Zo hou je je geld veilig
Met de hele QR-code discussie leek het me een goed moment om mijn gedachten te delen over privacy en (digitale) veiligheid. Ik ben doorgaans niet zo hip en happening, dus als ik ein-de-lijk eens relevant kan zijn, dan ga ik ervoor. Gebruik jij hetzelfde wachtwoord voor je bank en je e-mail? Lees even verder. Gebruik jij een vaste structuur, Bolcom1234%
en Wehkamp1234%
, om wachtwoorden in te vullen? Lees even verder. Vind je two-factor authentication maar onhandig? Lees even verder. Zo hou je je geld veilig. En je identiteit ook.
Inhoudsopgave
Samengevat: zo hou je je geld veilig
Wees onvoorspelbaar en werp drempels op.
Onvoorspelbaarheid verkleint de kans dat kwaadwillenden jouw accounts binnenkomen. Een boef probeert informatie samen te voegen en te voorspellen wat je als wachtwoord zou kiezen. Ook voorkomt onvoorspelbaarheid dat een fraudeur vragen over jou correct kan beantwoorden. Wanneer er vijftien verschillende geboortedata van jou in de dataset staan, dan is dat moeilijker antwoorden dan wanneer dezelfde datum er vijftien keer staat.
Daarnaast kan je schade aanrichten zo moeilijk mogelijk maken, door drempels op te werpen. Onder andere door inloggen na een sms’je aan te zetten. Door een bank app te gebruiken. En door daglimieten in te stellen, maximaal een klein bedragje per dag overmaken.
Het belangrijkste is dat je je bewust bent van de risico’s. Gebruik de beschikbare tools om jezelf te beschermen.
Het risico van datalekken
In 2020 waren er 1.173 datadiefstallen in Nederland en 24.000 datalekken ‘per ongeluk’. Dat telt op tot 25.173 manieren om jouw geboortedatum te weten.
“De shopping app Scoupy waarschuwt miljoenen gebruikers voor gelekte klantdata.” Bedrijven zijn tegenwoordig vaak snel met beide een waarschuwing en een geruststelling: “De buitgemaakte data is niet gevaarlijk.” Maar is dat zo? In Scoupy staan foto’s van bonnetjes. Op bonnetjes staan pasnummers. Deze data is door een hacker buitgemaakt. Oei?
Je hebt vast eens gebeld met je bank om iets te wijzigen? “Dag meneer Thinkingbig, om zeker te weten dat u het bent wil ik graag even uw postcode en huisnummer, geboortedatum en favoriete eten controleren.” Afhankelijk van jouw Facebook of Instagram enthousiasme, kan vrijwel iedereen met toegang tot Google deze vragen beantwoorden. Door deze data publiek te maken creëer je je eigen datalek. De laatste checkvraag bij de bank: “Okay, om het écht zeker te weten meneer – wat is uw pasnummer?”
Een slimme fraudeur combineert jouw publieke data, met data vergaart via een datalek. In een vacuum is jouw e-mailadres + bankpasnummer niet gevaarlijk. Maar door jouw e-mailadres te Googlen en je social media uit te pluizen kan een kwaadwillende deze data verrijken. Naam erbij, geboortedatum, geboorteplaats, favoriete eten. Opeens kan iemand doen alsof ze jou zijn.
Soms lekt ook je wachtwoord. Dan kan je zelf al inschatten dat het goed mis kan zijn… Is jouw e-mailadres en wachtwoord combinatie bestaat uit mr@thingkingbig.nl met wachtwoord Bolcom123*
, dan kan een slimme crimineel heus wel Wehkamp123*
verzinnen. Niet elke boef is oliedom.
Social engineering met behulp van social media
Social engineering is een breed scala van manipulatie die criminelen inzetten om bij jouw accounts, en ultiem jouw geld, te komen. Fraudeurs gebruiken leuke enquetes en social media om zoveel mogelijk over jou te weten te komen, om daarna deze kennis te gebruiken om te doen alsof ze jou zijn.
“Doe de test en ontdek of jij de ideale match bent voor Brad Pitt of Tom Dumoulin!”, Facebook staat vol met dit soort posts. Leuk. Je beantwoord een paar onschuldige vragen en je krijgt een totaal onzinnig resultaat om te delen met je vrienden. Einde verhaal, toch?
Niet altijd. De antwoorden op deze social media enquetes zijn een rijke voedingsbodem om via ‘wachtwoord vergeten’ functies in jouw accounts te komen. Vooral op wat oudere sites zijn er vaak check-vragen zoals:
- Wat is de naam van je eerste huisdier?
- Wat was je favoriete band op de middelbare school?
Het idee is dat alleen jij deze vragen kan beantwoorden. Jij en de makers van Brad-Pitt-enquetes.
Sommige vormen van social engineering zijn nog doordachter. Bijvoorbeeld oudere ouders benaderen via sms, om te doen alsof ze hun kind zijn.
“Pap, ik sms je vanaf de telefoon van een vriend. Mijn telefoon is gejat en ik heb even geld nodig om een nieuwe te kopen. Alvast bedankt, liefs”.
Boef X
Daarvoor gebruiken ze zoveel mogelijk vergaarde data. De naam van je ouders, jouw huidige locatie, jouw naam. Hoe meer ze weten, des te eerder jouw ouders erin trappen.
Zo hou je je geld veilig – en je identiteit ook
De digitale wereld wordt enerzijds steeds onveiliger, maar aan de andere kant komen er ook steeds meer middelen beschikbaar om jezelf te beveiligen. Kwaadwillenden gaan, ook online, voor de makkelijkste slachtoffers. Jouw fiets hoeft niet PERFECT beveiligd te zijn, hij moet vooral beter beveiligd zijn dan de andere fietsen.
Digitale oplossingen
De eerste linie van verdediging: zorg dat je digitaal je zaakjes op orde hebt. Dat komt neer op het gebruiken van de hulpmiddelen die tot je beschikking staan.
- Gebruik een wachtwoord manager en laat deze je wachtwoorden willekeurig invullen. Ik gebruik zelf de Apple Keychain, ideaal.
- Herhaal nooit wachtwoorden en gebruik geen wachtwoord formule. Nogmaals: laat je wachtwoord manager de wachtwoorden voor je invullen.
- Gebruik two factor authentication overal waar dit aangeboden wordt. Bijvoorbeeld een bevestiging-SMS als je wilt inloggen.
- Bezoek de gecomprimeerde wachtwoorden features van je wachtwoord manager en verander wachtwoorden die gelekt zijn.
- Gebruik tijdelijke creditcards als je online shopt.
Zo beveilig je je Bankzaken
Bij je bank kan je wat drempels opwerpen om je geld veilig(er) te houden.
- Spreidt je geld over betaal- en spaarrekeningen. Zorg dat je nooit grote bedragen op je lopende rekening hebt staan. Zo maak je geld minder toegankelijk voor iemand die het voor elkaar speelt om in je bank account te komen. Net als met brand is het motto: vertragen!
- Stel een daglimiet in. Ik heb bijvoorbeeld ingesteld dat er niet meer dan € 500 per dag overgemaakt kan worden vanaf mijn rekening. Beperk de schade als het toch misgaat.
- Gebruik de mobiele app van je bank. Tegenstrijdig tot wat veel mensen ‘voelen’, is de mobiele app vaak veiliger in gebruik dan de website.
Banken apps zijn veiliger dan je denkt. Veiliger dan de website.
Dat komt doordat jouw app op meerdere fronten beveiligd is. De app is gekoppeld aan jouw telefoon (iets wat je hebt), je moet inloggen en bevestigen met een pincode (iets dat je weet) en vaak is het mogelijk om bijvoorbeeld FaceID in te stellen (iets dat je bent). Wil iemand in jouw app inloggen? Dan moeten ze beginnen met je telefoon te stelen. Dat heb je snel door.
De web omgeving van je bank is daarentegen vanaf overal benaderbaar. Hij is apparaat onafhankelijk. En alleen beveiligd op één niveau: je naam en wachtwoord (iets dat je weet). Iemand in Timboektoe kan proberen op jouw account in te loggen. Daar merk jij niks van.
Zo voorkom je social engineering
Veel partijen vragen meer informatie op dan dat ze nodig hebben. En wij als behulpzame gebruikers zijn van nature geneigd om eerlijk ons telefoonnummer in te vullen bij het veldje ‘Tel. nr.’. Maarja, dan ligt jouw telefoonnummer dus bij een eventueel datalek direct op straat. Terwijl die webwinkel jou echt niet hoeft te bellen.
- Liegen, liegen, liegen. Zorg dat de informatie die te vinden is over jou inconsistent en onbetrouwbaar is.
- Als een webwinkel, waar je zojuist voor € 16 aan cupcakes hebt besteld, je 06-nummer vraagt… Dan lieg je! 06 – 12 34 56 78, bel me gerust.
- Moet je verplicht een account aanmaken voor dat nieuwe puzzelspelletje op je mobiel waar iedereen het over heeft? Dan lieg je! Ik ben geboren op 1 januari 1927, serieus.
- Inloggen op Discord om te chatten over je hobby? Dan lieg je. Mijn naam is Karel Appel uit Schubbekutteveen. Echt.
- Catch-all e-mailadressen. Bij Gmail kan je achter je e-mailadres met een + een extra kenmerk meegeven. Zo kan je herkennen waar een spammer jouw mailadres vandaan heeft. Daardoor weet je waar het mis is gegaan. Bijvoorbeeld: mijn mailadres is mrthinkingbig@gmail.com (klopt niet, stuur geen mail), dan zou ik voor mijn account bij Fantasy Football als mailadres kunnen invullen: mrthinkingbig+fantasyfootball@gmail.com, berichten komen gewoon in mijn inbox. Komt er spam binnen? Dan weet ik welke informatie de spammers mogelijk nog meer bemachtigd hebben.
- Doe geen enquetes voor de lol. Zo leuk zijn ze niet.
- Maak nooit meteen geld over. Neem zelf contact op met degene die om geld vraagt, via een ander kanaal. Krijg je een sms? Stuur even een Whatsapp naar het nummer dat je altijd al appte.
Er is altijd meer dat je kan doen. Er is ook altijd meer dat kwaadwillenden proberen. Maar als je al deze tips toepast ben je alweer een flinke stap beter beschermd.
Wees veilig!
Hoe hou jij grip op je data en accounts?
3 thoughts on “Zo hou je je geld veilig”
Tijdelijke creditcards kende ik nog niet. Kun je een bedrijf/kaart aanraden?
Adviezen die ik ook wel eens heb gehoord:
– Een apart e-mailadres voor je beleggingsaccount of ander belangrijk account. Waarbij de naam niet naar jou te herleiden is.
– Een aparte laptop(of telefoon) specifiek om je beleggingsaccount e.d. te benaderen. Als je echt voorzichtig wilt zijn.
Een hele goede site om naar te linken in deze context is https://laatjeniethackmaken.nl/ !
Ik ga die site van het weekend eens rustig doorlezen. Dankjewel 🙏
Comments are closed.