Gehackt worden betekent dat een onbekende toegang heeft tot gegevens, apparaten of accounts zonder toestemming. Dat gebeurt vaker dan de meeste mensen denken, en lang niet altijd is het direct merkbaar. Inloggegevens liggen op straat, e-mailinstellingen worden stilletjes aangepast en apparaten draaien software die er niet hoort te zijn.
Wie weet waar te kijken, heeft een grote voorsprong op aanvallers die rekenen op onwetendheid.
1. Datalek checken via gespecialiseerde tools
Datalek controleren is voor veel mensen de meest toegankelijke eerste stap om te achterhalen of gegevens op straat liggen. Een e-mailadres invullen op een gespecialiseerde website kost minder dan een minuut en geeft direct inzicht in of inloggegevens ooit zijn buitgemaakt bij een aanval op een externe dienst. Toch weten maar weinig mensen dat deze tools bestaan, laat staan hoe ze werken of wat de resultaten betekenen.
Datalek controleren via gespecialiseerde tools werkt anders dan het controleren van inlogactiviteit of e-mailinstellingen. Het gaat hier niet om wat er binnen een account is gebeurd, maar om wat er buiten is gelekt. Bij grootschalige aanvallen op bedrijven, webshops of platformen worden miljoenen gebruikersgegevens tegelijk buitgemaakt. Die gegevens, waaronder e-mailadressen, wachtwoorden en soms aanvullende persoonlijke informatie, belanden vervolgens op criminele forums of worden doorverkocht op het dark web. Gespecialiseerde tools doorzoeken die gelekte databases en koppelen resultaten aan een ingevoerd e-mailadres.
HaveIBeenPwned de standaard voor lekken
HaveIBeenPwned is opgericht door beveiligingsonderzoeker Troy Hunt en geldt als de meest betrouwbare en uitgebreide tool voor het controleren van datalekken. De database bevat miljarden gelekte records, afkomstig van honderden bekende datalekken bij grote platforms zoals LinkedIn, Adobe, Dropbox en Ticketmaster.
Het gebruik is eenvoudig. Na het invullen van een e-mailadres verschijnt direct een resultaat. Een groene melding betekent dat het adres niet is aangetroffen in bekende lekken. Een rode melding met de tekst “Oh no, pwned!” betekent dat het adres voorkomt in één of meerdere gelekte databases, met een overzicht van welke diensten zijn getroffen en welk type gegevens is gelekt.
Wat HaveIBeenPwned ook biedt:
- Een meldingsfunctie waarmee een notificatie wordt verstuurd zodra een e-mailadres in een nieuw datalek opduikt
- Een aparte check voor wachtwoorden via haveibeenpwned.com/passwords, waarbij een wachtwoord wordt gecontroleerd zonder dat het wachtwoord zelf wordt verstuurd, dankzij een k-anonimiteitsmodel
- Een API voor bedrijven die hun gebruikers automatisch willen informeren bij datalekken
Een belangrijk nuancepunt: een positief resultaat bij HaveIBeenPwned betekent niet automatisch dat een account op dit moment is gecompromitteerd. Het betekent dat gegevens ooit zijn gelekt bij een externe dienst. Als het wachtwoord sindsdien is gewijzigd en nergens anders wordt hergebruikt, is het directe risico beperkt.
Politie Check je Hack voor Nederlandse datalekken
De Nederlandse politie biedt via haar eigen platform een aanvullende checkfunctie aan. Deze tool doorzoekt een database die deels exclusief is en niet volledig overlapt met HaveIBeenPwned. De gegevens in deze database zijn afkomstig van opsporingsonderzoeken, waaronder het internationale onderzoek naar Genesis Market in 2023, waarbij de FBI, Europol en de Nederlandse politie samenwerkten.
Het gebruik van deze tool naast HaveIBeenPwned vergroot de kans op een volledig beeld. Beide databases bevatten unieke records die niet altijd in de andere voorkomen. Een schone uitslag bij de ene tool sluit een treffer bij de andere niet uit.
Scattered Secrets voor gelekte wachtwoorden
Scattered Secrets, opgericht door de Nederlandse beveiligingsonderzoeker Rickey Gevers, gaat een stap verder dan HaveIBeenPwned door niet alleen te tonen óf gegevens zijn gelekt, maar ook wélke wachtwoorden zijn uitgelekt. Dat maakt de tool nuttig voor mensen die willen weten of een specifiek wachtwoord nog veilig in gebruik is.
Deze aanpak is controversieel maar heeft een duidelijk doel: wie ziet dat een oud wachtwoord is gelekt, weet precies welke accounts nog steeds risico lopen als dat wachtwoord daar nog wordt gebruikt. Na registratie met een geverifieerd e-mailadres toont de tool de gelekte wachtwoorden die aan dat adres zijn gekoppeld.
BenikGehacktCheck.nl Nederlandstalige tool
Voor wie liever een Nederlandstalige interface gebruikt, biedt BenikGehacktCheck.nl een toegankelijke instap. De tool combineert data uit meerdere bronnen en presenteert resultaten in het Nederlands, inclusief uitleg over wat een treffer betekent en welke vervolgstappen logisch zijn.
De tool ondersteunt ook het controleren van telefoonnummers naast e-mailadressen, wat relevant is gezien het groeiende aantal datalekken waarbij ook mobiele nummers zijn buitgemaakt.
Dehashed voor uitgebreide zoekopdrachten
Dehashed richt zich meer op gevorderde gebruikers en biedt uitgebreidere zoekmogelijkheden. Naast e-mailadressen kunnen ook gebruikersnamen, IP-adressen, namen en telefoonnummers worden doorzocht. De gratis versie toont beperkte resultaten. Voor volledige toegang tot gelekte records is een betaald abonnement vereist.
Dehashed wordt veel gebruikt door beveiligingsprofessionals en IT-beheerders die willen controleren of gegevens van een organisatie in gelekte databases voorkomen. Voor individuele gebruikers zijn de gratis resultaten vaak al voldoende om een eerste indruk te krijgen.
Wat de resultaten betekenen
Een treffer in een van deze tools levert specifieke informatie op. De meeste tools tonen:
- De naam van de dienst waarbij het lek heeft plaatsgevonden
- Het jaar van het lek
- Welk type data is gelekt, zoals e-mailadres, wachtwoord, naam of adres
- Of het wachtwoord versleuteld of onversleuteld was
Hoe meer persoonlijke gegevens zijn gelekt naast het e-mailadres, hoe groter het risico op misbruik. Een lek waarbij alleen een e-mailadres is buitgemaakt, heeft een ander risicoprofiel dan een lek waarbij ook een wachtwoord, geboortedatum en adres zijn meegenomen.
Hacking maakt bij grootschalige datalekken gebruik van precies dit soort gecombineerde gegevens. Aanvallers kruisen informatie uit meerdere lekken om een compleet profiel van een persoon op te bouwen, een techniek die bekend staat als data enrichment. Eén oud lek lijkt onschuldig. Meerdere lekken samen vormen een gedetailleerd dossier.
Wat een schone uitslag niet betekent
Een negatief resultaat bij alle bovengenoemde tools betekent niet dat er nooit een lek heeft plaatsgevonden. Niet alle datalekken worden openbaar. Sommige circuleren uitsluitend op gesloten criminele forums en zijn nooit opgenomen in publieke databases. Een schone uitslag geeft een gedeeltelijk beeld, geen garantie.
Dat maakt het combineren van deze tools met de stappen uit de volgende hoofdstukken, zoals het controleren van inlogactiviteit en het scannen op malware, de meest betrouwbare aanpak.
2. Verdachte inlogactiviteit herkennen
Inlogactiviteit controleren is een van de meest directe manieren om te achterhalen of een account gehackt is. Veel mensen realiseren zich niet dat vrijwel elk groot platform een overzicht bijhoudt van recente aanmeldingen. Die functie zit standaard ingebouwd bij Google, Microsoft, Facebook, Instagram en de meeste e-mailproviders. Het controleren van die inlogactiviteit kost minder dan vijf minuten en geeft direct inzicht in wat er met een account is gebeurd, wanneer en vanaf welk apparaat of locatie.
Account gehackt checken begint dus niet met een externe tool, maar gewoon binnen de beveiligingsinstellingen van het account zelf. Toch slaan de meeste mensen die stap over, simpelweg omdat ze niet weten waar ze moeten kijken of omdat ze ervan uitgaan dat alles in orde is zolang ze nog kunnen inloggen. Dat laatste is een gevaarlijke aanname. Een hacker die toegang krijgt tot een account, verandert niet altijd meteen het wachtwoord. Soms is het doel juist om zo lang mogelijk onzichtbaar te blijven.
Waar de inloggeschiedenis te vinden is
De locatie van de inloggeschiedenis verschilt per platform, maar de logica is overal vergelijkbaar. Bij Google staat dit onder Beveiliging, bij de optie “Recente beveiligingsactiviteit” of via myaccount.google.com/security. Bij Microsoft is dit terug te vinden via account.microsoft.com onder “Recente activiteit”. Facebook toont ingelogde apparaten via Instellingen, dan Beveiliging en aanmelding. Instagram doet hetzelfde via Instellingen, dan Beveiliging, dan Aanmeldingsactiviteit.
Wat de meeste platforms tonen:
- Datum en tijdstip van de aanmelding
- Het type apparaat, bijvoorbeeld desktop, mobiel of tablet
- Het besturingssysteem en de browser of app
- Het IP-adres van waaruit is ingelogd
- De geografische locatie, afgeleid van het IP-adres
Dat laatste punt, de geografische locatie, is vaak het meest veelzeggend. Een aanmelding vanuit een onbekend land of een stad waar nooit geweest is, springt meteen in het oog.
Wat een verdachte inlogpoging verraadt
Niet elke onbekende locatie is een bewijs van hacking. VPN-gebruik, zakelijk reizen of een nieuwe telefoon kunnen ook zorgen voor een onbekend IP-adres in de geschiedenis. Toch zijn er patronen die eerder wijzen op ongeautoriseerde toegang dan op een vergissing:
- Een aanmelding op een ongebruikelijk tijdstip, zoals midden in de nacht
- Meerdere mislukte inlogpogingen vlak voor een succesvolle aanmelding
- Aanmeldingen vanuit meerdere landen binnen een kort tijdsbestek, onmogelijk bij normaal gebruik
- Een apparaat of besturingssysteem dat niet herkend wordt
Een succesvol hacker logt niet één keer in en verdwijnt. Vaak is er een patroon zichtbaar van herhaalde toegang, soms geautomatiseerd via scripts. Dat patroon is terug te zien in de tijdstempels van de inloggeschiedenis.
Waarom locatie en apparaat belangrijk zijn
Het IP-adres en het apparaattype zijn samen sterke indicatoren van wie er achter een aanmelding zit. Een onbekend apparaat, gecombineerd met een buitenlandse locatie, is in veel gevallen voldoende reden om direct actie te ondernemen. Maar ook subtielere signalen verdienen aandacht.
Neem een aanmelding die afkomstig lijkt uit dezelfde stad, maar via een datacentrum-IP-adres in plaats van een gewoon consumenteninternet-adres. Dat kan duiden op het gebruik van een proxy of een gecompromitteerde server als tussenstap. Platforms zoals Google markeren dit soms als “verdacht”, maar niet altijd.
Een ander signaal is een aanmelding via een onbekende browser of app. Als normaal gebruik altijd via Chrome op Windows plaatsvindt en de inloggeschiedenis opeens een aanmelding toont via Safari op macOS, is dat opvallend. Niet per definitie bewijs van een hack, maar wel een reden om verder te onderzoeken.
Actieve sessies als directe verificatie
Naast de inloggeschiedenis bieden de meeste platforms ook een overzicht van actieve sessies, dus apparaten die op dit moment zijn ingelogd. Dat verschil met de geschiedenis is belangrijk. De geschiedenis toont alle aanmeldingen in een bepaalde periode, inclusief afgemelde sessies. Het overzicht van actieve sessies toont wie op dit moment toegang heeft.
Bij Google is dit zichtbaar onderaan de Gmail-pagina, via de link “Details” naast “Laatst accountactiviteit”. Daar verschijnt een lijst met apparaten die op dit moment zijn ingelogd, inclusief locatie en tijdstip. Een knop om alle andere sessies direct af te sluiten zit er ook in.
Dit is nuttig als er twijfel is, ook zonder hard bewijs. Door alle actieve sessies op afstand te beëindigen, wordt eventuele ongewenste toegang direct geblokkeerd. Dat geeft tijd om het wachtwoord te wijzigen en tweestapsverificatie in te schakelen.
Inlogpogingen versus succesvolle aanmeldingen
Een onderscheid dat veel mensen over het hoofd zien: er is een verschil tussen een mislukte inlogpoging en een geslaagde aanmelding. Mislukte pogingen zijn ook zichtbaar in de beveiligingsgeschiedenis van veel platforms en geven aan dat iemand heeft geprobeerd toegang te krijgen zonder succes. Dat op zichzelf is al een waarschuwing.
Platforms als Microsoft sturen soms een e-mail bij meerdere mislukte pogingen achter elkaar. Google toont een melding bij een “verdachte aanmelding”. Die meldingen verdienen serieuze aandacht en mogen niet worden weggeklikt als spam of irritante notificatie.
Wat concreet te controleren:
- Open de beveiligingsinstellingen van het e-mailaccount
- Controleer de lijst met recent aangemelde apparaten
- Vergelijk locaties en apparaten met normaal gebruik
- Sluit sessies af die niet herkend worden
- Controleer of er meldingen zijn over mislukte aanmeldingen
Deze stap kost weinig tijd maar levert directe, concrete informatie op over de status van een account. Inlogactiviteit controleren is dan ook de logische eerste stap bij verdenking van een hack, nog voor externe tools of scansoftware aan bod komen.
3. E-mailinstellingen controleren op sabotage
E-mail gehackt controleren gaat verder dan alleen kijken of er vreemde berichten zijn verstuurd. De inbox zelf kan volkomen normaal lijken, terwijl er achter de schermen iets mis is. Hackers die toegang krijgen tot een e-mailaccount richten zich zelden op wat zichtbaar is. Ze richten zich op wat onzichtbaar blijft. En precies daarom is het controleren van de e-mailinstellingen een stap die de meeste mensen nooit zetten, tot het te laat is.
E-mail gehackt controleren via de instellingen is technisch gezien eenvoudig, maar vereist wel dat iemand weet waar te zoeken. De instellingen van een e-mailaccount bevatten namelijk functies die ontworpen zijn voor legitiem gebruik, maar die door aanvallers worden misbruikt om langdurige toegang te behouden. Dat gebeurt stil, geautomatiseerd en zonder dat er iets in de inbox verandert.
Hoe hackers stiekeme doorstuurregels instellen
Een van de meest gebruikte technieken na een succesvolle accountovername is het instellen van een automatische doorstuurregel. Alle inkomende e-mails, of een selectie daarvan, worden dan stilletjes doorgestuurd naar een extern adres dat de aanvaller beheert. De ontvanger ziet de berichten gewoon binnenkomen in de eigen inbox. Niets lijkt afwijkend.
Wat er ondertussen gebeurt: wachtwoordresetmails van banken, webshops, overheidsinstanties en andere diensten komen ook bij de aanvaller terecht. Die gebruikt ze om aanvullende accounts over te nemen, een techniek die bekend staat als account chaining. Het begint bij één gecompromitteerd e-mailadres en vertakt zich van daaruit naar tientallen andere accounts.
Controleren op doorstuurregels:
- Bij Gmail: ga naar Instellingen via het tandwiel rechtsboven, klik op “Alle instellingen bekijken” en open het tabblad “Doorsturen en POP/IMAP”. Hier staan alle actieve doorstuurregels.
- Bij Outlook: ga naar Instellingen, kies “E-mail” en dan “Regels”. Controleer alle actieve regels op onbekende doorstuuradressen.
- Bij Yahoo Mail: ga naar Instellingen, kies “Meer instellingen” en dan “Mailboxen”. Controleer onder “Filters” op afwijkingen.
Elke doorstuurinstelling die niet zelf is aangemaakt, moet worden verwijderd.
Onbekende filters als verborgen sabotage
Naast doorstuurregels maken aanvallers ook gebruik van filters. Een filter kan inkomende e-mails automatisch archiveren, als gelezen markeren of direct verwijderen, zonder dat ze ooit in de inbox verschijnen. Dit is een methode om beveiligingsmeldingen te onderscheppen. Denk aan meldingen van platforms over verdachte aanmeldingen, wachtwoordwijzigingen of nieuwe apparaten.
Als die meldingen automatisch worden verwijderd of gearchiveerd zodra ze binnenkomen, merkt de rekeninghouder er niets van. Intussen heeft de aanvaller toegang bevestigd, het wachtwoord gewijzigd of een nieuw apparaat gekoppeld.
Wat te controleren in de filterinstellingen:
- Filters die e-mails van bekende beveiligingsafzenders (zoals ‘security@google.com’ of ‘noreply@accounts.google.com’ automatisch verplaatsen of verwijderen
- Filters met trefwoorden als “wachtwoord”, “beveiliging”, “aanmelding” of “verificatie” die verdacht breed zijn ingesteld
- Filters die zijn aangemaakt op een datum die niet overeenkomt met normaal gebruik
Gekoppelde apps als verborgen toegangspoort
Een ander onderdeel van de e-mailinstellingen dat vaak wordt vergeten: gekoppelde apps en externe toegangen. De meeste e-mailproviders staan toe dat externe applicaties via een API-verbinding toegang krijgen tot de inbox. Dit is normaal voor agenda-apps, CRM-software of nieuwsbrieftools. Maar een aanvaller kan deze methode ook gebruiken om toegang te behouden, zelfs nadat het wachtwoord is gewijzigd.
Controleren op verdachte app-toegang:
- Bij Google: ga naar Beveiligingsinstellingen en klik op “Toegang van derden beheren”. Hier staat een lijst van alle apps die toegang hebben tot het Google-account.
- Bij Microsoft: ga naar Account beveiliging en controleer onder “Apps en services” welke toegangen actief zijn.
- Bij Apple ID: ga naar appleid.apple.com en controleer onder “Aanmelden met Apple” welke apps zijn gekoppeld.
Elke app die niet herkend wordt of die niet meer in gebruik is, hoort te worden verwijderd. Een onbekende OAuth-verbinding is een potentiële achterdeur die ook na een wachtwoordwijziging open blijft staan.
Signalen dat iemand meeleest in de inbox
Soms zijn er geen technische sporen zichtbaar in de instellingen, maar zijn er wel gedragsmatige signalen die wijzen op ongeautoriseerde toegang. Die signalen zijn subtieler maar net zo veelzeggend.
Concrete signalen om op te letten:
- Berichten staan als gelezen gemarkeerd terwijl ze nog niet zijn geopend
- E-mails zijn verplaatst naar mappen zonder dat dit zelf is gedaan
- Contacten melden spam of phishingberichten ontvangen te hebben vanuit het betreffende adres
- Wachtwoordresetverzoeken van platforms arriveren zonder dat erom is gevraagd
- Inlogpogingen bij andere diensten mislukken terwijl het wachtwoord niet is gewijzigd
Dat laatste punt, mislukkende logins bij andere diensten, is een indirect maar sterk signaal. Het suggereert dat iemand met de e-mailgegevens credential stuffing toepast: geautomatiseerd proberen bij tientallen platforms met dezelfde combinatie van e-mailadres en wachtwoord.
Afzenderinstellingen controleren
Een minder bekende maar relevante instelling is de afzenderconfiguratie. Bij sommige providers, waaronder Gmail, is het mogelijk om een alternatief “Verzenden als”-adres in te stellen. Een aanvaller die dit instelt, kan e-mails versturen die lijken te komen van het originele adres, maar die feitelijk via een ander account worden verstuurd.
Dit controleren bij Gmail:
- Ga naar Instellingen en open het tabblad “Accounts en importeren”
- Bekijk de sectie “E-mail verzenden als”
- Verwijder elk adres dat niet zelf is toegevoegd
Dit type configuratie wordt gebruikt voor phishingaanvallen vanuit een vertrouwd adres. Contacten ontvangen dan berichten die er legitiem uitzien maar afkomstig zijn van de aanvaller.
Het controleren van e-mailinstellingen op sabotage is een stap die los staat van het controleren van de inloggeschiedenis zoals besproken in het vorige hoofdstuk. Waar de inloggeschiedenis vertelt wie er wanneer heeft ingelogd, vertellen de instellingen wat er daarna is gewijzigd. Beide stappen samen geven een completer beeld van wat er met een account is gebeurd.
4. Apparaat scannen op malware
Een malware scan uitvoeren is de stap waarbij de aandacht verschuift van online accounts naar het apparaat zelf. Waar de vorige hoofdstukken gaan over wat er buiten of binnen een account is gebeurd, gaat dit hoofdstuk over wat er mogelijk op het systeem is geïnstalleerd zonder medeweten van de gebruiker. Een malware scan uitvoeren geeft inzicht in of er kwaadaardige software actief is op de achtergrond, software die gegevens verzamelt, wachtwoorden registreert of communicatie onderschept.
Het verschil met accountcontroles is belangrijk. Een schoon account betekent niet automatisch een schoon apparaat. Malware kan aanwezig zijn op een systeem zonder dat er zichtbare sporen zijn in inloggeschiedenissen of e-mailinstellingen. Sterker nog, sommige malware is specifiek ontworpen om die sporen te verbergen. Dat maakt een directe scan van het apparaat een onmisbare aanvulling op de stappen die eerder aan bod zijn gekomen.
Gratis scantools die betrouwbaar zijn
Niet elke gratis virusscanner is even betrouwbaar. Er zijn tools die zichzelf als beveiligingssoftware voordoen maar zelf malware bevatten, een categorie die bekendstaat als rogue security software. Het is dan ook verstandig om uitsluitend tools te gebruiken van gevestigde namen in de beveiligingssector.
Betrouwbare en gratis beschikbare scantools:
- Malwarebytes Free detecteert en verwijdert malware, adware, spyware en potentieel ongewenste programma’s. De gratis versie voert handmatige scans uit en is geschikt voor eenmalige controles.
- ESET Online Scanner is een browsergebaseerde scanner die geen installatie vereist en een volledige systeemscan uitvoert op basis van de actuele ESET-virusdefinities.
- Kaspersky Virus Removal Tool is een draagbare scanner die zonder installatie werkt en geschikt is voor situaties waarin het besturingssysteem al is aangetast.
- Microsoft Defender Offline Scan is ingebouwd in Windows en voert een scan uit buiten het besturingssysteem om, waardoor rootkits en diep verborgen malware beter detecteerbaar zijn.
Voor Mac-gebruikers zijn er aanvullende opties:
- Malwarebytes for Mac detecteert Mac-specifieke malware en adware.
- Avast Security for Mac biedt een gratis basisversie met real-time bescherming en scanfunctionaliteit.
Spyware detecteren als specifiek doel
Een reguliere virusscan richt zich op een breed spectrum van bedreigingen. Spyware vereist soms een gerichtere aanpak. Spyware is software die stilletjes informatie verzamelt over het gebruik van een apparaat, inclusief toetsaanslagen, scherminhoud, bezochte websites en ingevoerde wachtwoorden.
Specifieke tools voor spywaredetectie:
- SUPERAntiSpyware richt zich specifiek op spyware, adware en tracking cookies die reguliere virusscanners soms missen.
- Spybot Search & Destroy is een van de oudste tools op dit gebied en detecteert spyware en andere ongewenste software.
Het combineren van een algemene malwarescanner met een specifieke spywarescanner verhoogt de detectiekans, omdat beide tools verschillende signaturen en detectiemethoden gebruiken.
Keylogger herkennen als stille bedreiging
Een keylogger is een specifiek type malware dat alle toetsaanslagen registreert en doorstuurt naar een aanvaller. Inloggegevens, creditcardnummers en privéberichten worden zo onderschept zonder dat de gebruiker iets merkt. Bij hacking op individueel niveau is een keylogger een van de meest gebruikte methoden om wachtwoorden te stelen, juist omdat de methode passief is en geen zichtbare sporen achterlaat in de interface.
Signalen die kunnen wijzen op een keylogger:
- Merkbare vertraging tussen het typen en de verschijning van tekst op het scherm
- Ongewoon hoog dataverkeer op de achtergrond, zichtbaar via de taakmanager of netwerkmonitor
- Onbekende processen die actief zijn in taakbeheer, met namen die lijken op systeemprocessen maar licht afwijken in spelling
- Antivirussoftware die plotseling is uitgeschakeld of niet meer reageert
Keyloggers zijn met standaard virusscanners niet altijd detecteerbaar. Tools als Malwarebytes en SUPERAntiSpyware hebben specifieke detectie voor dit type bedreiging.
Verdachte processen in taakbeheer
Taakbeheer, te openen via Ctrl+Shift+Esc op Windows, geeft een overzicht van alle actieve processen. Malware verbergt zich soms als een legitiem systeemproces met een naam die sterk lijkt op bekende Windows-processen.
Voorbeelden van verwarrende namen:
- “svchost.exe” is een legitiem Windows-proces, maar er mogen niet tientallen instanties van actief zijn
- “csrss.exe” hoort op een specifieke locatie te staan. Een versie op een andere locatie is verdacht.
- Processen met willekeurige lettercombinaties als naam, zoals “xkqrt.exe”, zijn vrijwel nooit legitiem
Via de website Process Library is te controleren of een specifiek proces legitiem is en wat de verwachte locatie en functie ervan zijn. Dit is nuttig voor gebruikers die twijfelen over een specifiek proces in taakbeheer.
Signalen dat het apparaat gecompromitteerd is
Naast actieve scans zijn er gedragsmatige signalen die wijzen op de aanwezigheid van malware. Deze signalen zijn geen bewijs op zich, maar in combinatie zijn ze veelzeggend.
Concrete signalen:
- Het apparaat start langzamer op dan normaal, zonder duidelijke reden
- Programma’s crashen vaker of gedragen zich onverwacht
- De harde schijf is constant actief, ook wanneer er geen programma’s open zijn
- Internetverbinding is trager dan gebruikelijk, wat kan wijzen op dataverkeer op de achtergrond
- Pop-ups verschijnen buiten de browser om, een klassiek teken van adware of erger
- Beveiligingssoftware is uitgeschakeld zonder dat dit zelf is gedaan
- Nieuwe software of pictogrammen verschijnen op het bureaublad die er eerder niet waren
Rescue disk als laatste redmiddel
Bij een ernstige besmetting, waarbij malware zich zo diep in het systeem heeft genesteld dat een normale scan niet voldoende is, biedt een rescue disk uitkomst. Een rescue disk is een opstartbaar medium, zoals een USB-stick, dat een scanomgeving opstart buiten het geïnfecteerde besturingssysteem om. Omdat de malware dan niet actief is, kan de scanner haar beter detecteren en verwijderen.
Beschikbare rescue disk-oplossingen:
- Kaspersky Rescue Disk is gratis te downloaden en te branden op een USB of cd.
- Avira Rescue System werkt op vergelijkbare wijze en is eveneens gratis beschikbaar.
- ESET SysRescue Live biedt een opstartbare scanomgeving op basis van Linux.
Het gebruik van een rescue disk vereist enige technische basiskennis, maar de meeste tools begeleiden het proces stap voor stap.
Mobiele apparaten als onderschat risico
Malware beperkt zich niet tot computers. Smartphones en tablets zijn steeds vaker doelwit, met name via nep-apps, geïnfecteerde APK-bestanden buiten de officiële app stores om, of via kwetsbaarheden in verouderde besturingssystemen.
Voor Android-apparaten:
- Malwarebytes for Android biedt een gratis scanner voor mobiele malwaredetectie.
- Bitdefender Mobile Security heeft een gratis scanfunctie naast betaalde uitbreidingen.
Voor iOS-apparaten geldt dat de gesloten architectuur van Apple malware-infecties zeldzamer maakt, maar niet onmogelijk. Verdachte apps, ongebruikelijk batterijverbruik en onbekende configuratieprofielen zijn signalen die ook op iOS serieus genomen moeten worden. Configuratieprofielen zijn te controleren via Instellingen, dan Algemeen, dan VPN en apparaatbeheer.
5. Geïnstalleerde software controleren op onbekende programma’s
Onbekende programma’s verwijderen begint met weten waar ze staan. Een apparaat dat is gecompromitteerd toont dat zelden openlijk. Malware nestelt zich bij voorkeur op plekken die weinig aandacht krijgen: de lijst met geïnstalleerde software, de browserextensies, de opstartprogramma’s of de actieve achtergrondprocessen. Onbekende programma’s verwijderen is dan ook geen eenmalige actie maar een systematische controle van meerdere locaties tegelijk.
Waar de vorige hoofdstukken zich richten op accounts, gelekte gegevens en actieve malwarescans, gaat dit hoofdstuk over wat er structureel op het apparaat is geïnstalleerd. Het verschil is relevant. Een malwarescanner detecteert bekende bedreigingen op basis van signaturen. Maar niet elk ongewenst programma staat in een virusdatabase. Potentieel ongewenste programma’s, ook wel PUP’s genoemd, grijpware en stalkerware worden lang niet altijd herkend als malware, terwijl ze wel degelijk een risico vormen.
Hoe de programmalijst in Windows te bekijken
Op Windows is de programmalijst te bereiken via meerdere routes. De meest directe is via het Configuratiescherm, dan Programma’s en vervolgens Programma’s en onderdelen. Een snellere route is via de instellingen-app onder Apps, dan Geïnstalleerde apps. Hier staat een overzicht van alle geïnstalleerde software, gesorteerd op naam, installatiedatum of grootte.
Wat direct opvalt bij een gecompromitteerd systeem:
- Software met een installatiedatum die samenvalt met een verdacht moment, zoals een recente phishingklik of het downloaden van gratis software
- Programma’s met generieke of vage namen zoals “System Optimizer”, “PC Booster” of “Driver Update Tool”
- Software van uitgevers die niet herkend worden of waarvan de naam sterk lijkt op een bekende uitgever maar net iets afwijkt
- Programma’s zonder versienummer of zonder duidelijke beschrijving
Voor een gedetailleerdere blik op geïnstalleerde software biedt Revo Uninstaller een gratis alternatief voor het standaard Windows-verwijderprogramma. Revo toont ook resterende bestanden en registerwaarden na verwijdering, wat nuttig is bij het volledig opruimen van ongewenste software.
Opstartprogramma’s als verborgen toegangspunt
Veel malware installeert zichzelf als opstartprogramma zodat het automatisch actief wordt bij elke herstart van het systeem. Dit is een methode om persistentie te garanderen, ook als de gebruiker het programma handmatig sluit.
Opstartprogramma’s controleren op Windows:
- Open Taakbeheer via Ctrl+Shift+Esc
- Ga naar het tabblad Opstarten
- Bekijk alle programma’s die automatisch starten bij het opstarten van Windows
- Controleer de uitgever en het pad van elk programma
Een legitiem opstartprogramma heeft een herkenbare uitgever en staat op een logische locatie, zoals C:\Program Files. Een programma zonder uitgever, of met een pad naar een tijdelijke map of een gebruikersmap, is verdacht.
Voor een uitgebreidere analyse van opstartlocaties is Autoruns van Sysinternals een van de meest uitgebreide gratis tools beschikbaar. Autoruns toont alle locaties waar programma’s zich kunnen registreren voor automatisch opstarten, inclusief locaties die Taakbeheer niet toont.
Verdachte browserextensies als verraderlijk signaal
Browserextensies zijn een categorie die bij gehackte computer herkennen vaak over het hoofd wordt gezien. Een extensie heeft directe toegang tot browserverkeer, inclusief ingevoerde wachtwoorden, bezochte websites en sessiecookies. Een kwaadaardige extensie kan daarmee alles registreren wat in de browser gebeurt, zonder dat een malwarescanner dit altijd oppikt.
Extensies controleren per browser:
- Chrome: ga naar chrome://extensions en bekijk alle geïnstalleerde extensies
- Firefox: ga naar about:addons en controleer het tabblad Extensies
- Edge: ga naar edge://extensions voor een overzicht
- Safari op Mac: ga naar Instellingen, dan Safari, dan Extensies
Signalen van een verdachte extensie:
- De extensie is niet zelf geïnstalleerd of niet herkend
- De extensie heeft brede machtigingen, zoals toegang tot alle websites of het lezen van browsergeschiedenis
- De extensie heeft geen duidelijke beschrijving of een beschrijving in een vreemde taal
- De extensie staat niet in de officiële extensiewinkel van de browser
Bij twijfel over een extensie is het verstandig deze direct te verwijderen. Een legitieme extensie kan altijd opnieuw worden geïnstalleerd via de officiële store.
Taakbeheer gebruiken om afwijkende processen te spotten
Zoals eerder besproken in het vorige hoofdstuk geeft Taakbeheer inzicht in actieve processen. In de context van geïnstalleerde software is het nuttig om verder te kijken dan alleen de procesnaam. De kolom “Pad naar bestand” in het tabblad Details van Taakbeheer toont waar een uitvoerbaar bestand zich bevindt.
Afwijkingen die op een probleem kunnen wijzen:
- Een proces dat actief is vanuit een tijdelijke map, zoals C:\Users[naam]\AppData\Local\Temp
- Een proces dat actief is vanuit een downloadmap
- Meerdere instanties van hetzelfde proces, terwijl dat normaal maar één keer actief hoort te zijn
- Een proces met een naam die sterk lijkt op een Windows-systeembestand maar op een andere locatie staat
Voor procesanalyse is Process Explorer van Sysinternals een uitgebreidere versie van Taakbeheer. Process Explorer toont de volledige processtructuur, digitale handtekeningen van uitvoerbare bestanden en kan processen direct vergelijken met VirusTotal, een platform dat bestanden analyseert met meer dan zeventig virusscanners tegelijk.
Recente bestanden als bewijs van ongewenste toegang
Windows houdt automatisch bij welke bestanden recent zijn geopend. Dit overzicht is zichtbaar in de Verkenner onder Snelle toegang. Bestanden die zijn geopend zonder dat dit zelf is gedaan, zijn een direct signaal dat iemand anders toegang heeft gehad tot het systeem.
Wat te controleren:
- Bestanden met een wijzigingsdatum die niet overeenkomt met eigen gebruik
- Documenten die zijn geopend op tijdstippen waarop het apparaat normaal niet in gebruik was
- Bestanden in mappen die normaal niet worden bezocht, zoals systeemmappen of verborgen mappen
Verborgen mappen zijn zichtbaar te maken via de Verkenner onder Weergave, dan Verborgen items. Malware plaatst zich soms in verborgen mappen om buiten het zicht te blijven van gewone gebruikers.
Grijpware als onderschatte categorie
Naast klassieke malware bestaat er een categorie software die legaal wordt verkocht maar in de praktijk misbruikt wordt voor surveillance. Stalkerware en commerciële monitoringsoftware worden soms zonder medeweten op een apparaat geïnstalleerd door een partner, werkgever of andere persoon met fysieke toegang tot het apparaat.
Deze software verschijnt zelden in de programmalijst onder een herkenbare naam. Ze verbergt zich achter neutrale namen of werkt volledig op de achtergrond zonder zichtbaar icoon.
De coalitie tegen stalkerware, Coalition Against Stalkerware, biedt informatie over detectie en verwijdering van dit type software. Malwarebytes detecteert een deel van deze categorie onder de noemer “monitor” of “spyware”.
Bij hacking op persoonlijk niveau, waarbij de aanvaller fysieke toegang heeft gehad tot het apparaat, is stalkerware een reëel risico dat met reguliere beveiligingsscans niet altijd wordt opgespoord. Een volledige fabrieksreset van het apparaat is in dat geval de meest betrouwbare oplossing.
De 10 belangrijkste takeaways
Digitale veiligheid begint bij het herkennen van signalen die de meeste mensen nooit controleren. Een gehackt account, een gecompromitteerd apparaat of gelekte inloggegevens blijven vaak wekenlang onopgemerkt, simpelweg omdat niemand weet waar te kijken.
Accounts en apparaten zijn aparte aanvalsvlakken
Een gecompromitteerd apparaat ondermijnt elk nieuw wachtwoord direct. Zolang een keylogger of spyware actief is, heeft een aanvaller automatisch toegang tot alle nieuwe inloggegevens zodra ze worden ingevoerd.
Eén oud lek blijft jarenlang gevaarlijk
Gelekte inloggegevens uit een datalek van vijf jaar geleden circuleren nog steeds op criminele forums. Aanvallers combineren oude lekken met nieuwe om via credential stuffing toegang te krijgen tot actieve accounts.
Stilte is de favoriete tactiek van aanvallers
Een hacker die zichtbaar is, wordt verwijderd. Een hacker die onzichtbaar blijft, heeft weken of maanden toegang tot communicatie, financiële gegevens en contacten zonder dat de eigenaar iets merkt.
Doorstuurregels overleven een wachtwoordwijziging
Een automatische doorstuurregel in een e-mailaccount blijft actief na een wachtwoordreset. Alle wachtwoordresetmails van banken en andere diensten komen dan alsnog bij de aanvaller terecht.
Een schone uitslag bij datalektools is geen garantie
Niet alle datalekken worden openbaar gemaakt of opgenomen in publieke databases. Gegevens kunnen circuleren op gesloten criminele forums zonder ooit zichtbaar te worden via tools als HaveIBeenPwned.
Browserextensies zijn een onderschat aanvalsvlak
Een kwaadaardige extensie heeft directe toegang tot alle browseractiviteit, inclusief ingevoerde wachtwoorden en sessiecookies. Reguliere malwarescanners detecteren dit type bedreiging lang niet altijd.
Gekoppelde apps blijven toegang houden na een wachtwoordwijziging
OAuth-verbindingen en gekoppelde apps werken onafhankelijk van het wachtwoord. Een aanvaller die zo’n verbinding heeft ingesteld, behoudt toegang tot een account ook nadat het wachtwoord volledig is vernieuwd.
Stalkerware vereist een andere aanpak dan reguliere malware
Commerciële monitoringsoftware wordt door standaard virusscanners zelden herkend als bedreiging. Bij vermoeden van fysieke toegang door een bekende is een volledige fabrieksreset betrouwbaarder dan elke scan.
Data enrichment maakt kleine lekken groot
Eén datalek met alleen een e-mailadres lijkt onschuldig. Aanvallers kruisen gegevens uit meerdere lekken om een volledig profiel op te bouwen, wat identiteitsdiefstal en gerichte phishing aanzienlijk eenvoudiger maakt.
Opstartlocaties zijn de blinde vlek van de meeste gebruikers
Malware die zichzelf registreert als opstartprogramma overleeft een herstart en blijft actief na elke herstart van het systeem. Standaard taakbeheer toont niet alle opstartlocaties. Tools als Autoruns van Sysinternals zijn daarvoor onmisbaar.
