Ons Instagram account was gehackt! Hoe losten we het op?
Helemaal blij waren we gistermiddag. We kregen die langverwachte DM van Instagram: we waren goedgekeurd voor een blauw vinkje! Yay, de vlag kon uit! Hier waren we al lang mee bezig geweest. Nog geen halfuur later waren we afwisselend in gesprek met de politie, een anti-hackbureau en een hacker, terwijl we ons oude Flavourites Live account nieuw leven inbliezen. Spoiler alert: we zijn er weer, maar hoe losten we het op?
Wat is nep, wat is echt?
Het is toch wel je reinste nachtmerrie: gehackt worden. Natuurlijk zijn we alert. Altijd. Waarschuwen we onze ouders, elkaar, hebben het er met vriendinnen over. We zien berichten langskomen op het nieuws, in onze eigen contactenlijst, horen via-via verhalen. Noodkreten via Whatsapp berichten ('Hoi mam, met mij. Mijn telefoon is kapot en ik heb nú geld nodig!'), berichten in het nieuws over bots die zo goed getraind zijn dat je denkt een bekende aan de lijn te hebben. Ja, we leven in een tijd waarin nep niet meer te onderscheiden is van echt en je op geen enkele link durft te klikken die van een onbekende afzender is. Dus ja: ook ik let altijd goed op. Maar gisteren even niet.
Blauw vinkje
Ik was lekker aan het werk, was even wat berichtjes op Instagram aan het beantwoorden en kreeg een nieuwe DM binnen. Jaaaaa, we waren eindelijk met ons account @flavourites goedgekeurd voor het blauwe vinkje! We vonden al tijden dat we daar recht op hadden met onze bijna 19.000 volgers, maar Instagram is vrij ondoorgrondelijk en dacht daar kennelijk anders over. Er zat maar één ding op: eens zou de dag komen dat wij het felbegeerde blauwe vinkje achter onze naam konden plaatsen. En dat was vandaag. Ik besloot Petra nog even niet in te lichten, dat zou ik straks als verrassing doen. We werkten vanuit huis en zouden elkaar de volgende dag in de studio zien: leuk feestmomentje!
Achterdochtig als ik ben, besloot ik niet op de link in het berichtje te klikken. Eerst maar eens uitzoeken of het bericht wel klopte. Ik googelde via mijn laptop, zag geen alarmerende berichten. Het bericht zag er ook Instagram-waardig uit. Het enige wat ik nog moest doen was even ons account verifiëren door in te loggen met onze naam, wachtwoord en telefoonnummer. Wat ik deed. Het kon 24-48 uur duren voor het vinkje online zou staan. Ik checkte meteen; het was er nog niet. En dat kon kloppen, want er was nog geen halve minuut voorbij. Pomtiedom... In gedachten vond ik het blauwe vinkje nú al geweldig staan achter onze naam.
Wachtwoord veranderd
Ik vertelde de kinderen dat we het blauwe vinkje kregen. Super cool vonden ze het. Dat zou ons veel volgers extra opleveren! Aanzien! Hoe stoer! Daarna ging het snel. Ik zag een mail verschijnen dat er was ingelogd met een onbekend device. Uit Londen. Huh?
Volgende mail vanuit Instagram. Het wachtwoord was veranderd. Wát?
Toen kreeg ik een What's App bericht. Een screenshot van ons account. Met de mededeling 'I'll give you back your account for 800 euros'. Oh no. Ik checkte ons account. Weg.
Echt weg. Niet meer te vinden. Nóóóó!
Noodlijn
Helder blijven. Wat nu? Googelen. Instagram bleek sinds kort een pagina te hebben voor dit soort problemen. Je vindt de pagina hier. Ik zag bureaus langskomen: 'Bel de noodlijn van Cyberwacht'. 'Tips en informatie over online veiligheid'. Eerst naar de Instagram-pagina. Kop erbij houden. Tekst drie keer lezen. Stappenplan. 'Als je een e-mail ontvangt van security@mail.instagram.com waarin wordt aangegeven dat je e-mailadres is gewijzigd, kun je deze wijziging mogelijk ongedaan maken door de optie Mijn account beveiligen in dat bericht te gebruiken.' Heel fijn, maar deze optie werkte niet. Hoe kon dat? Ik las nog een keer het stappenplan. Probeerde in te loggen met ons wachtwoord en een nieuw wachtwoord aan te vragen, we hadden immers tweestapsverificatie. Dan zou ik 'gewoon' een code krijgen en zouden we 'gewoon' straks weer terug zijn.
Maar Instagram herkende het account Flavourites niet.
Het was gewoon weg.
Toepasselijk kaartje van Kaartjevanel.nl
Opgestroopte mouwen
Ik appte de hacker: 'Hello?'. Waarom weet ik ook niet. Waarschijnlijk om even te laten merken dat ik 'm in de smiezen had. Na 12 minuten appte hij terug: Hello. Dat schoot lekker op. Not.
Ik belde een anti-hackbureau. En werd meteen uit de droom geholpen: 'Pak je verliezen. In zo'n geval ben je vrijwel altijd je account kwijt.' Intussen was Petra op de hoogte. We besloten het @flavouriteslive account dat we al een tijd niet meer gebruikten, nieuw leven in te blazen. Toch 2.700 volgers. Een heel stuk minder dan de bijna 19.000 met @flavourites, maar een mooi begin was er. Petra stortte zich op het volgen van de leukste shops en snel plaatsten we een post over wat er was gebeurd. Ook de insta uitingen op Flavourites.nl paste Petra meteen aan naar ons nieuwe account. Met opgestroopte mouwen en het zweet van ons voorhoofd wissend zochten we naarstig naar de beste oplossingen. De hacker appte: 'I don't need your account. I need money.' Ik besloot 'm te negeren. First things first. Ondertussen kregen we via ons 'nieuwe' insta account berichtjes van creepy bureaus die ons 'wel even konden helpen'. Ja, ja. Wij vertrouwden sowieso niemand meer die we niet kenden.
Help-pagina
Ik belde de politie. Die kon niets doen, zo werd me verteld. Zolang mijn bankrekening niet gekaapt was kon ik beter terecht bij Instagram zelf, zo zuchtte de agente aan de andere kant van de lijn. Alsof je daar iets aan hebt, dacht ik bij mezelf. Ze hebben een miljard gebruikers, die gaan ze echt niet persoonlijk bedienen. Ik ging terug naar de help-pagina op insta. Er moest toch een oplossing zijn? Ik appte een kennis die onlangs ook gehackt was. Hoe hadden zij het uiteindelijk opgelost? Bij hen ging het om Facebook. Ze tipte me cyber expert Ruud Schoen, die had het na drie maanden voor haar gefixt. Dríe maanden? Eerst verder zoeken dan.
Nachtmerriescenario 3.0
Intussen kreeg ik berichtjes met tips en vooral steunbetuigingen. Mijjn vader belde: 'Hé, ik krijg een berichtje dat je telefoon kapot is en dat je geld nodig hebt. Klopt dat?'. Nee pap, klopt niet. Nachtmerriescenario 3.0. Werd mijn hele telefoonlijst nu geappt? Gaf dochter de opdracht om even alle nabije familieleden in te lichten. En kreeg een berichtje van een vriendin, ze had ons bericht gezien op het nieuw leven ingeblazen insta account en had het een tijd geleden van iemand anders gehoord. De screenshots had ze bewaard, er stonden handige tips in. Ze stuurde de screenshots toe. De gehackte dame in kwestie had de hacker betaald. Echt? Jee. wat een risico. Hm. En nog een berichtje, een ander acount had het ook gehad. Die was via videoherkenning door Instagram weer bij haar eigen account gekomen. Daar moest ik meer van weten.
Video van gezicht
Maar steeds als ik onze gegevens invoerde, liep ik tegen 'account onbekend' aan. Ik besloot de hacker te appen. Waar mijn account was gebleven? 'Temporarily closed', was het antwoord. Oké. Tijdelijk was niet definitief. Er móest toch een oplossing zijn. Het was er nog. Hoopte ik. Die videocontrole, hoe zat dat? Ik speurde internet af. Als je minimaal één foto van jezelf op je account hebt staan, kun je een video naar insta opsturen van je gezicht. Dan controleren zij of je de rechtmatige eigenaar van het account bent. Hm. Het proberen waard. Ik voerde mijn gegevens in en... had nu beet! Ik kon een video maken. Kijk naar links, kijk naar rechts. Naar links, naar rechts. En nog eens. En nog eens. Klaar. Ik uploadde de video, kreeg een melding dat het een paar dagen kon duren voordat de video bekeken was en ik mijn account terugkreeg. Was blij dat we tussen alle beelden onlangs een foto van onszelf hadden gezet. Volgens de berichtgeving moest dat voldoende zijn. Al snel kreeg ik een bericht: goedgekeurd! Echt? Ik opende mijn account, met kloppend hart... zou het??
Ongeduldig
Shoot. Dat was het account van mijn dochter. Huh? Hoe dat nou weer? Kennelijk was haar account gekoppeld aan mijn mailadres. Hoe dan? En hoe kan het systeem haar gezicht in mijn gezicht herkennen? Insta was niet heel goed in het inschatten van leeftijd... Ondertussen was ik dus niets opgeschoten. De hacker appte dat hij het account zou teruggeven zodra ik betaald had. Ja, ja. En wat als ik betaalde, en hij het niet teruggaf? ik was echt terug bij af. Een account dat al dan niet tijdelijk uit de lucht was gehaald. Video uploaden onmogelijk. Hacker begon ongeduldig te worden en stuurde een vraagteken. Ik besloot het erop te wagen. Appte terug dat € 800,- teveel geld voor me was. En dat ik een deal wilde maken.
Western Union of Bitcoin
Samen met man en zoon beraadden we ons op een plan. Max € 400,- betalen. Voet bij stuk houden. Het risico nemen, maar wel een max in gedachten houden. Ik appte: 'I've got a proposal.' Daarna niets. Het triggerde hem. Wat ik dan wilde voorstellen? Oké, daar stond hij dus open voor. Ik vertelde hem dat ik in het midden wilde gaan zitten. Hij vond het niet genoeg. 'No, no', antwoordde hij. Hij probeerde 650,-. Ik niet. En ik bleef stil. De hacker, blij dat hij beet had, kwam na een kwartier met een appje. € 400,- was oké. Ik vroeg hem naar bewijs dat hij het account echt zou teruggegeven. De hacker garandeerde dat hij dat zou doen, en stuurde een screenshot van een andere 'klant'. Daarin gaf hij na het overschrijvingsbewijs van het geld het wachtwoord terug. Hij vroeg of ik in Bitcoin of via Western Union wilde betalen. Het werd 't laatste. En om het af te ronden: nadat het geld was overgeboekt kreeg ik inderdaad het wachtwoord - dat hetzelfde bleek te zijn als bij de andere 'klant'. Echt waar.
Feest
Ik ging als een razende aan de slag. Accountnaam invoeren, wachtwoord. Het werkte! Snel mailadres en telefoonnummer aanpassen. Klopte alles nog? Jawel, we waren er gewoon weer. Feest. We konden rustig slapen. En dat was fijn, want het was inmiddels twaalf uur 's nachts. De moraal van het verhaal? Je hebt niets aan een blauw vinkje als je account er niet meer is. Anyway. Blijf altijd alert. Want wij hebben geluk gehad, maar voor hetzelfde geld ben je weken of zelfs maanden verder of ben je je account voorgoed kwijt. Plús je monnies.
Herkenbaar? Hopelijk niet. Heb je tips of vragen? Laat een comment achter! En heb je acute hulp nodig? Mail ons op info@flavourites.nl. Good luck!
Eind goed, al goed
Meld je aan voor onze nieuwsbrief zodat je altijd als eerste op de hoogte bent van nieuwe tips, toffe shops, leuke adresjes en inspirerende blogs!