Op zondagochtend 12 september raakte ik mijn Instagramaccount kwijt. Ik had net gesport, plofte neer op de bank en opende de app, niet omdat ik specifiek naar iets op zoek was, maar uit gewoonte. Een rondje scrollen, kijken of er nog wat was gebeurd in mijn tijdlijn. Maar in plaats van de gebruikelijke collage van veel te blije types met dertien filters over hun gezicht, overbelichte zonsopgangen met onnatuurlijke flarden knalroze en quasinonchalant geplaatste latte macchiato’s in perfecte keukens, werd mijn scherm gevuld met een tekeningetje van een opspringende telefoon, met daaronder de onheilspellende tekst: ‘JE ACCOUNT IS GEHACKT.’

Ik sloot Instagram af. Opende Instagram weer. Hetzelfde scherm kwam in beeld. Ik herstartte mijn telefoon. Hetzelfde scherm kwam in beeld. Liep naar mijn computer en opende Instagram in mijn browser. Hetzelfde scherm kwam in beeld.

Waarom verbaasde me dit?

Natuurlijk wist ik rationeel dat de mogelijkheid bestond dat ik ooit in mijn leven zou worden gehackt. Sterker nog: uit onderzoek blijkt dat Nederlanders steeds vaker slachtoffer worden van cybercrime. Tien jaar geleden was het nog een verwaarloosbare groep, maar in 2019 werd maar liefst 13 procent van alle mensen van 15 jaar en ouder via internet opgelicht of gehackt. Waarom was ik dan toch zo verbaasd dat dit mij overkwam?

Het zal een beetje hetzelfde idee zijn als met een mysterieus virus dat de hele samenleving platlegt. We hebben allemaal weleens naar Contagion of een andere rampenfilm gekeken waarin iets soortgelijks gebeurt, maar weinig mensen zullen daarna hebben gedacht: kom, ik bouw onder mijn huis een schuilkelder vol lang houdbaar voedsel en een eindeloze voorraad series, want dit gaat ons ook overkomen. Maar ja, we weten inmiddels allemaal hoe corona onze levens de afgelopen twee jaar heeft gedwarsboomd, dus gehackt worden, ach, waarom ook niet? Daarbij: het overkomt blijkbaar elke dag legio mensen, dus het probleem is ook vast zó opgelost.

Stuur je bitcoins naar ons!

‘Er wordt constant geprobeerd om accounts te hacken,’ zegt Anthony van der Meer, die tijdens zijn bachelor audiovisueel ontwerper aan de Willem de Kooning Academie de minor hacking volgde, waarin hij werd getraind om te denken als een hacker. Hij studeerde af met de docu Find my Phone waarin hij de dief van zijn gestolen telefoon volgt en portretteert en bracht vorig jaar voor Powned en Newbe Bait uit, een onthullende vierdelige serie waarvoor Van der Meer een netwerk van internationale internetoplichters in de val lokte door hun eigen methodes tegen ze te gebruiken. Dat leverde een unieke kijk op in hun handelswijze, van datingfraude tot phishing.

‘De makkelijkste manier om iemand te hacken is via een van de vele lijsten met gebruikersnamen en wachtwoorden die overal op het internet worden verhandeld,’ aldus Van der Meer. ‘De gegevens uit die lijsten worden in een tooltje gezet dat automatisch alle combinaties uitprobeert. Als een hacker erin komt, dan is het doel bereikt. Bij mensen die veel volgers hebben, gaat het meestal om geld: wil jij je account terug, dan moet je betalen. Maar macht of invloed kan ook een reden zijn. Toen de Twitter-accounts van Jeff Bezos en Elon Musk werden gehackt, was de enige boodschap die erop werd geplaatst: ‘Stuur je bitcoins naar ons, en we storten het dubbele terug.’

Wachtwoord wijzigen? Werkt niet

Er zijn geen nieuwe berichten op mijn tijdlijn geplaatst en ik heb geen mail ontvangen over losgeld, dus ik besluit simpelweg de instructies van het algoritme van Instagram op te volgen, namelijk: wijzig je wachtwoord, dan kun je je account weer veilig gebruiken. Zo gezegd, zo gedaan, maar dan: ‘Het wachtwoord klopt niet.’

Dat lijkt mij sterk, ik ben eenzelfde type als Eva Jinek die jarenlang het wachtwoord ‘hamster13’ voor bijna al haar accounts gebruikte, een manco dat aan het licht kwam toen RTL-techjournalist Daniël Verlaan voor een talkshowitem over hacken ontdekte dat Jinek een voorkeur heeft voor wachtwoorden met dieren en cijfers – én welke dat waren.

Ik probeer het nog 83 keer, op de iPad, mijn computer, in een andere browser, maar de melding blijft.

Ik probeer een paar variaties op het voor mij welbekende wachtwoord, met nul resultaat, en klik, inmiddels een beetje zuchtend en steunend vanwege al het gedoe op een zondagochtend die rustig en ontspannen had moeten verlopen, op de knop om mijn wachtwoord te resetten. Mailadres invullen, werkt niet, telefoonnummer invullen, werkt wel, SMS-uithoek op mijn telefoon openen, berichtje van Instagram met linkje openen. Een kind kan de was doen, totdat ik op het linkje klik en <<insert vloek>> meteen weer het ‘JE ACCOUNT IS GEHACKT’-scherm in beeld krijg. Ik probeer het nog 83 keer, op de iPad, mijn computer, in een andere browser, maar de melding blijft.

Echte mensen, daar doet Instagram niet aan

De automatische systemen brengen me in de dagen daarna geen steek verder. En een helpdesk met echte mensen, daar doet Instagram niet aan, dus @fleurbaxmeier blijft op slot. Het was leuk, veel bedankt, vaarwel.

Op zowel Facebook als Twitter plaats ik een hulpvraag, waarop ik in slecht Engels geschreven reacties krijg van schimmige types met wazige profielfoto’s die me stante pede kunnen helpen als ik ze even al mijn persoonlijke gegevens toespeel. Ik ben wel goed, maar niet gek, dus ik zoek het een level hoger en mail softwarebedrijf Zerocopter, waar ene Chantal na een paar dagen reageert: kan ik haar sturen wat ik allemaal al heb geprobeerd?

Nul, niks, nada reactie van niemand

Ik contact ook crisisteam Cyberwacht, ik laat een berichtje achter bij twee ethische beroepshackers en ik mail naar security@mail.instagram.com, het enige mailadres dat ik van Instagram kan vinden. Ik baan me een weg door het hele helpmenu van Instagram, ik vraag nog 465 keer een nieuwe link aan via de knop’ Wachtwoord’ vergeten’, ik stuur een reminder naar Chantal, Cyberwacht en de ethische hackers, ik twitter Instagram dat ik hulp nodig heb en ik messenger de helpdesk van Facebook, aangezien Facebook en Instagram in principe één pot nat zijn. En ik mail nóg een keer naar Instagram. En nog een keer. Nul, niks, nada reactie van niemand.

Ik twitter Instagram dat ik hulp nodig heb en ik messenger de helpdesk van Facebook

Ondertussen klik ik nog elke dag minstens twintig keer op het Instagram-icoontje op mijn Galaxy S20, een automatisme dat je er niet zomaar uitgeramd krijgt. Ik deel mijn verhaal een beetje lacherig met vrienden en familie, heb je al gehoord wat mij nou weer is gebeurd, maar veel mensen reageren eerder geschokt dan geamuseerd: ‘Wat érg, en nu?’ Er komen veel adviezen en tips binnen. Dat ik Instagram elke dag moet blijven mailen, want dan kunnen ze op een zeker moment niet meer om me heen. Vooral aardig blijven in mijn contact, want je moet net de juiste persoon treffen. En had ik trouwens al iets op Twitter gezet? Dat helpt normaal gesproken altijd.

Plaatsvervangende paniek

Mensen zijn vreselijk meelevend en bijna plaatsvervangend in paniek over mijn geblokkeerde account, waarschijnlijk niet omdat ze de Stories over mijn katten en hond zo missen, maar omdat ze beseffen dat zij ook zomaar de Sjaak hadden kunnen zijn. Zoals een oud-collega het formuleert: ‘In jouw geval zou ik he-le-maal gék zijn geworden, want het is toch een beetje je levenswerk hè, met al die energie en moeite die je in de foto’s en de begeleidende teksten steekt.’ Zo had ik het nog nooit bekeken, maar ik raak er wel een beetje van in de war. Wat blijft er eigenlijk van ons over zonder social media? En hoe sociaal zijn social media zélf eigenlijk als je ze nodig hebt?

Wat blijft er eigenlijk van ons over zonder social media?

‘Het is superzuur als je niet meer bij je eigen account kunt,’ zegt Anthony van der Meer, die sinds de release van zijn docuserie Bait wordt overstelpt met hulpvragen van gehackte mensen. ‘Vooral omdat Instagram je nauwelijks verder helpt. Hun helpcentrum bestaat uit standaard pagina’s waarbij je steeds van de ene naar de andere vraag wordt verwezen en het is onmogelijk om een echt mens te spreken te krijgen, tenzij je ooit een advertentie hebt geplaatst. Als je een klant bent in plaats van een product, dan is er ineens toch de mogelijkheid om live te chatten. Dat brengen ze niet officieel op die manier naar buiten, maar het maakt als je gehackt bent wel het grote verschil.’

Geitenpaadje

Veel mensen denken dat Instagram een openbaar platform is, maar in werkelijkheid is het een bedrijf. ‘Als jij geld in hun bedrijf stopt, dan ben je een klant. Klanten hebben andere rechten. Maar als gewone gebruiker, ben je een nobody,’ aldus Van der Meer, die nog wel één geitenpaadje weet: ‘Als je Facebook is gekoppeld aan je Instagram, dan kun je die omzetten in een business account. Plaats vervolgens een advertentie of promoot een bericht, want vanaf dat moment kun je live chatten met een medewerker. Vervolgens kun je iemand van het supportteam van Facebook vragen of hij of zij je Instagram kan resetten, zodat je er hopelijk daarna weer in kunt.’

Ik sla mezelf voor mijn kop dat ik mijn Facebook en Instagram niet zoals de rest van Nederland aan elkaar heb gebreid en maak van de weersomstuit, uit pure frustratie en boosheid, nog diezelfde dag een ander Instagramaccount aan. Hallo @journalistfleur, een zakelijk account, gekoppeld aan Facebook, de hele rataplan. Een week lang weet mijn nieuwe account me af te leiden van mijn Instagram-issues, als je dan toch opnieuw moet beginnen, dan kun je het maar beter goed doen, ja toch? Maar ergens diep vanbinnen blijft het knagen, want eigenlijk wil ik gewoon mijn ‘oude’ account terug, samen met de dik 2400 volgers die ik had, dank u feestelijk.

We hebben onszelf compleet afhankelijk gemaakt van iets dat niet eens van ons is.

Toegegeven: dat klinkt een beetje zielig voor een volwassen vrouw, maar ik ben niet de enige zielenpoot. Uit het Nationale Sociale Media Onderzoek 2021 blijkt dat jongeren dagelijks 160 minuten spenderen op social media, gemiddeld besteden Nederlanders er 97 minuten per dag aan. Een heleboel mensen pompen wekelijks ook nog honderden euro’s in hun socials, om meer volgers te krijgen of aandacht te genereren. Kunnen we er even niet op, iets wat we vorig jaar zagen gebeuren toen de servers van Facebook en Insta haperden, dan raken we in paniek. Ergo: we hebben onszelf compleet afhankelijk gemaakt van iets dat niet eens van ons is.

Ook met 2400 volgers interessant voor een hacker

Via een middelbare-schoolkennis kom ik in contact met Frank Groenewegen, als tiener zelf hacker en al vijftien jaar lang een van de belangrijkste digitale experts van Nederland, met onderzoeken bij belangrijke hacks als Belgacom en DigiNotar. ‘Ik krijg veel gestresste mensen, ook vaak BN’ers, bij mij op de lijn die niet meer in hun account komen,’ aldus Groenewegen, die sinds vorig jaar als partner Cyber Risk bij Deloitte werkt. ‘Een van de meest gebruikte trucs van hackers is een DM, zogenaamd vanuit Instagram, met de vraag om via een link je gebruikersnaam en wachtwoord in te vullen, zodat je de felbegeerde blauwe linkjes krijgt of om je beveiliging te updaten.’

Veel mensen denken bij zo’n melding: top, dat wil ik, en vullen klakkeloos hun gegevens in. Het is lastig te achterhalen of ik datzelfde heb gedaan, Mark Rutte zou zeggen dat hij er geen actieve herinnering aan heeft, maar hoogstwaarschijnlijk is dat wel wat er is gebeurd. ‘Ook als jij maar 2400 volgers hebt, kun je interessant zijn voor een hacker, bijvoorbeeld vanwege de mensen die jij kent,’ aldus Groenewegen. ‘Stel dat jij bekende mensen of politici in jouw digitale netwerk hebt, dan kan de hacker die mensen via jouw account een berichtje sturen. Die persoon denkt dan: o, dit komt van Fleur, dat is betrouwbaar, dus ik kan wel op dit linkje klikken.

Tweestapsverificatie aanzetten

De oplossing op voorhand, om te voorkomen dat je überhaupt in een vervelende situatie als die van mij terechtkomt, is om tweestapsverificatie aanzetten. ‘Dat heb je in twee minuten gedaan en het is ook nog eens gratis,’ aldus Groenewegen. ‘Zelfs als je dan je wachtwoord aan een hacker zou geven, heeft hij of zij nog steeds een code nodig die elke paar minuten verandert. Je krijgt dan vaak wel een melding van: hé, iemand probeerde in te loggen op je account, was jij dat niet, maak dan een melding. Maar verder is er niks aan de hand. Ik snap niet dat veel mensen nog steeds geen tweestapsverificatie hebben, want dan kun je ook niet worden gehackt.’

‘Als je Beyoncé heet, dan kan dat heel snel gaan. Of je moet connecties hebben, dat kan het proces ook enorm versnellen.’

Word je wel gehackt, dan moet je door het hele geautomatiseerde proces van Instagram, soms tot en met het opsturen van een kopie van je paspoort aan toe. Heb je de pech dat het algoritme je niet verder kan helpen, zoals bij mij het geval is, dan heb je toch Instagram zelf nodig om het probleem op te lossen. Groenewegen: ‘Als je Beyoncé heet, dan kan dat heel snel gaan. Of je moet connecties hebben, dat kan het proces ook enorm versnellen. In andere gevallen helpt het soms om te vragen of andere mensen jouw account willen rapporteren, zodat Instagram denkt: wat is hier aan de hand? Maar daar kunnen makkelijk een paar weken overheen gaan.’

Bedrijven doen the bare minimum

Je kunt je afvragen waarom Instagram niet gewoon een supportafdeling heeft met mensen van vlees en bloed achter een telefoon, maar dan zouden ze gigantische afdelingen in alle denkbare talen moeten optuigen – en dat kost geld, veel geld.

En daarbij: ze zijn er niet toe verplicht, waarmee niet gezegd is dat je als individuele gebruiker helemaal geen rechten hebt. ‘Je hebt volgens de AVG op elk moment het recht om aan een bedrijf te vragen welke persoonsgegevens ze van je hebben, waarbij zij de plicht hebben om binnen een maand te antwoorden,’ aldus Jef Ausloos, postdoctoraal onderzoeker aan het Instituut voor Informatierecht aan de Universiteit van Amsterdam.
Ook heb je het recht op verbetering en het recht op verwijdering, bijvoorbeeld als je wilt dat je geblokkeerde Instagram-account wordt gedelete. ‘Het probleem is dat veel techbedrijven, waaronder Facebook en Twitter, hun hoofdzetel hebben in Ierland,’ aldus Ausloos. ‘Dat betekent dat alle klachten van lidstaten en burgers zich daar opstapelen, want de Ierse autoriteit staat niet bekend als streng of snel. Sinds de AVG in werking is gesteld, is er zelfs nog maar een handvol beslissingen uitgekomen, terwijl er al jarenlang honderden dossiers op de plank liggen. Bedrijven doen dus maar the bare minimum, omdat de kans dat ze worden gepakt toch extreem klein is.’

Laatste wanhopige mail

In het kader van niet geschoten is altijd mis mail ik Instagram nog een laatste wanhopige keer. Ik zie in mijn verzonden items dat het poging 36 is, evenredig verdeeld over security@mail.instagram.com en press@fb.com, maar ik voeg voor het eerst de mededeling toe dat ik volgens de AVG binnen 30 dagen antwoord hoor te krijgen. In eerste instantie denk ik dat mijn vriend een flauwe grap heeft uitgehaald als ik twee dagen later een mail terugkrijg van iemand die zichzelf Cameron noemt en vanuit een fb.com-mailadres mailt dat ze ‘very sorry is to hear that ik issues experience accessing mijn IG-account’: ‘My team is currently working to help you regain access.’

In eerste instantie denk ik dat mijn vriend een flauwe grap heeft uitgehaald als ik twee dagen later een mail terugkrijg.

Zo kan het gebeuren dat ik op donderdag 11 november, twee maanden nadat ik voor het eerst de melding kreeg dat ik was gehackt, weer toegang krijg tot mijn Instagram-account @fleurbaxmeier. Met dank aan Jef Ausloos en de AVG, want ik durf met enige zekerheid te stellen dat ik zonder de dwingende toon in mijn laatste e-mail nog steeds tegen het ‘JE ACCOUNT IS GEHACKT’-scherm zou kijken. Dat was niet het einde van de wereld geweest, het belang van Instagram heb ik de afgelopen tijd wel leren relativeren, maar ik voel me toch vreemd opgelucht, alsof ik een lang verloren vriendin weer in de armen kan sluiten. Met tweestapsverificatie tussen ons in, dat wel.

Wat zegt Instagram zelf?
Cameron Veasey, communications manager van Instagram, laat weten: ‘Unfortunately, hacked accounts are normally the result of successful phishing attempts. This is a common tactic used by bad actors to gain access to people’s accounts, such as email and social media. Bad actors are always changing their tactics and the sophistication of phishing content, to encourage people to reply to strange messages or click on malicious links. While we are always improving our technology to combat new trends and techniques that hackers and spammy accounts may use, we encourage people to be vigilant about not clicking on suspicious links, and to report suspicious messages to us so we can take appropriate action. We receive millions of reports a day, and work to review and action content that violates our community guidelines as quickly as possible. We also use AI to help us prioritise reviewing content that has the highest potential for harm. To help people keep their accounts safe and secure, we launched Security Checkup. A new feature that guides people, whose accounts may have been hacked, through a series of steps needed to secure them. In addition to our new security checkup feature, we offer a number of resources on our Help Center to help people protect their accounts, as well as several tips on how to avoid being phished here.’
 

Wil je weten hoe je dergelijke ellende kunt voorkomen? Lees ook dit verhaal over digitale beveiliging:

Beveilig je digitale leven met deze eenvoudige acties

Tekst: Fleur Baxmeier
Beeld: Demian Janssen

Mede mogelijk gemaakt door het Steunfonds Journalisten

Volg ons op Instagram