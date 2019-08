De meeste mensen zijn in principe sociale wezens. We helpen elkaar. We neigen om iemand hoger in de hiërarchie te vertrouwen. We gaan uit van eerlijkheid en dat mensen zijn wie ze zeggen dat ze zijn, omdat alles en iedereen in twijfel trekken onwerkbaar is - en zelfs onbeschoft. Helaas betekent sociale omgangsvormen ook dat we de zwakste schakel kunnen zijn in informatiebeveiliging.

Vaak zijn 'hacks' niet het gevolg van het vernuftig uitbuiten van technische kwetsbaarheden, maar het gevolg van mensen wiens behulpzaamheid wordt uitgebuit door aanvallers. Veel technieken zijn zo oud als oplichting zelf, maar zijn voorzien van een tweak om toe te passen op het digitale tijdperk. Dit zijn twaalf van zulke trucs waar je van kunt leren om meer op je hoede te zijn.

1. Kevin Mitnick versus DEC

Voordat hij een respectabele beveiligingsdeskundige en consultant werd, was Kevin Mitnick in het computertijdperk van de jaren 80 en 90 een van de beruchtste hackers. Zijn werk werd gevoed door nieuwsgierigheid, niet door winstbejag, en social engineering was zijn superkracht. Een klassieke truc voerde hij uit toen hij 16 was.

Hij was in 1979 bevriend met enkele hackers die het nummer hadden gevonden van een dialup-modem van computerfabrikant DEC, die werd gebruikt voor het systeem waar een OS op werd ontwikkeld, maar ze hadden er niets aan omdat ze geen accountnaam of wachtwoord hadden. Mitnick belde de systeemmanager bij DEC simpelweg op en deed zich voor als Anton Chernoff, een van de lead-developers van het bedrijf. Hij had zogenaamd problemen om in te loggen en kreeg meteen de gewenste toegang.

2. De zintuigen van de gebroeders Badir

De beruchtste hackers in het Midden-Oosten van de jaren negentig waren de broers Badir: Muzher, Shadde en Ramy. Ze waren alle drie blind geboren en hun favoriete doelwitten waren telefoonbedrijven. Op een bepaald moment beheerden ze hun eigen illegale telecombedrijf en betaalde een Israëlisch legerradiozender voor de bandbreedte.

Veel van hun oplichting deden ze via social engineering, zoals het bellen van het hoofdkantoor van een telefoonbedrijf met het verhaal dat ze technici waren, of een babbeltruc bij secretaresses om informatie van haar baas te achterhalen om met die kennis zijn wachtwoord te kraken. Maar de Badirs hadden unieke vaardigheden: ze konden de stemmen perfect nadoen (zelfs de stem van de inspecteur die ze op de hielen zat) en konden een pincode herkennen als iemand het aan de andere kant van een ruimte intikte.

3. Onderzoekers voor HP gaan over de schreef

Voor HP waren 2005 en 2006 slechte jaren, met interne ruzies die openbaar werden, en de bedrijfsleiding was ervan overtuigd dat een bestuurslid informatie doorspeelde naar de pers. Het bedrijf huurde privédetectives in om de communicatie van het eigen bestuur te onderzoeken. Dat deden ze met pretexting, een social engineerinstechniek om stukjes informatie te bemachtigen, zoals geboortedata en delen van BSN's.

Gewapend met de namen van de bestuursleden en de laatste vier cijfers van hun sofinummers, benaderden de detectives de telecomprovider om die ervan te overtuigen gedetailleerde belgegevens te overhandigen aan hun 'klanten'. Hoewel HP beweerde deze technieken niet te hebben toegestaan, stapten meerdere kernfiguren bij het bedrijf op (PDF). Pretexting was al illegaal in de VS, maar na het breed uitgemeten schandaal werden er stevigere wetten aangenomen om deze praktijken uit te bannen.

4. Ambtenaar valt voor Nigeriaanse prinses

Een Nigeriaanse prins die hulp vraagt om in het thuisland gegijzelde grote geldbedragen vrij te maken is variant op een eeuwenoude scam die door de jaren heen mensen heeft verleid om een voorschot te overhandigen, inclusief mensen die beter zouden moeten weten (zoals deze kankeronderzoeker en professor aan de prestigieuze universiteit Harvard).

Een penningmeester van een Amerikaanse gemeente stal in 2007 ongeveer een miljoen euro aan publieksgeld voor een hulpbehoevende Nigeriaanse prinses. Hij vertelde vrienden dat hij binnenkort van zijn pensioen kon genieten en dat hij naar Londen zou vliegen om het 'verdiende' geld op te halen. Hij kwam met lege handen terug in de VS en werd daar gearresteerd.

5. Hackschandaal roddelbladen

Het medialandschap in het Verenigd Koninkrijk werd in 2009 opgeschud door een schandaal dat Britse roddelbladen detectives hadden betaald om de voicemail-accounts van diverse doelwitten te hacken om aan verhalen te komen: van beroemdheden tot koninklijke hovelingen. Bijzonder stuitend was dat ze daarbij mogelijk voicemails van een vermoord meisje hadden gewist, waardoor ouders stille hoop hadden dat ze nog leefde.

Hoewel er verschillende technieken werden gebruikt, was een kernmethode pretexten, wat Britten "blagging" noemen. Zo kreeg één detective een werknemer van Vodafone zover om de pincode van actrice Sienna Miller's voicemail te resetten door te zeggen dat hij "John van kredietcontrole" was. In andere gevallen konden detectives de pincodes raden, die wellicht veel gebruikers niet wijzigen nadat ze een standaardcode hebben ontvangen.

6. SecurID bij RSA zelf ondermijnd

Phishing is misschien wat onpersoonlijk, maar valt zeker te omschrijven als een social engineering-aanval omdat het zich richt op met bijvoorbeeld lokaas of dreiging overtuigen van een gebruiker om een bestand te openen of applicatie te installeren, wat ze beter niet hadden kunnen doen. Een gênant voorbeeld leidde tot een inbraak bij nota bene beveiligingsbedrijf RSA.

Tenminste twee werknemers op laag niveau openden een excelbestand van een onbekende afzender met de titel "2011 Recruitent plan.xls". (Het vooruitzicht van een nieuwe baan is bekend lokaas in phishingacties.) De spreadsheet bevatte een macro die een backdoor installeerde, waardoor RSA's vlaggenschip SecurID niet meer betrouwbaar was en dat kostte het bedrijf 66 miljoen dollar.

7. Jagen op prooi bij hun drinkplaats

Voor een groot deel werkt social engineerring als je het gedrag van je slachtoffer begrijpt: hoe ze hun tijd besteden - en dat gaat ook om hoe ze hun tijd online besteden. Wateringhole-aanvallen zijn social engineering-aanvallen in zoverre dat ze gaan om het plaatsen van malware op sites waar ze weten dat hun doelwitten rondhangen.

Een berucht voorbeeld is hoe hackers malafide JavaScript wisten te verwerken in de Site Exposure Measures van het Amerikaanse ministerie van werkgelegenheid. Op die pagina staat informatie over giftige stoffen die aanwezig zijn in faciliteiten van het Amerikaanse ministerie van energie. Die werden vaak bezocht door werknemers van dat laatste ministerie en aanvallers konden enkele van hun computers besmetten met Poison Ivy, een remote-access trojan.

8. De baas wil geld zien

Nog een bedrijf dat beter had moeten weten was Ubiquiti Networks, dat jarenlang het voorbeeld was van 'business email compromise', beter bekend als CEO-fraude. De aanvallers e-mailden de financiële afdeling van de dependance in Hong Kong en deden zich voor als een bestuurslid. Ze eisten dat er geld werd overgemaakt naar een derde partij, die uiteraard van de aanvallers was. Ubiquiti heeft weinig uit de doeken gedaan over hoe de financiële afdeling precies werd gefopt en verklaarde dat de systemen niet waren gehackt. Het lijkt erop dat de aanvallers een techniek gebruikten als een gespoofte URL.

9. CIA gesocialengineerd

In 2015 en 2016 kreeg de Britse tiener Kane Camble toegang tot de thuis- en kantoornetwerken van enkele sleutelfiguren in de Amerikaanse inlichtingendiensten met behulp van social engineering. Hij belde bijvoorbeeld telco Verizon op en kreeg ze zover om toegang te verlenen tot het e-mailaccount van CIA-directeur John Brennan, ook al wist hij het antwoord op diens beveiligingsvragen niet (de naam van zijn eerste huisdier).

Hij belde de helpdesk van de FBI met de bewering FBI-onderdirecteur Mark Giuliano te zijn en overtuigde ze om hem toegang te verlenen tot zijn account, terwijl de FBI wist dat er een aanval gaande was. Eenmaal in de computers van zijn doelwit lekte hij geheime informatie en richtte hij meer schade aan door bijvoorbeeld de telefoontjes naar Dan Coats, de Director of National Intelligence, om te leiden naar een Amerikaanse organisatie voor een vrij Palestina.

10. Clintons emails

Een ander recent berucht voorbeeld is dat van Hillary Clinton's camapagneleider John Podesta. Spearphishing richt zich op specifieke doelwitten die gevoelige informatie hebben en in 2016 was er bijna geen gevoeliger doelwit in de VS dan John Podesta. Hij kreeg een nepmail van 'Google' over een accountreset, met de vraag of hij in wilde loggen en zijn wachtwoord wilde wijzigen. Het domein achter de bit.ly was myaccount.google.com-securitysettingpage.ml .

Podesta was op zijn hoede en vroeg aan een medewerker per e-mail of dit wel in orde was. Die medewerker wist van de phinsingpogingen en maakt vervolgens een schrijffout die enorme gevolgen had. Hij wilde waarschuwen voor de onveilige e-mail, maar schreef "legitimate e-mail" waar hij "illegitemate" bedoelde. Podesta gaf zijn gegevens in, Russische hackers kregen toegang tot e-mails van Clinton en Podesta, en dat hielp volgens het uitgebreide journalistieke onderzoek in het boek Shattered Donald Trump enorm om de aandacht van het publiek te verleggen en hem de verkiezingen te laten winnen.

11. "Het is mijn eerste dag"

Het ministerie van justitie in de VS werd in 2016 belaagd door een hacker die met succes binnenkwam en duizenden personeelsbestanden van agenten van de FBI en Homeland Security wist te lekken. De aanval begon toen de hacker op de een of andere manier een ministerieel e-mailadres te pakken had gekregen, maar de belangrijkste zet kwam via social engineering, zo legde hij smalend uit aan Motherboard.

Toen hij zich toegang wist te verschaffen tot de ministeriële webportal voor werknemers "belde ik ze op, vertelde ik dat ik nieuw was en niet wist hoe ik erin kwam", vertelde hij. "Ze vroegen of ik een tokencode had, ik antwoordde 'nee' en kreeg te horen dat dat geen probleem was, ik kon die van hen gebruiken." Zo kreeg hij toegang tot het intranet van het ministerie.

12. Macro's weer inschakelen

Inmiddels zijn we bijna allemaal de dialoogvensters beu die elke dag op ons scherm getoverd worden om ons te informeren van een potentieel risico als we doorgaan. Dat kunnen social engineers misbruiken om gebruikers een risicovolle actie te laten nemen. Een voorbeeld komt uit een beruchte aanval in Oekraïne.

In 2017 spoelde een golf van phishingaanvallen over doelwitten in Oekraïne met een Word-document die een malafide macro bevatte. Als de macro's waren uitgeschakeld op de pc van het slachtoffer, kreeg die een keurig uitziend dialoogvenster te zien, die was ontworpen om te lijken op eentje van Microsoft, om ze ervan te overtuigen de macro in te schakelen. Als ze dat deden, werd een backdoor geïnstalleerd waardoor aanvallers de microfoon konden inschakelen om af te luisteren. De les, zoals altijd, is om altijd even stil te staan bij waar je op klikt.