Infostealer op je apparaat? Voorkom verdere schade met deze 3 stappen.

Dit is een handleiding voor individuen wiens apparaat met een infostealer besmet zijn. De geadviseerde stappen voor organisaties vind je hier.

Wat betekent een infostealer-infectie?

Een infostealer is malware die gevoelige informatie van je apparaat steelt. Als je apparaat is geïnfecteerd, houd dan rekening met het volgende:

Je apparaat is gecompromitteerd

Aanvallers kunnen mogelijk van buitenaf meekijken. Gebruik het apparaat niet meer totdat het volledig is opgeschoond (zie stap 2).

Al je informatie kan zijn gestolen

Dit kan onder meer de volgende gegevens bevatten:

• Inloggegevens en wachtwoorden: Gebruikersnamen en wachtwoorden van alle logins op accounts die je vanaf het apparaat hebt uitgevoerd.
• Sessietokens: Hiermee kunnen aanvallers tweestapsverificatie omzeilen zolang de sessie actief is. Dit geldt ook voor al je logins uitgevoerd vanaf het apparaat.
• Lokale bestanden: Zoals documenten in je downloadsmap of andere opgeslagen bestanden, bijvoorbeeld paspoortkopieën.
• Financiële gegevens Denk aan creditcardgegeves en bankrekeningnummers.
• Cryptowallets: Wallets en private keys van cryptorekeningen zijn een specifiek doelwit.
• Browsergegevens: Inclusief browsergeschiedenis en opgeslagen cookies.
• Screenshots: Infostealers kunnen screensshots maken van je scherm.‍
• Eigenschappen van het apparaat: Zoals besturingssysteem, hostname en IP-adres.

Je accounts kunnen misbruikt zijn

Mogelijk is er al op je accounts ingelogd om toegang te misbruiken.

Wat is een sessietoken? Sessietokens zijn digitale sleutels die je inlogstatus bewaren. Deze staan op je computer opgeslagen. Aanvallers kunnen hiermee direct inloggen zonder je wachtwoord nodig te hebben.

Wat moet ik doen?

Stap 1 - Stel al je wachtwoorden opnieuw in vanaf een schoon apparaat

Je apparaat is gecompromitteerd, dus gebruik voor deze stap een schoon apparaat: een ongeïnfecteerde computer. Verander het wachtwoord van je accounts. Begin met de belangrijkste accounts, zoals:

• E-mailaccounts
• Wachtwoordmanager
• Clouddiensten
• Sociale media

‍

Tip: Forceer waar mogelijk actieve sessies te beëindigen, zodat aanvallers direct geen toegang meer hebben.

Stap 2 - Verwijder de malware van je apparaat

Het virus draait op je apparaat. Het is cruciaal om je apparaat volledig op te schonen voordat je het weer gebruikt. Hier heb je twee opties voor:

Optie 1: Gebruik een hoogwaardige antivirusoplossing

Installeer een betrouwbare antivirusoplossing om je apparaat te scannen en de malware te verwijderen. Wij adviseren Sophos Home vanwege de goede prestaties bij het detecteren van infostealers [interne link naar artikel].

Let op: Veel andere antivirusoplossingen presteren ondermaats tegen infostealers en zijn daarom niet voldoende.

Optie 2. Herstel naar fabrieksinstellingen

Als alternatief kun je alle geïnstalleerde programma’s (waaronder de malware) verwijderen door je apparaat terug te zetten naar de fabrieksinstellingen. Dit is een effectieve methode, maar je raakt in principe wel je lokaal opgeslagen gegevens kwijt.

‍Let op: Het terugzetten van een back-up is risicovol. Als de malware deel uitmaakt van de back-up, wordt deze opnieuw geïnstalleerd. Herstel alleen bestanden waarvan je zeker weet dat ze veilig zijn, zoals foto’s of contacten.

Fabrieksinstellingen met behoud van bestanden? Microsoft biedt een veilige optie aan om infostealers te verwijderen met behoud van bestanden. Hierbij moet de gebruiker kiezen voor de optie ‘Keep my files’ en daarna de ‘Cloud download’. Voor de handleiding, zie hier.

Stap 3 - Beperk de gevolgen verder

Met de bovenstaande stappen heb je de acute gevolgen van de infostealer-infectie beperkt. Volg deze aanvullende maatregelen om verdere schade te voorkomen:

Neem contact op met betrokken partijen en personen

• Werkgever: Als je vanaf het apparaat zakelijke activiteiten hebt uitgevoerd, meld dit aan het IT-team. 
• Bank: Als je vanaf het apparaat bij je bank hebt ingelogd, informeer hen dan over de infectie.
• Contacten: Waarschuw vrienden en familie dat je accounts mogelijk zijn gehackt. Vraag hen om verdachte berichten – zoals phishinglinks - bij jou te melden.

Check je accounts op verdachte activiteit

Controleer je accounts op verdachte activiteit en neem contact op met de accountaanbieder als je iets hebt opgemerkt. Denk hierbij aan:

• Onbekende logins of apparaten
• Ongeautoriseerde betalingen of bestellingen
• Berichten verstuurd vanuit je account die je niet herkend

Beveilig je apparaat en accounts

Bescherm je apparaat en accounts om toekomstige besmettingen zoveel mogelijk te voorkomen. Tref hiervoor de volgende maatregelen:

• Activeer multifactorauthenticatie (MFA) waar mogelijk. 
• Installeer een goede antivirusoplossing en houd deze up-to-date. 
• Voer systeemupdates direct uit (stel automatische updates in). 
• Gebruik een wachtwoordmanager voor unieke, sterke wachtwoorden.

Blijf waakzaam: verhoogde risico’s ná een infectie

Mensen die ooit met een infostealer te maken hebben gehad, blijven vaak langere tijd interessant voor criminelen. Dit komt doordat er veel persoonlijke gegevens op straat kunnen liggen die misbruikt kunnen worden. Op basis van je activiteiten kunnen aanvallers bijvoorbeeld achterhalen waar je interesses liggen of bij welke diensten je een abonnement hebt. Deze informatie kunnen ze gebruiken om gerichte pogingen te doen je te misleiden.

Je loopt hierdoor een grotere kans op gerichte phishingmails of andere vormen van fraude. Het is daarom extra belangrijk om alert te blijven op verdachte berichten of activiteiten.

Wees je bewust van de risico’s, maar raak niet in paniek: als je de stappen in dit artikel hebt gevolgd, ben je goed beschermd. Door waakzaam te blijven en gepaste maatregelen te treffen, kun je veilig online blijven.

Tot slot

Met deze stappen kun je de situatie onder controle krijgen en je gegevens beter beschermen. Heb je nog vragen of hulp nodig? Neem contact op met de Fraudehelpdesk voor advies.

‍