan in de lijst met accountaanmeldingen, onderneem dan onmiddellijk actie om de schade te beperken:
- Log onmiddellijk uit van uw account op alle apparaten. Op Instagram moet u elke sessie handmatig beëindigen in het menu Accountaanmeldingen. Op Facebook kan dit met een enkele klik of tik onder Beveiliging en aanmelding in de instellingen. De sessie op uw huidige apparaat blijft zo actief.
- Bevestig uw telefoonnummer en e-mailadres in de accountinstellingen. Aanvallers kunnen deze gegevens wijzigen om links of codes te ontvangen om accountwachtwoorden te veranderen. Als ze dat al hebben gedaan, verander ze dan terug.
- Stel een nieuw, sterk wachtwoord in dat u nergens anders gebruikt. Als u zich zorgen maakt over het onthouden van wachtwoorden, sla ze dan op in een wachtwoordmanager, die u ook kan helpen met het bedenken van een sterke combinatie.
- Schakel tweestapsverificatie in om het hacken van uw account moeilijker te maken voor cybercriminelen, zelfs als ze uw wachtwoord hebben.
- Scan al uw apparaten met een betrouwbaar antivirussysteem om u ervan te verzekeren dat er geen malware opstaat.
Aandacht voor beveiligingsinstellingen in combinatie met goede beschermingssoftware maakt van uw account een onneembaar fort.