Openbare netwerken maken het stelen van je identiteit wel heel makkelijk

Digitale identiteitsfraude is geen ver-van-je-bed show. Zeker niet als je regelmatig op openbare wifi inlogt zoals in de trein, bij Starbucks of een ander koffietentje of hotel. Vandaag publiceerde de Correspondent een experiment van Maurits Martijn waaruit blijkt dat het kinderlijk eenvoudig is om bijvoorbeeld berichten, wachtwoorden, geslacht, seksuele voorkeur en bankgegevens te achterhalen van mensen die zijn ingelogd op een openbaar netwerk.

Samen met hacker Wouter Slotboom doen ze een experiment op het terras van een koffietentje. Slotboom gebruikt hiervoor een klein apparaatje waarmee hij contact kan maken met alle laptops, smartphones en tablets die zijn aangesloten op het netwerk. Zo kunnen ze bijvoorbeeld zien met welke netwerken een gebruiker eerder aangesloten is geweest. Bijvoorbeeld gebruiker Martin die eerder verbonden is geweest Heathrow, vliegtuigmaatschappij Southwest, White Tulip Hostel en coffeeshop The Bulldog.

Inloggen op een nepnetwerk
In de eerste sessie laten ze iedereen inloggen op het nepnetwerk. De meeste smartphones, laptops en tablets zoeken automatisch naar een bekend netwerk waarop zij al eerder ingelogd zijn geweest. Het apparaatje doet zich daarom voor als zo’n vertrouwd netwerk waardoor alle apparaten zich automatisch daarop inloggen. Slotboom kan het netwerk ook de naam van het café geven; bijvoorbeeld Starbucks waardoor mensen eerder geneigd zijn zich met dat netwerk te verbinden. Al binnen korte tijd zijn twintig smartphones en laptops ingelogd via het nepnetwerk.

Vervolgens kan Slotboom van alles te weten komen over de gebruikers die verbonden zijn met het nepnetwerk. Dat kan ook via een beveiligd netwerk maar duurt dan net wat langer. Zo kan Slotboom bijvoorbeeld de bankrekening, wachtwoorden en dus identiteit van iedereen achterhalen. Het apparaatje is bovendien goedkoop en de benodigde software is kinderlijk eenvoudig te downloaden. Je hebt maar weinig technische kennis nodig om hiermee aan de slag te kunnen.

Het Nationaal Cyber Security Centrum, een afdeling van het ministerie van Veiligheid en Justitie adviseert daarom ook niet voor niets:

Het is af te raden in openbare plaatsen van een publiek wifi-netwerk gebruik te maken. Als u dat toch doet, vermijd dan werk of financiële activiteiten.

Namen en wachtwoorden achterhalen
In de tweede sessie laten Martijn en Slotboom zien hoe gemakkelijk je namen, wachtwoorden en seksuele voorkeuren kunt achterhalen. Ook hiervoor is een eenvoudig programma te downloaden waarmee je de specificaties van telefoontypen, taalinstellingen van verschillende apparaten en de versie van het besturingsysteem kunt zien. Zeker een verouderd besturingssysteem is een goudmijn voor hackers omdat daar altijd wel een bug in te vinden is.

Daarnaast is het programma in staat om het internetverkeer van de gebruikers te achterhalen. Zo is te zien dat gebruikers op Nu.nl kijken, WeTransfer documenten versturen, Dropbox gebruiken, actief zijn op Tumblr, inloggen op Foursquare en iemand die Grindr geïnstalleerd heeft. Maar ook van mensen die niet actief bezig zijn met internet komt informatie binnen. Veel mailprogramma’s en apps maken continu verbinding met servers om nieuwe gegevens op te halen. Zo is bijvoorbeeld ook te zien dat iemand een wachtwoord meestuurt naar een server en is dat in principe te achterhalen.

Hackerstrucjes
Voor de derde sessie heeft Martijn aan Slotboom gevraagd om “ethisch” te hacken om zo te laten zien wat hij allemaal te weten kan komen. Hoewel veel programma’s gebruik maken van versleutelingstechnologieën kan deze beveiliging eenvoudig worden omzeild wanneer de gebruiker is verbonden via het nepnetwerk. Zo kunnen ze binnen een paar minuten de afkomst, naam en interesses van de vrouw naast hen achterhalen.

Tot slot vraagt Martijn aan Slotboom om hem te hacken en te laten zien welke schade hij hem toe zou kunnen brengen. Martijn surft naar de website live.com en toetst een gebruikersnaam en wachtwoord in. Binnen enkele seconden verschijnen die gegevens op het scherm van Slotboom. Hij kan nu bij allerlei websites en sociale netwerken waar Martijn gebruik van maakt aangeven dat hij het wachtwoord is vergeten en dan komen alle e-mails om het wachtwoord te herstellen waarschijnlijk op dat e-mailadres binnen. Precies hetzelfde is mogelijk met bijvoorbeeld Facebook.

Slotboom kan bovendien het internetverkeer omleiden waardoor het lijkt alsof je op dezelfde website terecht komt maar eigenlijk naar een gekloonde website wordt geleid die identiek lijkt. Zo kan een hacker binnen een paar minuten e-mail, bank, Facebook en DigiD gegevens bemachtigen.

Het gebruik van openbare netwerken maakt het dus kinderspel om achter al jouw persoonlijke gegevens te komen. De vraag is nu wat je daar tegen kunt doen. In dit artikel legt Martijn in drie stappen uit wat je kunt doen om wél veilig te internetten.