"Ruim 400 malafide Android- en iOS-apps stelen Facebook-wachtwoorden"

Meta, het moederbedrijf van Facebook, heeft in de loop van dit jaar ruim 400 malafide Android- en iOS-apps ontdekt in de Google Play Store en in de Apple App Store. Deze apps proberen gebruikersnamen en wachtwoorden voor Facebook te stelen. Het gaat om apps in allerlei verschillende categorieën, van VPN-services tot apps voor foto- en beeldbewerking. Hoe gaan deze apps te werk, en waar moet je op letten? Dat leggen we uit in dit artikel.

Meer dan 400 kwaadaardige apps die zijn gemaakt om inloggegevens voor Facebook te stelen, dat zijn er nogal wat. Het betreft hier het totale aantal malafide apps dat dit jaar door cybersecurity-experts van Meta – het moederbedrijf van Facebook – is ontdekt.

Het betreft zowel Android-apps die in de Google Play Store stonden als iPhone-apps die in de Apple App Store stonden, en daarmee is maar weer eens bewezen dat het feit dat apps in de officiële Stores staan, niet betekent dat je met honderd procent zekerheid kunt zeggen dat ze dan ook veilig zijn: helaas weten sommige malafide apps de controlemechanismes tóch te omzeilen.

Goed om te weten: de apps zijn al uit beide Stores verwijderd. Maar het zou natuurlijk altijd kunnen dat je ze in een eerder stadium hebt geïnstalleerd, en dan is het goed om te weten dat je ze het beste direct kunt verwijderen en dat je eventueel aanvullende maatregelen moet nemen als je denkt dat jouw inloggegevens zijn gestolen.

Het gaat zoals gezegd om ruim 400 apps, en omwille van de leesbaarheid zullen we de volledige lijst niet plaatsen in dit artikel. Het merendeel betreft Android-apps, een minderheid bestaat uit apps voor iOS. 

De volledige lijst kun je in het artikel op de website van Meta raadplegen, en wel onder het kopje Threat Indicators. 

Wat opvalt, is dat de malafide apps zijn verdeeld over een breed scala aan categorieën: er is dus niet één type app waarbij het overduidelijk is dat je heel veel risico loopt.

De apps werden gepresenteerd als legitieme apps voor zaken zoals beeldbewerking, apps om aanvullende handige functionaliteiten op je telefoon mee te ontgrendelen, spelletjes-apps, lifestyle-apps (fitness, horoscopen) en VPN-apps, om eens een paar categorieën te noemen.

In de afbeelding hieronder zie je in welke categorieën de aangetroffen malafide apps vallen. Het artikel gaat verder na onderstaande afbeelding.

De ontwikkelaars van deze apps steken de nodige moeite in het verbergen van de daadwerkelijke doeleinden, in dit geval het stelen van gebruikersnamen en wachtwoorden voor Facebook. Ze wekken vaak de indruk dat het gaat om apps die handige functies beloven of om apps met een hoge amusementswaarde, zoals spelletjes. Kortom, apps waarvan je misschien in een opwelling geneigd bent om te denken 'Leuk, even downloaden!'

Gedupeerden van dit soort malware-apps die het bedrog doorzien, kunnen hun ongenoegen laten blijken en anderen waarschuwen door een recensie achter te laten in één van de App Stores. Maar wat volgens Meta echter gebeurt, is dat de ontwikkelaars van dit soort apps zélf neprecensies plaatsen. Daar hebben ze meerdere redenen voor.

Allereerst hopen ze hierdoor legitieme recensies die kritisch of negatief zijn uit het zicht te houden. Daardoor wordt de kans dat meer mensen de malafide apps tóch downloaden weer een stukje groter. Ook zijn de neprecensies bewust positief van aard, en ook het doel daarvan is dat mensen zo eerder geneigd zijn om deze apps te downloaden. Zo manipuleren de ontwikkelaars van dit soort apps hun slagingskans.

In deze malafide apps worden gebruikers ertoe aangespoord om in te loggen via hun Facebook-account. Als je zoiets ziet, is dat vaak reden om eens extra kritisch te kijken naar wat voor app het precies is en met welk doeleinde je met je Facebook-account in zou moeten loggen. Is er voor een spelletje of een app voor fotobewerking überhaupt een eigen inlog nodig? Inderdaad, in veel gevallen is het knap lastig om een goed antwoord te verzinnen op de vraag 'Heb ik hier een eigen account voor nodig?', dus wees altijd kritisch.

In het geval van deze nep-apps gaat het bovendien niet om inloggen met je échte Facebook-account. Het zogenaamde 'Facebook'-inlogscherm is namelijk een vervalsing. Jij denkt je gebruikersnaam en wachtwoord in te voeren voordat je toegang krijgt tot functionaliteiten die de app belooft, maar in werkelijkheid stuur je je inloggegevens naar de kwaadwillenden achter deze valse apps.

En dat kun je beter niet doen.

Waarom is het niet slim om je inloggegevens voor Facebook in te voeren? Zoals gezegd log je niet in bij Facebook zelf, maar is het zogenaamde inlogscherm een malafide kopie. En daarmee haal je je potentieel een hoop narigheid op de hals.

Met jouw inloggegevens kunnen mensen jouw account in. Vervolgens kunnen ze jouw contacten benaderen met (financiële) hulpvragen: een soort variant op de welbekende WhatsApp-fraude, met als risico dat het extra betrouwbaar overkomt omdat het écht om jouw eigen account gaat.

Maar men kan ook een kijkje nemen in jouw privégesprekken: mocht daar bepaalde gevoelige informatie in staan, dan kan deze informatie worden gebruikt om je mee af te persen. Ook kan er vanaf jouw account allemaal spam en narigheid worden gedeeld. 

Er zijn gelukkig wel wat simpele handelingen die je kunt verrichten om te voorkomen dat jij slachtoffer wordt. Hieronder bespreken we er een aantal.

De belangrijkste tip hebben we eigenlijk al genoemd: wees kritisch op apps die je direct met (Facebook-)inlogschermen om de oren slaan. Voor veel apps heb je écht geen eigen account nodig en is ook inloggen via een derde partij – in dit geval je Facebook-account – evenmin noodzakelijk. En als je een app niet kunt gebruiken vóórdat je bepaalde inloggegevens hebt afgestaan, kun je het beste even goed heroverwegen of je deze app wel moet gebruiken.

In het geval van een app die belooft dat de zaklamp op je telefoon het beter gaat doen, een spelletje of een app voor fotofilters gaat het immers niet per se om gevoelige (financiële) informatie, dus waarom zou je daarvoor ergens moeten 'inloggen'?

Maar je kunt meer doen. Het is bijvoorbeeld een goed idee om inlogwaarschuwingen in te schakelen. Deze functie heet 'Login Alerts' binnen Facebook en door dit in te schakelen, krijg je een melding zodra er wordt geprobeerd om in te loggen op jouw account vanaf een onbekend toestel of apparaat.

Via dit handige stappenplan kun je het in een handomdraai inschakelen.

Deze tip houdt verband met de tip hierboven. Door tweestapsverificatie in te schakelen, is het voor kwaadwillenden niet langer voldoende om alléén te beschikken over een gebruikersnaam plus het bijbehorende wachtwoord.

Wordt er ingelogd vanaf een onbekend toestel of apparaat? Dan moet je deze potentieel verdachte inlogpoging aanvullend bevestigen door een unieke, tijdelijke code in te voeren, anders gaat het feest niet door. Daarmee is jouw account een stuk beter beveiligd. Het is dan echter wel zaak dat je deze code niet met anderen deelt.

Benieuwd hoe je dat kunt instellen? Je leest er hier alles over.

Als je het idee hebt dat jouw wachtwoord is buitgemaakt, moet je deze vanzelfsprekend zo snel mogelijk wijzigen. Een tip die je vaak hoort, maar die door relatief weinig mensen wordt opgevolgd, is om hetzelfde wachtwoord niet voor meerdere accounts te gebruiken.

Daar valt wat voor te zeggen, want zie maar eens tientallen wachtwoorden te onthouden, zeker als het ingewikkelde wachtwoorden zijn. Dus niet 'welkom01', maar 'H6_rt$x(i%D!1^', om eens een voorbeeld te noemen.

Om dat probleem te kunnen tackelen, kun je overwegen om een wachtwoordmanager te gebruiken. Deze kan automatisch sterke wachtwoorden genereren én onthouden: het enige dat jij moet doen, is het hoofdwachtwoord onthouden om in de zogenaamde 'kluis' van je wachtwoordmanager te kunnen.

Lees ook onderstaande artikelen.

Bron: Facebook/Meta