Wat te doen met de meldingen 'Ongewone activiteit voor aanmelden' van Microsoft?
T. de Bruin vraagt:
Gezien de grote hoeveelheid waarschuwingen die ik de laatste tijd per e-mail van Microsoft ontvang, wordt er op grote schaal geprobeerd toegang tot mijn Microsoft-account te verkrijgen. Ik vermoed dat hierbij een eerder gehackt wachtwoord wordt gebruikt, of varianten daarop. Wat kan ik het beste doen?
Antwoord:
Deze melding is inderdaad afkomstig van Microsoft en geeft aan dat er vanuit het buitenland vanaf een niet eerder gebruikt apparaat een poging is gedaan om met je e-mailadres van Microsoft aan te melden. Heb je dat zelf niet gedaan dan wordt er inderdaad gepoogd om je Microsoft-account over te nemen. Na zo'n melding is het dus belangrijk om alert te zijn en zo nodig het wachtwoord te wijzigen en 2-stapsverificatie te activeren.
LET OP: De knop Recente activiteiten controleren gaat naar https://account.microsoft.com/activity (doorgaans te zien door met de muis over de knop te bewegen), wijkt de link af dan heb je te maken met een nepbericht om je aanmeldgegevens te achterhalen.
Wat gebeurt hier nu precies?
Waarschijnlijk heb je het e-mailadres óók gebruikt om aan te melden bij webwinkels e.d. Als zo'n webwinkel wordt getroffen door een datalek dan liggen je gegevens (waaronder je e-mailadres en wachtwoord) op straat! Gebruik je slechts één wachtwoord voor al je accounts (of voor de hand liggende varianten daarop) dan maak je het de hacker wel erg makkelijk om toegang te verkrijgen tot de online mailbox van je e-mailadres. Vanuit het e-mailarchief is vervolgens eenvoudig te achterhalen op welke websites er zoal is aangemeld. Omdat een vergeten wachtwoord doorgaans via het e-mailadres gereset kan worden, is het vrij eenvoudig om ook bij deze websites aan te melden. Wordt daar misbruik van gemaakt dan kan je flink in de problemen komen!
TIP: Via de website www.haveibeenpwned.com is te controleren of je e-mailadres voorkomt in de database met reeds bekende lekken.
Gebruik bij elke website een ander wachtwoord
Is je wachtwoord gelekt dan is het verstandig om deze direct te vervangen. Het je het gelekte wachtwoord (of een voor de hand liggende variant daarop) ook bij andere websites gebruikt, pas het daar dan ook aan. Gebruik voor elke website dus een uniek en afwijkend wachtwoord! Dat vergt een hele administratie maar het kan je veel ellende besparen.
TIP: Voor het bijhouden van aanmeldgegevens en andere privacygevoelige informatie adviseerde ik in nieuwsbrief 128 een beveiligd Excel-bestand te gebruiken. Als aanvulling hierop ontving ik van Luc Baetslé nog de tip om de tool BitWarden (download: www.bitwarden.com) te gebruiken.
Activeer tweestapsverificatie!
Gelukkig is deze ellende eenvoudig te voorkomen door (waar mogelijk) tweestapsverificatie toe te passen. Dit betekent dat je bij het aanmelden naast je wachtwoord ook toegang tot een tweede verificatiemethode moet hebben, bijvoorbeeld via een per SMS toegezonden code of via een verificatie-app op je mobiel. Gebruik je voor het aanmelden op je Microsoft-account de authenticator-app van Microsoft dan kan je na het opgeven van het wachtwoord simpelweg met een pop-up op je mobiel akkoord gaan met het aanmelden.
Is tweestapsverificatie eenmaal geactiveerd voor je Microsoft-account dan kunnen hackers geen toegang meer krijgen, ook al beschikken ze over je wachtwoord. De waarschuwingen van Microsoft (over ongewone activiteit voor aanmelden) kan je dan negeren.