Mijn lezing bij Studievereniging Realtime in Groningen duurde anderhalf
uur, vandaar ook dat ik de blog over die lezing in tweeën moest knippen. Vorige
week kon je lezen over de theorie achter social engineering. Deze week ga
ik het, zoals beloofd, over de praktijk hebben. Dat wordt nog smeuïger!
Een social engineer komt graag goed beslagen ten ijs. Hij zoekt allerlei
aangrijpingspunten als hij jou informatie wil ontfutselen of jou dingen wil
laten doen, want hij wil zo vertrouwd mogelijk overkomen – jij wist het nog niet,
maar hij is je vriend. Hoe komt hij te weten wie jij bent, hoe jouw sociale en
werkomgeving eruitzien, wat je hobby’s zijn? Nou, wat denk je? Sociale media
natuurlijk! Je hebt nog nooit op het marktplein van je woonplaats gestaan om
publiekelijk je doopceel te lichten voor de verzamelde burgerij, maar de kans
is groot dat Facebook, LinkedIn, Instagram en Twitter zo’n beetje alles van je
weten wat van belang is voor social engineers. Dit filmpje van
de Belgische financiële sector brengt heel mooi in beeld hoe handig ze daar
gebruik van kunnen maken.
Phishing is de bij het brede publiek best bekende verschijningsvorm van
social engineering. We kennen allemaal de mailtjes die je ertoe willen bewegen
op een link te klikken of een bijlage te openen. Zo’n bijlage zorgt ervoor dat
malware op je computer wordt geïnstalleerd, waarmee de crimineel zich verder
toegang tot je systeem verschaft of met je mee kan kijken – en zo bijvoorbeeld
de inlogcodes voor je bankrekening in handen. Bevat de phishingmail een link,
dan kom je vaak op de nepsite van een bekend bedrijf terecht waar je wordt
gevraagd om allerlei gegevens in te vullen. Of er wordt malware geïnstalleerd.
Bij bulk phishing schiet de
crimineel met hagel: hij verstuurt heel veel mailtjes in de hoop dat een paar
willekeurige mensen zullen toehappen. Spear
phishing daarentegen richt zich op zorgvuldig geselecteerde, specifieke
personen in een organisatie (met dank aan de sociale media). Een specifieke vorm
van spear phishing is CEO-fraude, waarbij de crimineel zich voordoet als de hoge
manager van een organisatie en in een dringend, dwingend mailtje aan iemand van
de financiële administratie opdracht geeft om een flink bedrag over te maken
naar een buitenlandse bankrekening. Dit werkt goed bij grote organisaties, waar
de afstand tussen administratie en de directie groot is en de administrateur
het niet in z’n hoofd haalt om de opdracht in twijfel te trekken en te
verifiëren. Op deze manier verloor de Belgische Crelan-bank in 2015 zeventig
miljoen euro, de Amerikaanse speelgoedfabrikant Mattel ging een jaar later voor
drie miljoen dollar het schip in en onze eigen Pathé-bioscopen moesten vorig
jaar negentien miljoen euro aftikken. Telkens door één mailtje.
Je moet dus goed uit je doppen kijken als je mailtjes krijgt waarin je
gevraagd wordt om iets te doen. Check vooraf waar een link je naar toe wil brengen.
Op een pc laat je de muiscursor boven de link zweven (zonder te klikken), dan
zie je onderin de statusbalk van je browser het adres. Ziet dat er ‘raar’ uit,
dan is dat een flinke rode vlag. Op een mobiel apparaat druk je lang op de link
om het adres in beeld te krijgen. Maar er zijn geniepigere trucs. Zie je
verschil tussen google.com en googIe.com? Wel als ik de zin naar een ander
lettertype kopieer: Zie je verschil
tussen google.com en googIe.com? In schreefloze lettertypes zien de
kleine letter L en de hoofdletter i er hetzelfde uit. De cybercrimineel
registreert het domein googie.com en stuurt jou een link die je leest als
google.com. En dan zijn er nog de homogliefen: letters uit andere
schriftsoorten die op ons Latijnse schrift lijken. Een Cyrillische a ziet er
bijvoorbeeld hetzelfde uit als zijn Latijnse collega, maar wordt door computers
anders gecodeerd, waardoor het domein niet is wat je denkt.
Impersonatie is een heel andere vorm van social engineering. Een
meester in dit vak uit de vorige eeuw is Frank Abagnale jr., die in zijn boek Catch me if you can uit de doeken doet
hoe hij zich in de rollen van piloot en kinderarts wist te manoeuvreren. Het
boek is ook verfilmd (trailer).
Europol schreef vorig jaar september in een rapport dat social
engineering groeit, met phishing als voornaamste verschijningsvorm. Vooral
West-Afrikaanse fraudeurs gaan een grotere rol in de EU spelen, omdat hun
internetgebruik het snelst groeit. En nu we het toch over Afrika hebben: als je
tien minuten over hebt, bekijk dan deze TED-talk van James
Veitch, die heeft gedaan wat we stiekem allemaal wel zouden willen
doen: hij heeft een mailtje van de spreekwoordelijke Afrikaanse prins
beantwoord. Informatiebeveiliging als amusement – het kan!
En in de grote boze buitenwereld …
... kun je je natuurlijk ook voordoen als een Franse minister.
... moeten we ons beschermen tegen cryptobankrovers.
... is het verstandig om goed na te denken over de configuratie van
Office 365.
... plaatsen websites van de rijksoverheid graag cookies op je computer.
... is de kwantumcomputer dichterbij dan we denken. En daarom moeten we
nu al werken aan de beveiligingsissues die dit met zich meebrengt.
... kleven er nadelen aan de Europese auteursrechtenrichtlijn.
- Kort, opinie: https://pcmweb.nl/artikelen/juridisch/brenno-de-winter-wat-doen-we-met-misbruikers-van-het-internetfilter/
- Lang, analyse: https://tweakers.net/reviews/6956/europarlement-stemt-over-auteurswetgeving-komen-er-uploadfilters-en-linktaks.html
... staan we nog maar aan het begin van de cyberwapenwedloop.
... manen producenten en beveiligers je om je software steeds te
updaten, maar wat als het updatemechanisme zélf als aanvalsvector wordt
gebruikt, zoals nu bij Asus het geval is?
... kun je er natuurlijk op wachten dat je gehackt wordt als je
wachtwoorden laat rondslingeren.
... is er een tool om te controleren of jouw computer is geraakt door
de Asus-hack.
https://www.wired.com/story/asus-software-update-hack
https://www.wired.com/story/asus-software-update-hack
... lijkt er bij bedrijven meer vraag te komen naar veilige
IoT-spulletjes.
... is Neerlands trots niet goed beveiligd tegen cyberaanvallen.
... hebben nogal wat mensen de toegang tot hun Twitter-account verloren
door ... eh ... domheid?
... is deze post op Twitter pas echt dom.
... heeft Microsoft via de rechter bijna honderd kwaadaardige websites
in handen gekregen.