 |
| Afbeelding via Unsplash |
“Rusland hackt WhatsApp en Signal van overheidsmedewerkers, melden inlichtingendiensten”, kopte de NOS afgelopen maandag. Ik zal uitleggen waarom ik hier het stempel ‘devaluatie’ op druk.
Om te
beginnen een geruststelling: noch WhatsApp, noch Signal is gehackt. Tenminste,
als je de gangbare betekenis toekent aan hacken: jezelf wederrechtelijk toegang
verschaffen tot een computersysteem (dit is geen formele definitie, maar zoals
ik ‘m ervaar). Daarbij is het computersysteem de dienst zoals die – in dit
geval – door WhatsApp en Signal wordt aangeboden. Jouw individueel account is
daarbij niet het doelwit.
Laten
we even doen alsof deze chat-diensten wél gehackt zijn. Dat zou betekenen dat
een hacker op hun servers heeft ingebroken en daar allerlei dingen heeft gedaan
die heel veel mensen niet leuk vinden; alle – of op z'n minst vele – klanten
zouden door de hack zijn geraakt, doordat hun gegevens gecompromitteerd zijn.
Maar
dat is hier dus helemaal niet aan de hand. De actor (een nette term voor dader)
had het gemunt op individuele accounts van bepaalde (soorten) functionarissen.
Deze mensen kregen een bericht dat afkomstig leek te zijn van de chatbot van
Signal; het leek dus op een officiële waarschuwing van de dienstverlener over
verdachte activiteiten. Er staat ook in dat er mogelijk data zijn gelekt en dat
er pogingen zijn gedetecteerd om toegang tot privédata te krijgen. Dat zou je
kunnen voorkomen door het verificatieproces te doorlopen, aldus het bericht.
Wat
gebeurt er nou echt? De actor wil inloggen op jouw account bij Signal. Die app
vraagt dan om een code, die ze sms’en naar het bij hen bekende telefoonnummer:
dat van jou. Die code, en jouw zelf ingestelde pincode, heeft de actor nodig om
in te kunnen loggen, vandaar het bericht dat hij je stuurt. Het is de bedoeling
dat je daarvan schrikt en gauw ‘het verificatieproces’ wilt doorlopen, maar dat
is een val. Als je daar in trapt, dan kan de actor jouw account volledig
overnemen en zelfs het gekoppelde telefoonnummer wijzigen naar zijn eigen
nummer. Hij heeft nu toegang tot je contacten en kan meelezen met nieuwe chatberichten
(zowel één-op-één als in groepen). Hij kan zelfs berichten namens jou
versturen. Je hebt nu zelf geen toegang meer tot je account, maar je kunt wel
een nieuw account aanmaken en je krijgt je chatgeschiedenis terug – die wordt
namelijk op je toestel opgeslagen. Mooi, geen probleem, fijn dat ze me zo goed
hebben geholpen, denk je dan.
In
een andere variant laten ze je een QR-code scannen of op een link klikken. Ze
laten je geloven dat je daardoor wordt toegevoegd aan een chatgroep in WhatsApp
of Signal, maar in werkelijkheid wordt het apparaat van de actor aan jouw
account gekoppeld. De actor kan nu al jouw chats zien, vaak ook de
chathistorie. Je merkt daar niks van. Ook bij deze aanval kan hij meelezen met
nieuwe berichten en namens jou berichten verzenden.
Goed,
dan nu terug naar de term hacken en waarom ik vind dat die devalueert. Vanaf de
jaren zestig was een hack een slimme technische truc in de (Amerikaanse)
computer- en modelspoorclubwereld, en een hacker was een bijzonder slimme
programmeur. In de jaren tachtig werd de term gebruikt voor mensen die
diepgaand onderzoek deden naar computersystemen en netwerken. Als ze daarbij de
beveiliging omzeilden, dan was dat uit nieuwsgierigheid en om te testen. Er
waren ook crackers, hun kwaadaardige tegenhangers. Vanaf de jaren
negentig verwaterde het verschil en werden hackers algemeen gezien als boeven.
Zie mijn persoonlijke definitie boven.
De
kop van de NOS suggereert dan WhatsApp en Signal gehackt zijn, terwijl het cyberadvies van
de AIVD en MIVD juist benadrukt dat dat niet het geval is. Kennelijk is de NOS
op de vingers getikt, of heeft de redactie de stagiair terechtgewezen, want
later die dag kreeg hun bericht een nieuwe kop: "Inlichtingendiensten:
Russische hackers dringen WhatsApp en Signal van ambtenaren binnen". En kreeg
het artikel een paragraaf met als titel: "Geen lek in berichtendienst
zelf". In het oorspronkelijke bericht lijkt ‘hacken’ te slaan op zo’n
beetje alle computeronheil dat van buitenaf komt. Zoals hierboven beschreven
was term al behoorlijk gedevalueerd, maar dit was misleidend.
Wat
hier in werkelijkheid gebeurde heet social engineering. Daarbij wordt
niet de computer, maar de mens achter de computer aangevallen. Als ze je zo ver
krijgen om een code te delen of een QR-code te scannen, dan zijn ze in hun
opzet geslaagd. Social engineering wordt ook wel hacking the human
genoemd – het hacken van de mens. Dat dan wel weer.
En in de grote boze buitenwereld …
- Beïnvloeden trollen onze verkiezingen.
- Hebben pro-Iraanse hackers het medisch technologiebedrijf Stryker aangevallen.
- Bewaren veel videodeurbellen hun opnames te lang.
- Blijft het niet bij alleen maar praten over Europese digitale soevereiniteit.
- Horen IoT-apparaten niet in te loggen als admin.
- Maken cybercriminelen natuurlijk ook gebruik van AI – net als hun tegenstanders.
- Is de autosector het volgende slachtoffer van ransomwarebendes.
- Heeft een Amerikaanse ambtenaar gegevens op een USB-stick meegenomen naar zijn nieuwe baan.
