Een nachtmerrie voor velen: je hebt geen toegang meer tot je eigen social media account. Je wachtwoord blijkt gewijzigd te zijn, net zoals je gekoppelde e-mailadres en telefoonnummer. Om het beeld nog realistischer te schetsen: je vrienden en familie vragen aan je of het wel goed met je gaat, aangezien je volgens hen schokkende berichten en content hebt geplaatst op je social media account. Wat blijkt: je bent gehackt. Dit kan voor zowel privégebruikers als ondernemingen die social media gebruiken veel gevolgen hebben.
Je steelt geen accounts
Hacken is een vorm van cybercrime (ook wel computercriminaliteit genoemd). Een van de definities van cybercrime is: ‘elk delict waarbij informatie en communicatietechnologie van wezenlijk belang is voor de uitvoering ervan’. Volgens het Cybersecuritymonitor verslag uit 2019 van het Centraal Bureau voor de Statistiek, waren 170.000 Nederlanders slachtoffer van hacking. Meer dan de helft van de hacks betreft social media. Onderzoek naar hacken laat zien dat social media accounts steeds vaker het doelwit zijn. Waarom? Bij het aanmaken van een social media account denk je meestal niet gelijk aan het beveiligen van je social media account. Toch zou dit een van de eerste dingen op je to-do-list moeten zijn om onnodige problemen zoals gehackt worden te voorkomen.
In dit artikel leer je dat hacken strafbaar is en daarnaast ook wat een belangrijke beveiligingstool is om je account te beveiligen. Lees vooral door tot het einde, want daar worden tips en tricks gedeeld om je sociale media zo goed mogelijk te beveiligen tegen ongewenste binnendringers.
Biedt de Nederlandse wetgeving bescherming tegen hacken?
Ja, in beginsel is hacken strafbaar gesteld in artikel 138ab van het Wetboek van Strafrecht (WvS) en behoort dit delict tot de categorie misdrijven. In artikel 138ab WvS, eerste lid, staat het volgende met betrekking tot hacken:
“Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
a. door het doorbreken van een beveiliging,
b. door een technische ingreep,
c. met behulp van valse signalen of een valse sleutel, of
d. door het aannemen van een valse hoedanigheid.”
Hacken is het ‘binnendringen’ in een computersysteem of netwerk. Met binnendringen wordt ook wel ‘inbreken’ bedoeld. Hiervan is sprake wanneer iemand zich zonder jouw toestemming (wederrechtelijk) toegang verschaft tot jouw account, computer of netwerk. De juridische benaming voor hacken is computervredebreuk.
Hoe kun je gehackt worden?
Hacken kan op verschillende manieren plaatsvinden. Denk hierbij bijvoorbeeld aan iemand die je wachtwoord kan achterhalen door het te raden of iemand die je social media onderzoekt en op basis daarvan stiekem je social media account kan binnen dringen. Dit soort acties zijn strafbaar gesteld, waarbij een gevangenisstraf van maximaal twee jaar of een geldboete van 21.750 euro kan worden opgelegd. Daarnaast is er sprake van hacken wanneer binnen wordt gedrongen in een zwak netwerksysteem van, bijvoorbeeld, een bedrijf, om zo bedrijfsinformatie te stelen. Ook is er sprake van hacken wanneer iemand een slachtoffer manipuleert tot het geven van hun inloggegevens doordat ze zich voordoen als iemand anders, ook wel phishing genoemd. Later in dit artikel zal dit aan de hand van een voorbeeld nog verder worden uitgelegd, omdat het zo vaak voorkomt.
Naast het binnendringen van het account, is onder andere ook het kopiëren, verwerken en delen van gegevens uit een geautomatiseerd netwerk strafbaar gesteld. Van een geautomatiseerd netwerk is sprake wanneer ‘een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er een of meer op basis van een programma, automatisch computergegevens verwerken’. Kortom, hiermee worden apparaten bedoeld, zoals computers, smartphones en routers, die op een netwerk zijn aangesloten. Denk hierbij aan het scenario wanneer een hacker met behulp van bijvoorbeeld een smartphone of computer jouw privéberichten van je social media account opslaat en/of deelt met anderen. Je kunt hiervoor maximaal 4 jaar gevangenisstraf of een boete van 21.750 euro opgelegd krijgen.
Hacken is strafbaar gesteld, TENZIJ…
In beginsel mag er niet gehackt worden. Toch kan hacken wel worden toegestaan, wanneer de hacker ‘goede bedoelingen’ heeft waarbij een maatschappelijk doel gediend is. Dit wordt ook wel ethisch hacken of white hat hacking genoemd. Dit betekent dat de hacker niet het doel heeft om gegevens te stelen of schade aan te richten. Wat de hacker wel beoogt, is het melden van fouten in beveiligingen aan een beheerder van het systeem van het desbetreffende bedrijf en dat deze onvoldoende beveiligd is. Deze zou makkelijk gehackt kunnen worden door kwaadaardige hackers, ook wel black hat hackers genoemd, die wel als doel hebben om schade aan te richten of geld te verdienen. De melding van de lek moet wel op een op een verantwoorde manier gebeuren, ook wel Coordinated Vulnerability Disclosure genoemd. Dit wordt bepaald door het beleid van de desbetreffende organisatie. Het idee achter ethisch hacken is dat het potentiële lek op deze manier gedicht kan worden en het systeem beter beveiligd zou moeten worden.
Er zijn wel criteria gesteld waaraan de white hat hackers zich moeten houden om te mogen hacken, zoals dat het hacken noodzakelijk was. Een black hat hacker zou zichzelf willen proberen te redden door te zeggen dat het een white hat hacker is en dat de hack ‘noodzakelijk’ was. Of een hack als ‘noodzakelijk’ kan worden aangemerkt is niet in de wet vastgesteld en het is aan de rechter om te beoordelen of je als hacker goedaardige of kwaadaardige bedoelingen hebt gehad. Hieronder volgt een zaak waarin duidelijk wordt gemaakt hoe kwaadaardige hackers te werk kunnen gaan.
Rechtszaak: hacken van social media accounts
In de rechtszaak van de Rechtbank Rotterdam van 11 maart 2019 targette de verdachte Instagram-accounts met meer dan 100.000 volgers. Zij kregen een phishingmail, die identiek was aan die van Instagram e-mails. Hierin was een knop opgenomen om gewijzigde gebruikersvoorwaarden te accepteren. Wanneer het slachtoffer hierop drukte, werd hij of zij vervolgens naar een website gebracht die heel erg op de website van Instagram leek. Deze website was door de daders nagebouwd en het slachtoffer werd verzocht de ‘nieuwe gebruikersvoorwaarden’ te accepteren door in te loggen op zijn of haar Instagram-account. Tegelijkertijd werden deze inloggegevens automatisch naar de database van de daders verstuurd. Op deze wijze hebben de daders inloggegevens van honderden gebruikers weten te verkrijgen. Met behulp van deze inloggegevens zijn de daders ingelogd op vele accounts en hebben ze de wachtwoorden ook gewijzigd. Zo konden de slachtoffers niet meer inloggen op hun social media accounts. De daders hebben vervolgens de gehele accounts verkocht en/of advertenties op die accounts verkocht. In sommige gevallen hebben de daders ook in andere social media platforms en e-maildiensten ingelogd.
De dader heeft zich in deze zaak schuldig gemaakt aan de volgende strafbare feiten: oplichting, computervredebreuk (het binnendringen van de social media accounts door middel van phishingmails) en het aantasten van computergegevens. Hier was dus sprake van hacken.
Schade
De slachtoffers in deze zaak hebben financieel schade geleden, omdat zij voor hun inkomsten vaak volledig afhankelijk waren van hun Instagram-account. Ook hebben de daders een ernstige inbreuk op de privacy van slachtoffers gemaakt. Hierdoor hebben de daders het vertrouwen dat iedereen moet kunnen hebben in het gebruik van persoonlijke social media accounts op internet ernstig geschaad. Zowel de slachtoffers als de samenleving zijn getroffen. De impact van deze zaak op de samenleving kan zijn dat er in de samenleving minder vertrouwen is in het gebruik van internet en sociale media.
Straf
Ten slotte is de verdachte door de rechter veroordeeld tot een gevangenisstraf van 32 dagen en een taakstraf van 160 uur. De vraag is of deze straf genoeg is om ervoor te zorgen dat de dader niet weer zal gaan hacken.
Direct je social media account beter beschermen
Hoe sterk je wachtwoord ook blijkt te zijn, het kan toch te allen tijde gestolen worden. Daarom hebben social media platforms, waaronder Facebook en Instagram, tweestapsverificatie aangeboden ter bescherming van je social media accounts. Wanneer je een tweestapsverificatie hebt ingesteld, word je gevraagd om een speciale inlogcode in te voeren of je inlogpoging telkens te bevestigen wanneer iemand toegang probeert te verkrijgen tot je social media account vanaf een onbekend apparaat.
Je kunt kiezen tussen twee soorten tweestapsverificaties:
1) inloggen met behulp van SMS-codes met je mobiele telefoon
2) het verkrijgen van logincodes met behulp van een derde partij authenticatie app.
Stel je voor, een hacker heeft jouw gebruikersnaam en wachtwoord. Zonder de tweestapsverificatie is het voor de hacker makkelijk om toegang te krijgen tot je account. Met deze tweestapsverificatie moet de hacker ook toegang hebben tot de code die je op je telefoon ontvangt. Deze kans is bijna nihil en daarom een goede keuze om hier snel gebruik van te maken.
Welke stappen kun je nog meer ondernemen om je social media account te beveiligen?
- Maak een ‘passphrase’ aan, in plaats van een ‘password’. Een passphrase is een zin waardoor je direct een lang wachtwoord hebt;
- Gebruik verschillende wachtwoorden voor verschillende accounts, om zo de hacker geen vrije hand te kunnen geven over al je accounts;
- Gebruik de tweestapsverificatie;
- Update je telefoon of computer gelijk wanneer een update beschikbaar is;
- Gebruik een anti-virus-programma;
- Klik niet zomaar op allerlei links en open niet zomaar bestanden die bijvoorbeeld naar je worden gemaild.
Nog een gouden tip: verander je wachtwoorden gelijk zodra je relatie voorbij is. Wat blijkt: je wordt vaker gehackt en digitaal gecontroleerd door je ex-partner, zodat ze je toch nog in de gaten kunnen houden na de breuk. Ben je alsnog gehackt en heb je hierdoor schade geleden? Doe dan aangifte bij de politie. De politie wordt er namelijk steeds beter in om hackers aan te houden.
Account is gehackt
Hacken is gelukkig strafbaar gesteld in de Nederlandse wetgeving. Toch is in bepaalde gevallen hacken toegestaan, zolang er voldaan is aan de eisen van ethisch hacken. Uit de besproken rechtszaak volgt dat persoonlijke social media accounts gehackt kunnen worden door middel van phishingmails. De impact van hacken kan heel groot zijn op de slachtoffers en de samenleving: minder vertrouwen in het gebruik van internet, met name social media. Om de kans op hacken te verkleinen, bieden de social media platforms een belangrijke beveiligingstool aan, zoals de tweestapsverificatie. Better safe than sorry, toch?