Zo vond ik mijn hackers
Salwa is gehackt. En ze is niet de enige: steeds meer mensen lijken het slachtoffer van phishing. In deze video gaat Salwa achter haar hacker(s) aan.
Grafisch ontwerp: Onno van den Dungen
Verantwoording:
Voor dit verhaal verkreeg de NOS toegang tot de systemen van een groep internetcriminelen. Tekstbestanden waarin de logingegevens van slachtoffers werden vastgelegd, bleken niet goed beveiligd; daarom konden we die documenten uitlezen.
Bovendien bleek de website die de criminelen gebruiken om de gegevens van slachtoffers uit te lezen, slecht beveiligd. Samen met onderzoeker Koot gebruikten we een beveiligingslek, en injecteerden we computercode. Iedere keer dat de aanvallers inlogden op hun phishing-paneel, kreeg de NOS informatie over de criminelen, zoals vanaf welk IP-adres ze inlogden en met wat voor apparaat.
Ook konden we de aanvallers zo doorsturen naar een door ons gemaakte phishing-pagina, waar ze ook daadwerkelijk één keer inlogden met geldige logingegevens. Die gegevens gebruikten we vervolgens om in te loggen op het webhosting-account van de aanvallers. Daarmee konden we nog eens extra vaststellen vanaf waar ze inlogden.
De gegevens van slachtoffers én daders die we hebben verzameld, zullen we kort na publicatie verwijderen. Normaliter is inbreken in computersystemen strafbaar, ook als die van criminelen zijn; journalisten mogen, als een journalistiek onderzoek dat rechtvaardigt, soms de wet overtreden.
Abonneer, zet je belletje aan 🔔 en praat mee!
00:00 Intro
00:52 Hoe het begon
02:55 Wie is die man op mijn profielfoto?
04:35 Zo gaan hackers te werk
07:14 Hoe ik mijn hackers terug hackte
08:27 Dit zijn mijn hackers
Volg ons ook op:
Insta: / nosop3
TikTok: / nosop3
Twitch: / nosop3
Lang verhaal kort, onze dagelijkse podcast: www.npo3fm.nl/podcasts/lang-v...
VRAGEN/TIPS/IDEEËN? We horen graag wat jij van het nieuws en onze uitleg vindt, laat je horen in de comments! Of mail ons: nosop3@nos.nl
De NOS is de grootste nieuwsorganisatie van Nederland. Bij NOS op 3 vind je elke zaterdag nieuws dat je niet mag hebben gemist. Wij gaan voor jou op onderzoek uit naar nieuws uit jouw wereld. Ook vind je hier uitleg bij het nieuws.
Ben jij weleens gehackt?
Nope, ook nog geen gelekt mailadres of telefoonnummer gehad
ik wel een keer
Jep, 2 weken geleden... Gelukkig niet mijn email adress. Ik kon daarom alles zeer snel herstellen.
@@Trancelistic Het kan iedereen overkomen, ook als je "verstandig" bent.
Helaas wel. Een tijd terug is mijn facebook, ondanks 2factor, gehackt. Ik heb zéker geen 2factor code verstuurd of een verzoek goedgekeurd. Mijn profiel kan ik sinds dien niet meer in, account recovery via Facebook leidt tot niets. De hacker lijkt niets met het account te doen. Jammer dus.
Stap 1 - Bel Kees
YOU ARE YAHOOBOY
Cheese from the Bacon!
Kees is al eens naar Nigeriaanse oplichters gegaan
@@Geertt nee echt 😂💀
Cheese from the bacon at your service
Serieus mooi voorbeeld van turning lemons into lemonade, gehackt worden en daar zo'n sterk newsitem van maken. Erg waardevol!
Je had Kees ff moeten bellen. Die komt vaak in Nigeria.
😭😭😭😭
Die Joost komt wel met goeie antwoorden op 5:12.... Ja ja ja ja
Ja ja ja ja
Joost mag t weten zeggen ze toch.... Nouuuu...
Die meid blijft ook maar doorratelen in plaats van Joost de kans te geven om te antwoorden.
Maar, je kan zien hoe slimmer de mensen hoe minder haar en hoger voorhoofd ze hebben. Komt omdat ze vaak hun brein gebruiken => hoofd wordt heet => minder haar op hoofd voor extra verkoeling.
ik heb zo'n gevoel dat het antwoord utigelegd werd door Salwa erna in een mooie verhaalvorm ipv de technische praat van Joost. Alleen beetje ongelukkig geëdit.
Dit was Rian van Rijbroek nooit overkomen. Die heeft alles in de smart blockchain.
Deze comment verdient meer likes :)
Behalve de 91 miljoen die d'r vent even mag aftikken...
Wat is dat "smart blockchain"?
Maar die heeft ook the internet of Sfinx
HAHA
Hele leuke video, vooral omdat het zo'n persoonlijke reis is. Ik denk dat als het een algemene "dit is hoe mensen gehackt worden", met wat interviews en hetzelfde "counterhacken" + conclusie zou zijn geweest, het super saai zou zijn. Daar zijn al duizenden videos van die vaak ook dieper erin gaan dan een NOS op 3 video. Juist doordat we met jouw avontuur mee gingen, werd het leuk. Hoop dat we wat meer van zulke persoonlijke videos gaan zien. Om die gok video van laatst als voorbeeld te nemen, wat als jullie daarin zelf gingen gokken en bijhielden welke dark paterns jullie tegen kwamen in jullie journey, etc. Zulke dingen.
Klinkt als een job voor cheese from the bacon
Alle twee trapsverificaties gecontroleerd en zonodig aangezet. Dank je wel en succes met terughalen van je account, Salwa!!! 👋🏼😊👍🏼
"X Account" bah twitter klinkt beter
It's great that you are raising awareness about such issues as information security. I wish this was a subject in all schools. Keep up the good work.
Thanks voor de video, heb dit eindelijk gebruikt om 2 step verification aan te zetten op alle belangrijke accounts en toch eens in die pop-up over mijn gehakte wachtwoorden te duiken.... stond al iets te lang op de to-do lijst....
2 staps authenticatie is waardeloos, die codes sturen ze naar je gekraakte telefoon of e-mail beter gebruik je gewoon lange unieke wachtwoorden overal
@@googlacco Ja, 2FA met sms of email is minder goed, toch is elke vorm van 2FA beter dan geen 2FA. TOTP's (Zoals met Google Authenticator) daarintegen bieden een goede beveiligings linie. Het is niet feilloos, maar maakt het zeker moeilijker om te omzeilen. Nog beter is het om niet overal het zelfde wachtwoord te gebruiken. Dan worden niet al je accounts en e-mail in 1x gehacked.
Ik heb net mijn 2e verificatie op sms aangezet. Dank je wel!
SMS heeft geen of slechte encryptie en kan (relatief) eenvoudig worden omzeild. Het beste is een goed beveiligde authenticatie app zoals die van Google of Microsoft.
Dit leek mij onmiddellijk een vreemde uitspraak aangezien SMS niet werkt via internet. De SMSen worden altijd naar de fysieke SIM kaart gestuurd. Die zal dus nooit naar iemand anders worden gestuurd. Dus daar zou in principe geen 2 staps verificatie aan te pas komen. SMS zelf is niet zo betrouwbaar. Ik zou aanraden van toch een authenticator app (microsoftt, google) te gebruiken.
Tsja als IT-er van 40 zegt mij deze zin alles: "Ik klikte op een link".. ik snap echt niet waarom mensen dit blijven doen!
Eens. Het is gewoon link.
Ik snap ook niet dat mensen hun inloggegevens invullen in willekeurige formuliertjes.
Maar volgens mij klikte jij ook op een link om deze video te bekijken😮
Ben zelf ook nooit in zoiets getrapt, maar kan best begrijpen dat het vaak gebeurt. Veel mensen hebben niet genoeg kennis, en als ze dat wel hebben, kan een neppe mail of een berichtje net precies geloofwaardig genoeg zijn om je beet te nemen op het moment dat je moe of ziek bent en je concentratie dus niet ideaal is. Dat soort situaties is nou precies waar deze mailtjes op hopen. Zo'n klein foutje hoeft maar één keer gemaakt te worden.
Dit was Rian van Rijbroek nooit overkomen. Die heeft alles in de smart blockchain.
Deze figuren Hackers noemen is teveel eer en een belediging voor echt hackers. Iedereen kan een Phishing mail opstellen.
Het is een vorm van social engineering. Werkt nog altijd beter dan ip adres achterhalen, poorten scannen, achterkomen wat voor software daarachter draait, op basis van software versie achterhalen wat voor bugs en zero days aanwezig zijn, stukje software schrijven om via zijwegen binnen te komen en dan alles overnemen.
@@Larstig81 Met A.I. is social engineering tegenwoordig heel makkelijk geworden. Het is heel makkelijk om een goed Nederlands mailtje te schrijven ondanks dat je de taal niet kent.
Jammer dat deze video zo kort duurt, tijd was voorbijgevlogen. Een hele interessante actuele onderwerp, bedankt!
dankje wel voor die video ik was ook vergeten te doen ik heb naar deze video gedaan 2 stap.
Hoe minder social media je gebruikt hoe minder last je hebt van zulke dingen. Helpt ook om meerdere email accounts te hebben
Kan op allerlei manieren gebeuren. Niet alleen via Sociale Media. In principe via alle digitale communicatie mogelijkheden tot zelfs fysieke overvallen met stelen van pinpassen, identiteitsbewijs, enz.
En andere namen. Mijn insta was ook gehacked gebruikte het niet had ook een naam die ik nergens anders gebruik dus is insta de enigste waar ik niet in kon. Maar het was toch een leeg account
Meerdere wachtwoorden zijn beter dan meerdere e-mail accounts.
Facebook en Twitter is niet zomaar te hacken, deze mensen geven zelf de boel weg, of gebruiken dezelfde wachtwoorden voor elk account. Elk social media account of iets anders moet ten alle tijden ene eigen uniek wachtwoord hebben.
Zoals in de video wordt benoemd geven mensen inderdaad zelf hun gegevens weg. Iemand die ik ken is op dezelfde manier gehackt, haar account bleef op dezelfde manier bestaan en verstuurde vanuit haar naam verzoeken naar mensen om op haar te stemmen voor één of ander cultureel programma. Het was geen raar-ogende link, de website leek echt, het bericht was amicaal en in het Nederlands geschreven en het “bevestigen” van je stem vereiste inloggen op je sociale media op dezelfde wijze als hoe bijvoorbeeld spotify-tracking apps of games dit doen om je account te linken. Vrij weinig wees echt op phishing. Zeker omdat de hackers ook gewoon het gesprek aangingen met mensen die op de ontvangen berichtjes reageerden, alsof het écht die meid was.
Ze verteld dat ze slachtoffer van phishing is geworden. Ze heeft dus zelf op een website die er betrouwbaar uitzag haar inloggegevens ingevuld. 2FA zou haar geholpen hebben, maar die had ze niet ingesteld.
Goede muziekkeuze voor het intro, zeg!
zo nice deze video!! super interessant
Beste Salwa, misschien is het een idee om dit meer voor het Nederlandse volk te maken. Hier een paar namen van de beste in het vak op dit moment. Kitboga, Nanobaiter, Jim browning, Pierogi
Goeie video. Wilde 2 staps verificatie aanzetten op mijn Facebook. Maar Facebook zegt NEE mag niet 😂 'je ziet niet lang genoeg op dit apparaat'. Gebruik mijn telefoon al jaren maar blijkbaar moet ik onveilig blijven, top man.
Dat is ook al lang niet veilig meer. 2FA werkt niet als je gehackt wordt terwijl jij (of je gsm) ingelogd staat bij facebook (etc)
Gewoon je Facebook account verwijderen. Dat is een betere optie.
goeie wraak om dit te bekent te maken
7:44 SQL injection? hoe krijgen ze daarna een notificatie als de hackers hun db lezen?
Echt heel goed dat je dit zo hebt laten zien. En voel je niet slecht over dat dit jou is overkomen, zelfs bij dé expert op dit gebied, Jim Browning, is dit wel eens mis gegaan.
En soms weet je ook niet hoe het komt, mijn insta acc is ook gehacked maar ik heb dat account sinds 2014 al niet meer gebruikt stond ook niks oo het acc amper volgers etc. Dus voor mij geen verlies maar kan idd iedereen overkomen
Weer die hackers Kees en Hanna, altijd dezelfde.
Goede video! Ik vraag me af: meerdere accounts van je waren gehackt. Hoe kon dat gebeuren door op 1 link te klikken? Waren ze aan elkaar gelinkt, zelfde wachtwoord gebruikt? Dit is niet om te veroordelen maar een oprechte vraag om te begrijpen hoe meerdere accounts met 1 phishing link gehackt kunnen worden
Hoe heet die programma die Joost gebruikt
Geen social media gebruiken is stap 1. Daarna overal MFA op instellen
dat is bij mij ook bezig maar ik heb zelf snel aangepast en ook extra beveiligd
Doe over identiteitsfraude
Dank voor je tip!
Ik heb de 2staps verificatie ingesteld, thanks ❤
Ik ben mijn toegang tot mijn email wel eens kwijt geweest jaren terug, gelukkig heeft Microsoft een super goed systeem om te kunnen bewijzen dat jij jij bent. Had met 10 minuten mijn account terug. Als hun spam filter nauw ook eens zo goed zou zijn... 😅
elke woensdag.. gehektdag
Leuke presentatrice ❤
Het is een lieve vrouw
Waar aangifte doen?
Recentelijk zelf ook meegemaakt, alleen niet via een phishing link en meer ellende dan alleen geen toegang tot sociale media
Ik ben zelf ook een paar weken geleden gehackt. Ergens een trojan geïnstalleerd, de virusscanner had het niet herkent en zo had iemand anders toegang tot mijn laptop. Er werden terugbetalingsverzoeken van Steam games gedaan, posts op mijn Twitter geplaatst en er is op meer accounts ingelogd (waarmee de persoon in kwestie waarschijnlijk mijn persoonlijke informatie heeft verkregen). Uiteindelijk de hele laptop moeten resetten (voor als iemand dit leest en dit ook ooit meemaakt: niet via de fabrieksinstellingen. Installeer windows op een aparte harddrive en trek daarmee je apparaat leeg.) en omdat ik geen back-ups maakte was ik daardoor toch een hoop data kwijt.
Salwa❤
Bogdanoff is een crypto meme. Hij zou de koersen van crypto kunnen manipuleren door het plegen van telefoontjes.
ik gewoon
Jaja. Volgens mij ben jij stiekem gewoon Bogdanoff.
😶
Production value of this channel is incredible!! 🤩
🫶
Bij de fishers begrijp ik niet waarom ze zoveel klunsige kleine fouten erin hebben. Spelfouten, rare links/urls, geen 100% nabau van een originele email of website, etc. Zelfs een afzender van een email kun je zo faken dat het niet direkt in een email programma te zien is (zolang niet op antwoorden of in de email headers)
Verdorie, ik maar denken dat Salwa eindelijk met mij op date wil..
Had niet daft punk verwacht in de intro
Toch zie ik het nadeel niet van gehackt worden en dan helemaal verdwijnen op socials 🎉
Hoewel er technieken zijn om cookies te stelen of malware te installeren met alleen het klikken op een link, is het wel zeer onwaarschijnlijk. Ik had het wel interessant gevonden als dat was geanalyseerd. Voorkomen is beter dan genezen.
wel belachelijk dat de Social media bedrijven miljarden verdienen, maar beetje service bieden Ho maar...
Kees wil weer een keer heeel graag naar Nigeria….
Kees van der Spek 2.0👀👀
En ik maar denken dat ik een match heb met Salwa.. man man man
Het is tijd voor super Kees om in actie te komen.
Ik gebruik insta niet zoveel alleen maar om soms video's te kijken en dan gebeurt er niet zo veel
heeft u u acount nu nog terug gekregen?
ja! Gelukkig wel :)
Omg mooie aflevering ❤
en precies om die reden gebruik je dus 2 step form verification / authenticator
Dit soort dingen moeten ze echt op school vertellen. Daarnaast moet bijvoorbeeld 2fa standaard op alle applicaties aan staan, geimplementeerd door de eigenaars van de applicaties. Op werk heb je sowieso overaal naast ww ook 2fq staan en dat is niet voor niks.
Waar is t eind? Nu komt er na twee stap verificatie alweer fysieke passkey.
Gaan jullie ook een video maken over de Europese verkiezingen en de thema's die nu spelen? Komen daarnaast de Nederlandse vertegenwoordigers en hun ideeën aan bod😀
Zijn zelfverzekerde houding verborg zijn diepgewortelde werkelijkheid 3:08
11:29 op deze knop drukken lukt mij helaas niet.
Opnieuw een toffe video! zouden jullie misschien een video kunnen maken over het land Turkmenistan? (Bijnaam: het Noord-Korea van Centraal Azië)
Dank voor je compliment en tip, nemen we mee in onze vergaderingen!
dank
Dit is haar niet overkomen, maar iemand anders, zo wordt men voorgelogen
5:35 echt 0 antwoorden uit hem lol
Ik denk dat het belangrijkste is dat ons dit allemaal kan overkomen. Er zijn een paar standaard stappen(tweestaps is wel heel een hele goeie) maar nog steeds moet je er bijna van uit gaan dat jou profiel misbruikt wordt met alles dat je online gooit. Het hele millenial gedachte: "Ah, het is toch maar -insert webshit-" is niet meer van toepassing.
Valt dit onder hacken? Is dit niet 'gewoon' phishing ? Als je jouw login gegevens weggeeft waarna een vreemde ermee aan de haal gaat komt er weinig 'hacken' aan te pas :)
Dit valt onder hacken, het verkrijgen van online gevevens zonder daar bevoegd voor te zijn is hacken. Dat het kinderspel is om zo gegevens van mensen te stelen geef ik je gelijk in. Je zou het kunnen vergelijken met een blikje red bull te stelen en een auto te stelen. Beide is diefstal
Klopt. Het is jammer dat hier de termen door elkaar worden gebruikt, aangezien er wel een groot verschil in zit. Bij een phishing aanval wordt de gebruiker aangevallen. Terwijl bij een hack, het systeem wordt aangevallen. Het eindresultaat is soms hetzelfde, namelijk dat je je account (tijdelijk) niet meer kunt gebruiken, daarom wordt het nog wel eens door elkaar gehaald. Echter alles wat eraan vooraf gaat, en hoe je je ertegen moet verdedigen, is totaal anders, en heeft niks met elkaar te maken.
Geen linkjes drukken dus
Salwa mag Ik je nummer (voor de twee staps verificatie)?
🤪🤪🤪
Ik baal wel een beetje dat ik m'n accounts niet zo veilig had als ik dacht...ik bleek ook niet overal twee-staps verificatie aan te hebben
Dan hadden hackers maar geen journalist moeten hacken, dan krijgen ze een koekje van eigen deeg. Jammer voor de hackers.
Die aiornot werkt in ieder geval goed.
ik was hacker en deed dit heb ik wel spijt van maar heb alles proberen terug te geven, goeie video!
Hoe kun je een journalist zijn maar in een phishing mail op een link klikken …😮
Holy shit! Deze Chick is zo mooi als ze slim is!
nou ... vind het reuze meevallen ...
Leuk dat Joost Schellevis de hacker terug hackt, maar dit is toch ook gewoon computervredebreuk? Het is alsof je bij een zakkenroller gaat inbreken in z'n huis en hier een rapportage van maakt.
Ga na deze video meteen 2FA aanzetten! En voor de zekerheid maar even wat wachtwoorden verwijderen zodat het niet overal hetzelfde is
die joost is echt een scriptkid............. ik zie dat hij gwn pijn en moeite mee heeft..... mathijs daarintegen! legend!
hoe meer je post en hoeveel er 'volgen' hoe makkelijker bots je sorteren
Die Mathijs is echt sigma hoor
Wel wat is gewend
11:15 stiekem is jouw account daarop wel echt 😂
nope
Heei dis gebeurd met mijn tiktok acount!!
7:32 gewend is...
Ik ben ooit gehackt via een screenshot. Gelukkig reageerde Instagram erg snel. Had binnen een week mn account terug 😅
Als je aangifte doet, dat haalt niet veel uit volgens mij
Hekkie?!
ik woon 4 hoog!!1
Ik ben precies op deze manier gehackt. Wat een rotzooi!
het kan goed zijn dat ze een vpn en proxy gebruken en dat ze gewoon uit europa komen
Wijze les, gebruik niet overal hetzelfde wachtwoord. Zal zij vast ook gedaan hebben en daardoor is ze alles kwijtgeraakt.
met je aaie (AI)😄
Ik was dat
altijd vervelend als je achterkant lek is
Ow nog een toevoeging. Animos of ai over de sportprestaties van je leven heen. Ben ik ineens een Adam die sandalen draagt o.a..
4:48 Hoi Salwa, je zegt hier dat het begon bij een phishing link. Hoe ben je daar achtergekomen dan? Want dat lijkt me ook nog wel iets. Hoe weet je überhaupt dat het daarmee begonnen is? En niet met een snelle hack?
Hoi! Op die phishinglink moet je inloggen om ergens op te stemmen, op dat moment geef je je gegevens eigenlijk uit handen. Direct hierna lukte het niet meer om in te loggen, omdat alle gegevens direct werden aangepast.
Ah thanks! Dat gaat snel dus. Mooi filmpje om mensen weer eens op cyberveiligheid te wijzen!
Je ziet toch aan het begin van het filmpje dat ze op een link krijgt die ze van onbekende krijgt. Hier begon haar probleem. Als ze hier niet op had geklikt was er letterlijk niets aan de hand geweest.
HUSHPUPPI
Pump it dump it pump it dump it
Waarom instagram,Facebook zonde voor je tijd,ik kijk afentoe op youtube wat filmpjes meer niet,
Eerlijk? Een beetje een matige video. Het concept is goed, er moet zeker aandacht zijn voor gehackt worden, wat je er tegen kunt doen wanneer het gebeurd is en hoe je het kunt voorkomen, maar op al die punten hebben jullie steken laten vallen. Er is niet diep in gegaan op waarom gehackt worden relevant is bij zulke accounts. Dat had beter uitgelegd kunnen worden met voorbeelden en meer details. Er is een beetje in gegaan op wat je er tegen kunt doen, maar er had meer nadruk kunnen liggen op wat platformen als Facebook goed en juist verkeerd doen. Waarom is het zo makkelijk om accounts te jatten? Nou, de platformen willen zo min mogelijk frictie tijdens het inloggen om hun gebruikers niet weg te jagen. En hoe kan het dat het zo moeilijk is voor een platform om te herkennen dat iemands account gehackt is? Ik denk niet dat er veel mensen zijn die verhuizen, een nieuwe baan hebben, een geslachtsverandering en daarbij kiezen om alle herinneringen te verwijderen. Er is een beetje in gegaan op het voorkomen, namelijk tweestapsverificatie, maar jullie konden ook in duiken op dezelfde wachtwoorden gebruiken voor meerdere sites, password managers etc. Nu snap ik dat mijn suggesties misschien te gedetailleerd is voor wat jullie doen, maar ik denk dat er meer in deze video had gezeten.
Ben het met je eens. Het wordt in deze video een beetje als een spannende thriller opgezet: een vervelend probleem: we gaan ons erin verdiepen (team samenstellen), maar daar blijft het beetje bij. Jammer want mijn aandacht had je! Wellicht in een aanvullende video? Dit mag best wat uitgebreider.
Womp womp
Je kunt geen kameel verwachten als je een ezel hebt besteld. De titel is duidelijk “zo vond ik mijn hackers”.
100% mee eens.
Hey Idasy99, dank voor je feedback - dat waarderen we en gaan we bespreken. Alle punten die je noemt zijn interessant en hadden zeker in de video kunnen zitten, maar vanwege tijd en ruimte moeten we keuzes maken. In een volgende video (of podcast, die maken we ook elke dag) zoomen we mogelijk wel in op de zaken die je noemt.
Dit is toch geen hacken?! Je hebt gewoon je inlog gegevens achter gelaten ergens online en die gebruiken ze om in te loggen…..
Dat is oa hacken. Een groot deel ervan is social engineering.