Hoe Instagramaccounts werden gekaapt

februari 4, 2019

Instagram is niet alleen het op een na populairste sociale netwerk ter wereld. Het is ook een inkomensbron voor talloze bloggers, modellen, en andere Internet-celebrities. Pakkende accounts met duizenden volgers zijn niet alleen voor fans interessant, maar ook voor cybercriminelen. Als zo’n account gestolen wordt, kunnen er nare gevolgen zijn. Maar hoe worden Instagramaccounts eigenlijk gekaapt, en hoe is dit te voorkomen?

Kapingsmethode Nr. 1: Nepverificatie

Je hebt vast het blauwe vinkje gezien van sommige Instagramaccounts. Tot voor kort waren deze statussymbolen uitzonderlijk voor accounts van beroemdheden, grote bedrijven en populaire bloggers. Het heilige vinkje is vooral belangrijk voor accounts met een groot aantal volgers, want het geeft prestige en onderscheidt deze accounts van nepaccounts. Een vinkje krijgen was geen makkelijke taak: Er was geen aanvraagformulier of ”vinkjeswinkel” – het sociale netwerk platform besloot zelf wanneer een account een vinkje kreeg.

Maar nu heeft Instagram zijn beleid omtrent verificatie aangepast en is het mogelijk om vanuit de app om verificatie te vragen (om dit te doen ga je naar Settings -> Verificatie aanvragen) en als je account aan de criteria voldoet, dan krijg je het vinkje.

Deze aanpassing is redelijk nieuw en werd op 28 augustus 2018 ingevoerd en veel gebruikers weten niet precies hoe ze zo’n dierbaar vinkje kunnen krijgen. Oplichters maken hier natuurlijk misbruik van, door middel van websites die zich voordoen als Instagram klantenservice sites en vragen naar gegevens van Instagramgebruikers zoals hun gebruikersnaam, wachtwoord, e-mailadres, volledige naam en geboortedatum – alles in ruil voor het blauwe icoontje.

Na het invoeren van deze data wordt de nietsvermoedende gebruiker verteld 24 uur te wachten op het besluit zonder aanpassingen in de instellingen te doen. De informatie gaat regelrecht naar de aanvallers, terwijl de gebruiker stilzit en wacht, niet wetende dat het account in gevaar is.

Deze methode kan ook gebruikt worden om persoonlijke informatie van het slachtoffer in handen te krijgen, die de cybercrimineel kan helpen om de authenticatie op basis van twee factoren te omzeilen. Hiervoor laten de criminelen een bericht zien dat de klantenservice contact kan opnemen met de eigenaar van het account om enkele details te bevestigen. Als de ”klantenservice” inderdaad contact opneemt, zijn het de oplichters zelf die vragen naar een sms-code of een ander stukje veiligheidsinformatie vragen. Ze zouden ook een nepbericht kunnen sturen met het verzoek om informatie, die zogenaamd nodig is voor de verificatie, die zij vervolgens achter de rug van de eigenaar van de account kunnen gebruiken als ze contact opnemen met de echte klantenservice (voorbeelden van informatie waarnaar gevraagd kan worden, zijn foto’s of andere data waar de echte klantenservice naar kan vragen).

Kapingsmethode Nr. 2: Ouderwetse phishing

Oplichters gebruiken nog steeds veelvoorkomende phishing-technieken om slachtoffers te verleiden om een login en wachtwoord in te vullen in een neppe website. Zo kunnen ze bijvoorbeeld een eng bericht sturen waarin staat dat een gebruikersaccount gehackt is of dat de inloggegevens vernieuwd moeten worden, of simpelweg het verzoek om een foto te beoordelen waarvoor zogenaamd ingelogd moet worden op het sociale netwerk.

Voorbeeld van een phishing website die een Instagram-login nabootst.

Met meer dan een biljoen gebruikers ter wereld, is Instagram al lange tijd het doelwit bij uitstek voor allerlei soorten oplichters. Na het kapen van een account, krijgen ze toegang tot persoonlijke informatie en berichten van de gebruikers. En dat niet alleen, het account kan gebruikt worden om spam, phishing en kwaadaardige content te verspreiden. Vaak veranderen de aanvallers, zodra ze de account in hun greep hebben, de profielfoto, het e-mailadres en telefoonnummers waaraan het gelinkt is. Dat maakt het praktisch gezien onmogelijk voor de oorspronkelijke eigenaar om de toegang tot zijn/haar Instagramaccount terug te krijgen.

Hoe te beschermen tegen Instagramkapingen.

Zoals gewoonlijk is voorkomen beter dan genezen – vooral als genezing nagenoeg onmogelijk is. Met de volgende simpele regels is het niet moeilijk om veilig te blijven:

  • Klik niet op verdachte links.
  • Controleer altijd de adresbalk van de URL van de website. Als er in plaats van Instagram.com iets in de vorm van 1stogram.com staat of instagram.security-settings.com, ga dan zo snel mogelijk weg en denk er niets aan om persoonlijke informatie in te voeren.
  • Gebruik de officiële app uit de officiële store – zoals Google Play voor Android of App Store voor iOS.
  • Gebruik geen accountlogingegevens voor authenticatie op services en apps van derde.
  • Gebruik een betrouwbare veiligheidsoplossing die verdachte berichten filtert en phishing-websites blokkeert Kaspersky Internet Security kan die taak voor je uitvoeren.

Tot slot raden we aan onze post over het juist instellen van Instagram te lezen. Het is verplichte kost voor Instagram-gebruikers.