Hoewel onze huidige cateraar mij zelden meer weet te slijten dan een
glaasje melk, ga ik tussen de middag graag naar de kantine om daar, zo te
zeggen uit arren moede, mijn thuis met liefde gesmeerde boterhammen op te
peuzelen. Soms schuiven onverwachte maar
welkome disgenoten aan en niet zelden ontspint zich dan een gesprek over – hoe
kan het ook anders – informatiebeveiliging. En als zo iemand dan zegt: “Ik heb
nog een onderwerp voor jouw blog”, dan spits ik uiteraard mijn oren.
Onderstaand opmerkelijk verhaal, dat op details afwijkt van de werkelijkheid om
herleidbaarheid naar de persoon in kwestie te bemoeilijken, kwam op deze wijze
tot stand.
Een zakenreizigster raakte haar iPhone kwijt in Madrid. Het is vervelend
om zo’n kostbaar toestel te moeten missen, maar afhankelijk van wie en wat je
bent kunnen de gegevens op het toestel nog veel kostbaarder zijn. Gelukkig kun
je het apparaat via de iCloud-functie “Zoek mijn iPhone” in de zogenaamde verloren-modus
zetten. Het apparaat wordt dan vergrendeld, waardoor de gegevens niet meer
toegankelijk zijn (tenzij je de bijbehorende code kent). Bovendien kun je een
boodschap op het apparaat laten verschijnen. Dat deed onze onfortuinlijke reizigster.
Op het scherm van haar iPhone verscheen ongeveer het volgende bericht: “Deze
iPhone is gestolen. Neem a.u.b. contact op via telefoonnummer zus-en-zo”.
De dieven – we kunnen er inderdaad gerust van uitgaan dat de iPhone
gestolen was – maakten inderdaad gebruik van het opgegeven nummer. Ze stuurden
er een sms’je naar toe met de volgende (hier vanuit het Engels vertaalde en qua
gegevens willekeurig aangepaste) inhoud: “Geachte klant, uw iPhone 7 32gb is
gevonden in Barajas, Madrid, Spanje. 03 maart 2017 10:27. IMEI: 373445386091292.
S / N: Fk1QTN4NDPR7. Verifieer uw ID en volg de locatie van uw toestel via
onderstaande link. Met vriendelijke groet, Apple Support. Verzonden van een van
mijn mobiele apparaten.”
Het IMEI-nummer bleek te kloppen. Dat nummer kun je inderdaad
achterhalen als je het toestel in handen hebt; het staat bij nieuwere
toestellen op de simkaarthouder, zij het in kabouterlettertjes. Het serienummer
kom je echter alleen in het instellingenmenu tegen en daar kun je niet bij als
je het toestel niet kunt ontgrendelen, maar de dieven nemen kennelijk de gok dat
je niet beide nummers controleert. Opvallend is wel dat er een kleine letter in
het serienummer staat. De laatste zin van het bericht staat een beetje koddig.
Waarom stuurden de dieven dit sms’je? Omdat ze toegang tot de telefoon
willen, zodat ze hem kunnen verkopen. Om toegang te krijgen hebben ze de
ontgrendelcode nodig. En hoe kom je daaraan? Juist, via phishing! De
meegeleverde link bracht je naar de volgende – inmiddels niet meer bestaande –
website: apple.support.ldverification.com. Deze URL stinkt, en wel om meerdere
redenen. De belangrijkste: je verwacht dat een site van Apple zich in het
domein van Apple bevindt. Achteraan (en nergens anders) zou dus apple.com
moeten staan. Ga er maar gerust van uit dat ze dit niet hebben uitbesteed,
zeker Apple niet. Maar er is nog meer. Zie jij verschil tussen “Id” en “ld”?
Nee hè? Maar wel als ik overstap van een schreefloos lettertype naar eentje met
schreven: “Id” en “ld”.
Dat domein heet dus helemaal niet idverification.com met een hoofdletter i,
maar Ldverification.com met een kleine letter L. En dat domein staat
geregistreerd op naam van ene meneer Basharat uit Pakistan. Hij heeft deze truc
toegepast omdat dat andere domein al vergeven was en hij het kennelijk een erg
mooie naam vond.
Zoals gezegd is de website niet meer actief, maar het laat zich raden
wat daar te zien was: een Apple logo en velden om je Apple-id en het
bijbehorende wachtwoord in te vullen. Voldoende gegevens voor de dieven om zich
toegang tot de iPhone te verschaffen. Daar kan overigens nog een andere reden
voor zijn dan het verkoopgereed maken: als het toestel niet is gewist, dan
bevat het nog een schat aan informatie en toegang tot allerlei accounts van
bijvoorbeeld social media. Identiteitsfraude is dan een reële dreiging. Op
dezelfde iCloud-pagina waar je je toestel als verloren opgeeft staat ook de
knop “Wis iPhone”. Het doet misschien zeer, maar gebruik die knop. Zeker als je
weet dat je toestel gestolen is (en niet thuis onder de bank of zo ligt te
wachten).
Volgende week heb ik misschien geen tijd voor een Security (b)log in verband met conferentiebezoek.
En in de grote boze buitenwereld …
... wist het Team High Tech
Crime van de Nederlandse politie 3,6 miljoen BlackBerry-berichten tussen
criminelen te ontsleutelen.
... legt dit filmpje nog
eens in jip-en-janneketaal uit hoe encryptie ook alweer werkt.
... ziet een
warmtebeeldcamera nog een halve minuut lang welke pincode jij op je smartphone
hebt ingetoetst.
... zijn duizenden zero day exploits van de CIA voor
smartphones, tv's, routers en computers
uitgelekt.
... gaat WikiLeaks met
fabrikanten samenwerken om de gelekte CIA-exploits te dichten alvorens nadere
details erover te publiceren.
... is het CIA-lek een
typisch gevalletje dreiging-van-binnenuit.
... maakt niet alleen de CIA
dankbaar gebruik van fouten in programmatuur.
... kunnen deze vragen je
helpen om te achterhalen hoe privacy-bewust je kinderen zijn. (Maar je mag ze
ook gebruiken om jezelf te testen...)
... heeft ook de Amerikaanse
vice-president (in een vorige functie) een privé e-mailaccount zakelijk
gebruikt. En die werd natuurlijk gehackt.
... was het internet
plaatselijk stuk door een probleem in de cloud van Amazon.
... hebben tegenwoordig niet
alleen de muren oren, maar vooral ook allerlei apparaten.
... heeft het vertrouwen in
password managers een flinke deuk opgelopen.
... heeft de Amerikaanse digitale-burgerrechtenbeweging
een uitvoerige handleiding voor het privacybewust passeren van hun eigen grens opgesteld.
... veegt dit artikel de
vloer aan met goedbedoelde adviezen voor veilige grenspassage.
... was ik niet de enige die
de verkiezingsprogramma's heeft doorgespit (zie de Security (b)log van 24 februari).
(Maar ik heb er wel méér gedaan.)
(Maar ik heb er wel méér gedaan.)
... pleit Mikko Hyppönen in
dit filmpje voor regulering van IoT-devices. Omdat hij niet wil dat via de
broodrooster zijn wifi-wachtwoord uitlekt.
Geen opmerkingen:
Een reactie posten