“Goedenavond, met Marktplaats.nl Fraude Detectie. Spreek ik met de heer [achternaam]?”

“Ja, daar spreekt u mee.”

“Ik neem contact met u op omdat we normaal gesproken zien dat u inlogt vanuit [woonplaats in Nederland], maar er nu ingelogd wordt vanuit Frankrijk. Kan dat kloppen?”

“Nee, dat kan niet want ik ben niet in Frankrijk.”

“Ok, dat is precies waarom we contact met u opnemen. Waarschijnlijk gaat het hier om fraude. We kunnen het account voor u afsluiten en dan moet u een nieuw account openen of we resetten alleen uw e-mailadres. Ter verificatie: wat is uw e-mailadres?”

“[naam]@live.com Maar als het account afgesloten is, ben ik dan ook het geld voor mijn auto-advertentie kwijt?”

“Ja, dan is alles weg. Maar we kunnen dus ook het e-mailadres resetten.”

“Doe dat dan maar.”

“Ok. Dan reset ik nu en dan ontvangt u een SMS-bericht met daarin een code, als u die aan mij geeft passen we het aan en kan u weer bij uw account.”

Op dit punt in het gesprek kreeg de consument die zijn auto via Marktplaats wilde verkopen door dat er iets niet klopte. Hij ontving daadwerkelijk een SMS om z’n e-mail te resetten, maar deze was afkomstig van Microsoft. Het e-mailadres moest ook meerdere malen gespeld worden om deze te verifiëren wat natuurlijk opvallend is als “Marktplaats” het op zijn scherm heeft staan. Dat was dan ook niet het geval, het gaat hier natuurlijk om een scam.

De achternaam en woonplaats hoefde de scammer niet te gokken, die staan immers gewoon in de advertentie.

Een slinkse manier van social engineering om bij je e-mailaccount te komen in de hoop dat daar weer andere, waardevolle accounts aan hangen.

Als je een dergelijke SMS-code aan iemand doorgeeft raak je de controle over een account in ieder geval kwijt. Websites of een bank zullen nooit telefonisch om dergelijke gegevens vragen! En tenzij hackers het heel bewust specifiek op jou hebben voorzien* is het ook de enige manier om die controle kwijt te raken, want ik ga je nu vertellen hoe je ‘Verificatie in twee stappen’ instelt voor Gmail.

* Zoals in “Als hackers ook de controle SMS op je mobiel onderscheppen” gebeurde.


Verificatie in twee stappen voor @gmail.com

Voor een Gmail-account met je eigen domein werkt het net ietsjes anders, klik hier om te lezen hoe je daarvoor verificatie in twee stappen regelt.

Stap 1: in Gmail heb je rechts bovenin, onder je foto of bolletje met initialen, een tandwiel.

Stap 2: Als je daar op klikt kun je in het uitklapmenu op Instellingen klikken.

Stap 3: Tabblad Accounts.

Stap 4: Link direct bovenaan Instellingen voor Google-account. Je komt nu in je account terecht, de directe link is https://myaccount.google.com

Stap 5: Onder het kopje Inloggen en beveiliging staat Inloggen bij Google.

Stap 6: Authenticatie in twee stappen staat hier op Uit. Klik daar op en je moet het wachtwoord van je account nogmaals invullen.

Stap 7: Je doorloopt nu simpelweg de stappen (de zogenoemde Beveiligingscheck) die eindigen met het invoeren van je mobiele telefoonnummer. Je ontvangt nu een SMS-bericht (tekst en spraak) om dit proces succesvol af te ronden.

JE E-MAIL IS VEILIG!

Vanaf nu krijg je na het gewone inloggen met je e-mailadres en wachtwoord altijd een code opgestuurd via SMS, die je invoert om bij Gmail te komen.

Als je zoals ik elke dag tientallen keren inlogt op je mail is dát weer irritant. Gelukkig kun je, je computer of mobiele telefoon toevoegen als ‘vertrouwd apparaat’ waardoor je de code niet meer hoeft in te voeren. Probeert iemand op een ander apparaat toch toegang te krijgen, dan is de code die alleen jij via SMS ontvangt weer wel nodig. Een extra laag beveiliging dus!

Er zijn ook andere manieren om de codes te ontvangen:

  • back-upcodes die je kunt uitprinten (voor op reis)
  • een zogenaamde Google-prompt, een melding op je telefoon die vraagt of je wilt inloggen
  • Authenticator-app, dat een is een aparte, mobiele applicatie die elke 30 seconden een unieke code genereert
  • Backup-telefoon voor als je, je telefoon kwijt bent of als ‘ie gestolen is, super handig dus!
  • Beveiligingssleutel, op een USB-stick

SUPER STAP: je kunt direct naar https://myaccount.google.com/u/1/signinoptions/two-step-verification gaan (hiervoor moet je altijd je normale wachtwoord invoeren) om verificatie met twee stappen in te stellen. Of als je alle beveiligingsinstellingen even wilt nalopen kan dat door hier https://myaccount.google.com/security op Aan de slag te klikken!

Verificatie in twee stappen voor @jouwdomeinnaam.nl via Gmail

  1. Ga naar www.google.com/a of https://gsuite.google.com/intl/nl/ en klik rechts bovenin op Aanmelden.
  2. Vul je domeinnaam in (voor mij is dat www.logfather.com) en klik op Uitvoeren.
  3. Indien je nog niet ingelogd bent met Gmail of juist ingelogd bent op meerder accounts, dan moet je nu je wachtwoord invoeren.
  4. Ga naar het grote icoon voor Beveiliging. Klik op Algemene instellingen.
  5. Vink ‘Gebruikers toestaan authenticatie in twee stappen in te schakelen’ aan en klik op Opslaan.
  6. Het is nu aan de individuele gebruikers van @jouwdomeinnaam.nl om ’t voor zichzelf in te schakelen, dat kan met de stappen hierboven.

JE ORGANISATIE IS VEILIGER!

PRO TIP: Als je in stap 5 het vinkje zet, kun je met de link daaronder naar Geavanceerde beveiligingsinstellingen toe. Daar is het mogelijk iedereen in je organisatie direct of vanaf een bepaalde datum te dwingen om verificatie in twee stappen te gebruiken.