Vrijdag 03/04/2020

Valse Facebooktoepassingen stelen doodleuk uw gegevens

‘Who viewed your profile?’ Niet wie u denkt. Volgens een onderzoek van Microsoft is identiteitsdiefstal via sociaalnetwerksites als Facebook, vooral via valse toepassingen waarop u zelf onverhoeds klikt, sinds vorig jaar vertienvoudigd. Alles wat u aan uw profiel toevertrouwt is zo, zodra het wordt gebundeld met de gegevens van duizenden anderen, veel geld waard in het spamcircuit.

Bijna 85 procent van alle gestolen persoonlijke gegevens komt van Facebook en andere sociaalnetwerksites, zegt het onderzoeksrapport van Microsoft. In januari 2010 was dat nog maar 8,3 procent. Het grote probleem is dat u die informatie opzettelijk deelt met anderen.

Wie op social networks als Facebook zit, komt ze bijna dagelijks tegen: aanvragen van toepassingen met schijnbaar onschuldige functies als ‘Fun for friends’, ‘View your greeting card’ en - ondertussen een klassieker - ‘Who viewed your profile?’ Ze worden bovendien gestuurd door mensen uit uw vriendenkring, dus ze komen nog uit onverdachte hoek ook. Maar in werkelijkheid zijn ze het werk van de internetmaffia, en dienen ze vooral om uw persoonlijke gegevens te stelen.

Speciaal voor het stelen van gegevens gemaakte toepassingen zijn maar één piste in het arsenaal aan mogelijkheden waarlangs booswichten uw gegevens kunnen hamsteren. Andere pistes zijn onder meer vriendschapsverzoeken van valse ‘vrienden’, of uitnodigingen voor evenementen. In ieder geval is er een trend, zo merken haast alle grote beveiligingsbedrijven als Symantec, McAfee, Sophos en G Data op.

1.200 procent

Maar gisteren kwam softwaregigant Microsoft met het meest overtuigende en kwantitatieve bewijs: het bedrijf bouwde zijn eigen beveiligingssoftware in zijn Windows-besturingssysteem, en scant op die manier liefst 600 miljoen computersystemen over de hele wereld. Uit de recentste versie van een halfjaarlijks rapport dat het bedrijf op basis van die gegevens opmaakt, blijkt dat bijna 85 procent van alle gegevens die illegaal worden gehamsterd via het internet uit sociaalnetwerksites als Facebook, LinkedIn en Twitter komen. Een stijging met 1.200 procent - verelfvoudigd dus - ten opzichte van begin 2010.

“De populariteit van sociaalnetwerksites heeft nieuwe mogelijkheden gecreëerd voor cybercriminelen”, zegt Microsofts malware protection manager Vinny Gullotto in het rapport. “Ze hebben niet alleen een directe impact op gebruikers, maar ook op hun vrienden, collega’s en familieleden.”

De kern van het probleem is niet dat u kwansuis op ‘Toestaan’ klikt, waarna de toepassing of valse Facebookvriend in kwestie beschikt over uw gegevens. Het gaat erom dat die in de eerste plaats op de sociaalnetwerksite staan. Verborgen voor het brede publiek, dat wel, maar daar valt snel een mouw aan te passen door eenvoudigweg een Facebooktoepassing te schrijven. Het systeem van Facebook (en andere sociaalnetwerksites) maakt het erg eenvoudig om die gegevens bloot te geven: één klik op de knop is voldoende.

Volgens een recente enquête van het Amerikaanse blad PC Magazine geeft een derde van al wie een profiel heeft op een sociaalnetwerk minstens drie brokken informatie weg die kunnen leiden tot identiteitsdiefstal: volledige naam, adres, e-mailadres, zelfs mobiel telefoonnummer. Met andere woorden: u maakt het identiteitsdieven gemakkelijk. Ook maakt u hen gemakkelijk rijk, want de informatie die u verstrekt is - als ze wordt gebundeld met die van duizenden anderen, of als u een sleutelpersoon bent in een bedrijf - veel geld waard op de zwarte markt.

“Het gaat in eerste instantie om de e-mailadressen”, zegt Eddy Willems van beveiligingsbedrijf G Data. “Degene die via een sociaalnetwerk zijn verzameld, zijn veel waard omdat ze effectief bestaan en gebruikt worden. Die gegevens worden verkocht aan booswichten die spammails versturen. Of erger: mails met een link naar een webpagina waarop malafide software staat, zodat er kan worden ingebroken in uw computer.”

Spear phishing

Wat ook vaak via sociaalnetwerken gebeurt, is een praktijk die men ‘spear phishing’ noemt: men wil binnen geraken in het computersysteem van een bepaald bedrijf of een bepaalde organisatie, en verzamelt daarvoor zo veel mogelijk gegevens van werknemers of leden daarvan. Die hebben vaak een profiel op Facebook, waarin ze hun officiële e-mailadres beheren, en alle persoonlijke gegevens (naam van vrouw en kinderen, meisjesnaam van de moeder, enzovoort) kunnen van pas komen om hun wachtwoorden te kraken. “Informatie die via Facebook wordt verzameld, is slechts de eerste stap”, zegt Willems. “De echte slag wordt later pas geslagen.”

Meer over

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234