Honderd manieren om e-mail te stelen

De techniek om gegevens van andermans pc te kraken, wordt steeds beter. Maar de mens zelf blijft de zwakste schakel in de beveiliging van computers.

Een concept-e-mail van iemand anders bemachtigen is niet zo moeilijk als het lijkt. Het is een mythe dat bij het stelen van informatie hoogtechnologische acrobatiek te pas moet komen.

De zwakste schakel in de computerbeveiliging is de mens. Het is denkbaar dat een collega van Tonino tijdens zijn afwezigheid achter zijn pc is gaan zitten en bestanden heeft gekopieerd. Dit valt te voorkomen door een screensaver in te stellen die alleen met een wachtwoord kan worden uitgeschakeld, maar dat is in bedrijven geen standaardprocedure.

Het is mogelijk via internet iemands mail te zien als je zijn gebruikersnaam en wachtwoord weet. Het mailadres van Tonino was op tv; daaruit is de gebruikersnaam af te leiden. Gebruikersnamen zijn vaak te raden: 'voornaam.achternaam' is gebruikelijk. Ter identificatie is altijd een wachtwoord vereist.

Soms krijgen klanten van hun provider een gemakkelijk te raden wachtwoord. Bij provider Tiscali is dit bijvoorbeeld de geboortedatum geschreven als 'ddmmjjjj'. Internetproviders eisen niet altijd van hun klanten dat ze een standaardwachtwoord veranderen, en zelden dat ze dit periodiek doen. Als ze zelf een wachtwoord moeten bedenken, kiezen mensen vaak iets wat makkelijk te raden valt, zoals hun eigen naam of die van een gezinslid. Zulke persoonlijke informatie maken mensen grif openbaar op hun eigen website of op `vriendensites' als Friendster.com en Orkut.com. Via de zoekmachine Google en Ikhebje.nl kan een minimum aan informatie over een persoon snel worden aangevuld.

Zulke informatie helpt weinig wanneer de betrokkene een sterk wachtwoord kiest, bestaande uit kleine letters, hoofdletters en leestekens. Zelfs een wachtwoord uit het woordenboek wordt afgeraden. Hackers hebben programma's waarmee in korte tijd alle woorden uit een woordenboek worden geprobeerd. De kunst is een wachtwoord te kiezen dat moeilijk te raden is maar voor de gebruiker makkelijk te onthouden.

Dan nog zijn er manieren. Veel moderne virussen installeren bij besmetting een keylogger, dat is een programma dat alle toetsaanslagen op de besmette pc vastlegt en naar een adres op internet stuurt. Zo kan de maker van het virus op zijn gemak de wachtwoorden opsporen, bijvoorbeeld door te zoeken naar de naam van het slachtoffer. Naam en wachtwoord worden altijd kort achter elkaar ingetikt.

Een ander zwak punt is het feit dat Windows wachtwoorden op een vaste plek opslaat. Sommige virussen kopiëren en verzenden onmiddellijk deze informatie. De kunst is dus het beoogde slachtoffer te besmetten. Zoals bekend is het repertoire aan verleidelijke virusmails inmiddels indrukwekkend. Goede antivirussoftware is een probaat tegengif, maar Tonino beweert zelf dat zijn oude pc was besmet.

Het is technisch mogelijk e-mail gecodeerd (met encryptie) te versturen. Dan kan zelfs een `mol' bij de internetaanbieder de mail niet lezen. Maar verzender én ontvanger moeten hiervoor de juiste software hebben. Zelfs kan alle informatie op een pc worden gecodeerd, zodat een dief er niets aan heeft. Alles wijst erop dat Justitie dit soort technieken niet gebruikt.