Vliegend tapijt

 

Afbeelding via Pixabay

Op een druilerige vrijdagmiddag, zo eentje waar we er de laatste tijd zo veel van hadden, zou het bestelde vloerkleed afgeleverd worden. Een pronkstuk voor zijn nieuwe huis, met een modern motief, maar liefst drie bij vier meter groot. Net iets te groot om zelf in de auto mee te nemen, maar gelukkig wilde Ikea het ook wel thuis bezorgen. En u hoeft de schroefjes deze keer niet na te tellen meneer, en er zit ook geen inbussleutel bij.

Maar in de loop van die middag kwam er een mailtje binnen van “Post”. Onderwerp: problemen met bezorging. Inhoud: “Het door u bestelde product ligt nog in ons distributiecentrum. U dient eerst € 3,95 douanekosten te voldoen. Klik op onderstaande button om de bezorging opnieuw in te plannen.” Het betalen diende via een creditcard te gebeuren. Dat was het punt waarop onze tapijtliefhebber afhaakte – had hij met iDeal kunnen betalen, dan had hij het gedaan, om er maar snel van af te zijn.

Nu echter ging hij Ikea bellen. Daar wisten ze hem te vertellen dat het bericht niet van hen afkomstig was en dat het tapijt gewoon die middag zou worden geleverd. Precies tijdens dat gesprek, waarin overigens aan beide kanten al snel de conclusie was getrokken dat het om phishing moest gaan, kwam nog een keer zo’n mailtje binnen. Deze keer stond er ook een ordernummer in, maar dat kwam niet overeen met het nummer van het bestelde tapijt.

De volgende dag waren beide mailtjes op miraculeuze wijze verdwenen. Een onprettig gevoel bekroop onze Ikea-klant: had soms iemand zijn mail-account gehackt, de bestelling gezien en daar handig op ingespeeld? Of was de winkelketen misschien gehackt, of zat er zelfs een mol bij het Zweedse bedrijf, die bestelgegevens verkocht aan cybercriminelen? We zullen het wel nooit weten – tenzij er een heleboel van dat soort meldingen zijn en de e-mailprovider dan wel de winkel een onderzoek uitvoert en de bevindingen publiceert. Maar bedrijven hebben nog wel eens de neiging om tamelijk introvert te zijn over dat soort dingen.

Ik denk dat geen van deze scenario’s zich heeft afgespeeld. Want zo werkt phishing dus: je hebt iets besteld en precies op het goede moment krijg je een bericht dat prima op die bestelling van toepassing zou kunnen zijn. Had je datzelfde bericht een paar dagen eerder of later ontvangen, dan had je je schouders opgehaald en het genegeerd. Ze schieten met hagel, want dat kost toch niets. En ze raken altijd wel een paar mensen waarvoor hun bericht geheel bij toeval wél betekenis heeft.

Wat waren de rode vlaggen, de signalen dat hier sprake kon of moest zijn van phishing? Om te beginnen de afzender: niet Ikea, ook niet PostNL, maar Post. Ik ken geen pakjesbezorger die zo heet. Vervolgens werd in het hele bericht niet over Ikea gesproken. Terwijl normaliter in communicatie van een bezorgdienst altijd de naam van de afzender wordt genoemd. En hoezo douanekosten? Het tapijt was gewoon in Nederland besteld en er was nooit sprake van geweest dat het rechtstreeks vanuit een tapijtknopend land zou worden verstuurd. En dan natuurlijk nog dat ordernummer, dat niets te maken had met het vloerkleed. Voldoende rode vlaggen, zou ik zeggen.

Nadat ik dit relaas had aangehoord, ging ik vragen stellen. Als eerste: heb je het wachtwoord van je e-mail al gewijzigd? Dat is altijd het eerste wat je doet als je ook maar het geringste vermoeden hebt dat iemand met z’n vingers aan je mail heeft gezeten. Je mailaccount is namelijk je belangrijkste account, omdat vrijwel alle “wachtwoord vergeten”-procedures via je mail gaan. Met andere woorden: wie toegang heeft tot je mail, kan zich toegang verschaffen tot veel andere accounts. Volgende vraag: die beide mailtjes zijn verdwenen, maar heb je de webpagina nog in de browser staan? Dat was niet het geval, maar ze stond nog wel in de browsersgeschiedenis: onlinecamp[.]top. De URL-checker van e.Veritas bestempelt deze site als onveilig, en dat “.top”, het zogenaamde top-level domain (zoals bijvoorbeeld ook .nl en .com) is bijzonder. In de internetadministratie staat als doelgroep “algemeen” en het is geregistreerd op naam van Jiangsu Bangning Science & technology Co. Ltd., een Chinese domain registrar – een bedrijf waarbij je je eigen internetdomein kunt laten registreren. Redelijkerwijs mag je er dus van uitgaan dat een link, die eindigt op .top (met daar achter eventueel nog “/abracadabra/xyz/enz”) je naar een Chinese website brengt. Vraag je af of je daar echt naar toe wilt.

Zoveel moeite om € 3,95 te innen? Nee hoor. De betaling moest plaatsvinden met een creditcard. Als je je gegevens op hun nepsite invult, dan hebben de criminelen je creditcardgegevens, waarmee ze een veelvoud van dat bedrag kunnen laten vervliegen. Gelukkig is dat deze keer niet gelukt en ligt het tapijt er mooi bij.

 

En in de grote boze buitenwereld …

• bevat phishing tegenwoordig niet meer altijd een link of een bijlage.
• gaat een Britse leverancier van tools voor criminelen voor lange tijd achter de tralies.
• kreeg deze legitieme app er opeens een nieuwe functie bij.
• kan een slecht geteste update je apparaat vernielen.
• hacken Chinese staatshackers Kenya, vermoedelijk in relatie tot schulden.
• mag je je Netflix-wachtwoord niet meer delen.
• kaapte een Britse IT’er een ransomware-aanval op zijn werkgever.
• hebben de Amerikaanse autoriteiten een update van hun StopRansomware Guide gepubliceerd.
• moet Facebook-moeder Meta een enorme boete betalen voor het doorsturen van gegevens van Europese gebruikers naar de VS.
• kunnen ook vingerafdrukken ge-bruteforced worden.
• is er nu ook ransomware voor het goede doel.
• wil Spanje het aanbieden van end-to-end encryptie in Europa verbieden.

 

Verkeerd ingeschat

 

Op 22 oktober 1895 vertrok de trein, die je op de foto ziet, om kwart voor negen ’s ochtends uit Granville aan de Normandische kust met bestemming Parijs. Hemelsbreed is dat  zo’n driehonderd kilometer, waar een hedendaagse trein drieënhalf uur over doet. Destijds duurde de reis een hele dag.

Om 15.55 uur denderde de trein Parijs binnen, maar hij had enkele minuten vertraging opgelopen. De zeer ervaren machinist, Guillaume-Marie Pellerin, bedacht dat hij die vertraging deels kon goedmaken door pas op het laatste moment te remmen. Maar uitgerekend deze keer faalden de remmen en knalde de trein door het stootblok en de glazen gevel van station Parijs-Montparnasse, waar hij, zoals de foto toont, in een onwerkelijke positie tot stilstand kwam. Er viel één dodelijk slachtoffer te betreuren. Marie-Augustine Aguillard was niet eens een passagier op deze trein – nee, zij zat even op de kiosk van haar man aan de Place de Rennes te passen; hij was de avondkranten gaan halen. Ze kwam door vallend puin om het leven.

De Amerikaan George Westinghouse had zo’n vijfentwintig jaar eerder een rem op basis van luchtdruk uitgevonden. De rem treedt in werking als de luchtleidingen leeglopen en gaan pas los als een compressor de leidingen weer onder druk heeft gezet. Doordat elke wagon zijn eigen rem heeft, is de hele trein beremd. Dat systeem lijkt inherent veilig: als er iets kapotgaat, dan valt de druk weg en slaan de remmen aan. Bij deze trein faalde de westinghouserem echter toch, en de remmen van alleen de locomotief konden de trein niet tijdig tot stilstand brengen.

Machinist Pellerin heeft een risico genomen. Heeft hij goed nagedacht over wat er fout zou kunnen gaan en wat daar de gevolgen van zouden kunnen zijn – juist op deze plek, een kopstation? De inherent veilige remmen van zijn trein gaven Pellerin voldoende vertrouwen om wat later dan normaal te remmen. Als hij net iets verder zou hebben gekeken, dan had hij misschien bedacht dat áls de remmen een keer zouden falen, dat juist op deze plek rampzalige gevolgen zou kunnen hebben.

Risico’s worden vaak uitgedrukt met de eenvoudige formule risico = kans x impact. Vaak rekenen we daarbij niet met getallen, maar met inschattingen: klein, middel, groot – zowel links als rechts eventueel nog geflankeerd door ‘zeer’. De formule laat zien dat een gebeurtenis, waarvan de kans klein is dat ze zich voordoet (westinghouserem faalt), toch tot een groot risico kan leiden, doordat de te verwachten gevolgen zeer ernstig zijn (doden en gewonden). De grenzen van de risico’s die je wilt nemen, worden bepaald door je risicobereidheid, of zoals dat in het Engels zo mooi heet: je risk appetite. Avontuurlijke mensen hebben een grotere risicobereidheid dan voorzichtige mensen, en fabrikanten van hippe technologische producten nemen grotere risico’s dan een overheidsorganisatie, om maar eens een paar uitersten te noemen.

Je voert zelf ook iedere dag risicoanalyses uit, bijvoorbeeld als je de weg oversteekt. Je maakt een inschatting of je het haalt voordat die auto bij je is en daarbij kijk je vooral naar de afstand en de snelheid van de auto, en hoe goed je ter been bent. Maar houd je ook rekening met de mogelijkheid dat je struikelt? Heb je dan nog voldoende tijd om weg te komen, of heeft de automobilist voldoende reactietijd en is zijn remweg lang genoeg? Over zo’n scenario denken we meestal niet na, waarschijnlijk omdat het meestal wel goed gaat. En dat was precies het probleem van Pellerin. Het kostte hem een boete van vijftig frank en twee maanden voorwaardelijke gevangenisstraf.

Doe me een lol en kijk goed uit als je straks nog naar buiten gaat.

Volgende week verschijnt er geen Security (b)log.

 

En in de grote boze buitenwereld …

• heeft de FBI Russische staatshackers gehackt.
• is dit beveiligingsbedrijf heel open over een aanval op hun systemen.
• vragen de Britten om meer transparantie bij cyberaanvallen.
• lijkt de echtgenoot van Rian van Rijbroek zelf ook behoorlijk in de war te zijn.
• moet je uitkijken voor nep-Windows-updates.
• moet je ook uitkijken voor kwaadaardige QR-codes.
• leidt de opkomst van AI en de mogelijkheid om er op los te klonen misschien wel tot extra rechtsbescherming voor personen.
• experimenteert YouTube met het verbieden van ad blockers.
• kunnen heel wat Nederlanders zich beter beveiligen dan ze nu doen.
• is phishing de voornaamste vorm van cybercrime waar burgers mee te maken hebben.

Halve betaling

 

Afbeelding van auteur

Een mooie ring met het welbekende Griekse blauwe oog en een armbandje.  Dat was de buit van mijn dochter in dat leuke winkeltje in Neos Marmaras. Bij het pinnen zag de winkeldame dat de betaling niet was geslaagd. Dan maar contant betalen. Even later was het bedrag toch zichtbaar in de app van de bank. Dat was het begin van een merkwaardige reeks van gebeurtenissen.

We waren nog in de buurt en natuurlijk gingen we terug naar de winkel. De winkelierster schrok zichtbaar en ging meteen haar beide pinapparaten raadplegen. Kijk maar, zei ze, niets. Ik zag wat Griekse letters op de displays, die van alles konden betekenen, maar haar woorden en mimiek waren overtuigend. Bovendien, zo zagen we toen pas, stond in de ING-app ‘reservering’ bij het bedrag. We concludeerden dat het dan wel goed zou komen.

Een dag later stond de transactie nog steeds in de app, maar nu zonder te toevoeging ‘reservering’ – het geld was nu echt weg. Oei. Wat nu? Ik heb de bank gebeld en de situatie uitgelegd. De meneer, die mij te woord stond, kon zien wat er allemaal was gebeurd, maar hij kon er niets aan doen. Ik moest maar terug naar de winkel en het daar uitleggen en mijn contanten terugvragen. Ja maar, protesteerde ik, die winkel zit niet bij ons in het dorp, dan moet ik daar weer helemaal naar toe rijden. Bellen dan? De telefoonkosten zouden wel eens hoger kunnen uitvallen dan het bedrag waar het om ging. Hoe dan ook, de ING-meneer kon niets voor mij doen.

Wacht eens even, zei ik; een banktransactie moet óf slagen, óf falen, maar niet iets daartussenin. Het kan toch niet zo zijn dat een pinapparaat zegt dat de betaling is mislukt, en de dat de betaling dan stiekem toch wordt uitgevoerd? Nee, dat was hij wel met mij eens. Maar hij kon nog steeds niets voor mij doen. Ik meldde dat ik daar een klacht over wilde indienen en vroeg hem wat daar vervolgens mee zou gebeuren. Hij kon de klacht alleen noteren en doorgeven, verder was het buiten zijn zicht.

Wat te doen? We hebben het over een bedrag van iets meer dan twee tientjes – geld van mijn tienerdochter, dus relatief veel. Die winkel lag op zo’n twintig minuten rijden van ons verblijf, dat was wel te doen. En zo togen wij ’s avonds andermaal die kant op. Gelukkig stond dezelfde dame in de winkel en ze vroeg meteen bezorgd wat er aan de hand was. Ze haalde haar bazin erbij (uit de winkel aan de overkant), die me foto’s liet maken van de uitdraaien van de pinapparaten, waarop te zien was dat er geen transactie met dat bedrag had plaatsgevonden. Ik mocht ook foto’s maken van haar bank-app, waarop eveneens te zien was dat er geen bijschrijving van mijn dochter was geweest. Ook de houding en de behulpzaamheid van deze dame straalden uit dat zij te goeder trouw was.

Dat was vrijdagavond. Op maandag zou ze meteen haar bank bellen om navraag te doen, en dan zouden we mailen. Maar op zaterdagochtend, toen we alweer op weg naar huis waren, zagen we een merkwaardige boeking op de rekening van mijn dochter: ‘terugboeking betaalautomaat’. Het geld was terug! Maar hoe dan? Heeft zich hier een geautomatiseerd proces voltrokken, waarbij de Griekse bank en onze ING samen constateerden dat er een ‘halve’ transactie was? Of is iemand van onze bank naar aanleiding van mijn klacht aan het werk gegaan? Dat laatste kan ik mij, vooral vanwege het tijdstip (weekend), nauwelijks voorstellen. Maar ik heb ook (nog?) geen terugkoppeling op mijn klacht gehad.

In de informatiebeveiliging praten we veel over het aspect integriteit. In onze context gaat het dan over de juistheid en volledigheid van gegevens en processen. Er mag niets onterecht wijzigen en de boel moet compleet zijn. In bovenstaand relaas is die integriteit geschonden: er was geld van de bankrekening van mijn dochter verdwenen en dat geld was nergens aangekomen. Terwijl zo’n transactie binair hoort te zijn: goed of fout. Half kan niet. Ik hoop dat iemand van de bank mij nog gaat uitleggen hoe dit tóch kon gebeuren. Of anders misschien iemand uit de bancaire hoek van mijn netwerk (lees je mee, Oscar?).

Het blauwe oog, dat op de gekochte sieraden staat, is in Griekenland een symbool om onheil af te wenden. Dat heeft – uiteindelijk – gewerkt. Niet dat ik bijgelovig ben hoor.

 

En in de grote boze buitenwereld …

• worden veel slachtoffers van ransomware opnieuw belaagd.
• doet malware zich voor als ChatGPT.
• is niet alleen de cloud, maar ook AI gewoon de computer van iemand anders.
• kun je vanaf nu gemakkelijker én veiliger inloggen bij Google.
• ontvang je voortaan sneller beveiligingspatches voor je Apple-apparatuur.
• noteerde T-Mobile in de VS het tweede datalek van dit jaar.
• kunnen ook oortjes ook een beveiligingslek hebben.
• blijft de politie actief op TikTok, maar wel op dedicated apparatuur.
• stuurt de Belastingdienst, in de strijd tegen phishing/smishing, nu zelf sms'jes naar ondernemers (uiteraard zonder link).