Heeft u online accounts die al jaren niet meer gebruikt zijn? Zo ja, dan is een digitale schoonmaak wellicht nodig. Volgens een schatting van Globenewswire heeft de gemiddelde persoon 168 wachtwoorden voor persoonlijke accounts. Maar inactieve accounts zijn een beveiligingsrisico, zowel vanuit persoonlijk als zakelijk oogpunt. Ze zijn een aantrekkelijk doelwit voor opportunistische criminelen.
Er zijn heel wat redenen waarom men een groot aantal vergeten, inactieve accounts heeft. Misschien wordt men dagelijks overspoeld met speciale aanbiedingen en nieuwe digitale diensten. Soms is de enige manier om ze te bekijken, zich aanmelden en een nieuw account aanmaken. Maar onze interesses veranderen en soms kunnen we de inloggegevens niet meer onthouden. Het is vaak moeilijker om een account te verwijderen dan het gewoon inactief te laten, wat een vergissing is.
Accounts die lange tijd inactief zijn, lopen een groter risico om gehackt te worden, aldus Google. De kans is groot dat ze oude of hergebruikte inloggegevens bevatten die mogelijk ooit betrokken zijn geweest bij een datalek. De techgigant beweert dat “verlaten accounts minstens 10 keer minder vaak twee-factor verificatie hebben dan actieve accounts.” Deze accounts kunnen een magneet zijn voor hackers, die zich steeds meer richten op account takeover (ATO) via verschillende technieken, zoals:
· Infostealer malware, ontworpen om inloggegevens te verzamelen. Volgens een rapport werden vorig jaar 3,2 miljard inloggegevens gestolen, waarvan 75% via infostealers.
· Grootschalige datalekken, waarbij hackers complete databases verzamelen met wachtwoorden en gebruikersnamen van externe bedrijven waar men zich mogelijk aanmeldde.
· Credential stuffing: hackers voeren gelekte inloggegevens in,via geautomatiseerde software , met als doel accounts te ontgrendelen waar men een gecompromitteerd wachtwoord heeft hergebruikt.
· Bruteforce-technieken, waarbij ze door trial-and-error wachtwoorden proberen te raden.
Als aanvallers toegang krijgen tot uw account, kunnen ze:
· Spam en scams naar uw contacten sturen (als het een inactieve e-mail- of social media-account betreft), of overtuigende phishing-aanvallen uit voeren in uw naam. Deze proberen gevoelige informatie van uw contacten te verkrijgen of ze te misleiden tot het installeren van malware.
· Uw inactieve accounts doorzoeken op persoonlijke informatie of opgeslagen kaartgegevens. Deze kunnen gebruikt worden voor identiteitsfraude of om phishing-mails te versturen die zich voordoen als een accountprovider om meer gegevens van u te bekomen. Opgeslagen kaarten zijn mogelijk verlopen, maar zijn ze dat niet, dan kunnen ze gebruikt worden om frauduleuze transacties uit te voeren in uw naam.
· Het account op het dark web verkopen indien deze enige waarde heeft, zoals een spaarrekening of een Air Miles-account dat men misschien vergeten is.
· Het account leeghalen (als het een crypto-wallet of een vergeten bankrekening betreft). In het Verenigd Koninkrijk zou dit naar schatting £82 miljard kunnen bedragen aan verloren bank-, spaar-, pensioen- en andere rekeningen.
Slapende business accounts zijn ook erg aantrekkelijk, omdat ze cybercriminelen een gemakkelijke toegang bieden tot gevoelige bedrijfsgegevens en -systemen. Ze kunnen deze gegevens stelen en verkopen, of er losgeld voor vragen. De Colonial Pipeline ransomware-aanval in 2021 begon met een inactief VPN-account dat gehackt werd. Het incident leidde tot grote brandstoftekorten aan de Amerikaanse oostkust. Een ransomware-aanval in 2020 op de Londense wijk Hackney was deels het gevolg van een onveilig wachtwoord op een slapend account dat gelinkt was met de servers van de gemeente.
Wat kan men doen om deze risico’s te beperken? Sommige dienstverleners zoals Google, Microsoft, en X sluiten inactieve accounts automatisch na een bepaalde tijd om resources vrij te maken, kosten te verlagen en de beveiliging van klanten te verbeteren. Als het echter om onze digitale veiligheid gaat, kan men best proactief zijn:
· Regelmatig inactieve accounts controleren en verwijderen. Een goede manier om deze te vinden, is de inbox te doorzoeken op trefwoorden zoals ‘Welkom’, ‘Account verifiëren’, ‘Gratis proefperiode’, ‘Bedankt voor uw aanmelding’, ‘Uw account valideren’, enz.
· De wachtwoordmanager of de lijst met opgeslagen wachtwoorden in de browser te raadplegen en alle wachtwoorden die aan inactieve accounts zijn gekoppeld te verwijderen. Wachtwoorden bijwerken die als onveilig gemarkeerd zijn of als er sprake is van een datalek.
· Het loont de moeite om het verwijderingsbeleid van de accountprovider te controleren om zeker te zijn dat alle persoonlijke en financiële informatie werkelijk wordt verwijderd als men het account sluit.
· Twee keer nadenken voor men zich aanmeldt. Is het de moeite waard om een nieuw account aan te maken?
Voor de accounts die men wil behouden, moet men naast het wachtwoord naar een sterk en uniek wachtwoord wijzigen en in een wachtwoordmanager opslaan, het volgende overwegen:
· Tweefactor-authenticatie (2FA) inschakelen, zodat zelfs indien een hacker het wachtwoord te pakken krijgt, het account niet gehackt kan worden.
· Nooit inloggen op gevoelige accounts via openbare wifi (althans niet zonder VPN), daar criminelen mogelijk deze activiteiten kunnen afluisteren en de inloggegevens kunnen stelen.
· Op de hoede zijn voor phishing-berichten die ons willen verleiden om onze inloggegevens te verstrekken of malware (infostealers) te downloaden. Nooit op links klikken in ongevraagde berichten en niet in pogingen trappen die ons tot actie verleiden, zoals door te beweren dat men geld verschuldigd is of dat het account verwijderd wordt als dat niet gebeurt.
Door een paar minuten per jaar de tijd te nemen om alles op te schonen, kan ons digitaal leven net iets veiliger worden.
Meer lezen
