Mag je van bedrijven die twintig miljard dollar waard zijn verwachten dat ze hun security op orde hebben? Je zou denken van wel, maar hacker/entrepreneur Bram Van Oost toonde op het Computable Café aan dat dat absoluut geen evidentie is.
Van Oost werkte tot voor kort als een ethische hacker die in opdracht van bedrijven in hun systemen probeert in te breken. Hoe dat precies in z’n werk gaat, legt hij uit aan de hand van een opdracht voor een groot bedrijf (Van Oost wil niet zeggen welk bedrijf het is). Die vroeg hem drie jaar geleden of hij kon proberen om het bedrijf te phishen, in de volle verwachting dat dit niet zou lukken of dat het ten minste erg moeilijk zou worden. Dat liep echter anders.
‘Het bedrijf was ten tijde van de poging zo’n twintig miljard dollar waard’, zegt hij. ‘En er werkten 70.000 mensen. De directie zelf was dus ook volledig op de hoogte van mijn pogingen.’
Het idee was om een fake mail naar een groep werknemers uit te sturen en hen te laten klikken op een perfect normaal uitziende link. Op die pagina moesten ze dan hun wachtwoord en login intikken, zodat die door Van Oost onderschept kon worden.
Nepdomein
De eerste stap die de ethische hacker zette, was het opzetten van fake domein. ‘Zoiets als Facebookmail.com of G00gle.com’, zegt hij, ‘namen die heel erg op de naam van het bedrijf lijken en totaal niet verdacht lijken, maar die toch nog niet door hen geclaimd zijn. De tweede stap is het opzetten van een vps, een virtual private server. Net zoals de domeinnaam claimen kost dat bijna niks en is het een klusje van tien minuten. Die vps gebruiken we om onze phishingmails uit te sturen en staat in hetzelfde land als het bedrijf dat we gaan aanvallen. Op die manier is een veel grotere kans dat we firewalls en spamfilters omzeilen.’
Daarna bouwde Van Oost een nagemaakt loginscherm. ‘Eerlijkheid gebied ons te zeggen dat we al een voorbeeld van een loginscherm hadden gekregen van het bedrijf’, zegt Van Oost. ‘Op die manier wisten we dus hoe dat dat er uit zag. Hadden we dat voorbeeld niet gehad, zou dat trouwens ook niet veel veranderd hebben. Meestal kan je zonder veel problemen wel aan zo’n pagina raken.’
Ook de lijst met mensen die een email moesten ontvangen, kreeg Van Oost van zijn opdrachtgever. ‘Alweer: niet dat het veel zou uitgemaakt hebben als we die niet hadden’, zegt hij. ‘Er zijn technieken en zelfs internetdiensten genoeg om die te pakken te krijgen, zelfs via LinkedIn bijvoorbeeld. Je kunt ook perfect social engineering inzetten of een meer hands on methode proberen, zoals in de vuilbakken van de bedrijven gaan snuffelen. Maar nogmaals: meestal hoef je absoluut niet zo ver te gaan.’
Geen alarm
Daarna was het zaak om de mails uit te sturen. ‘In de mail hadden we een link gemaakt naar de zogezegde resultaten van een onderzoek dat het bedrijf had gedaan. Om het extra aantrekkelijk te maken, had we er nog bijgeschreven dat de resultaten ‘verrassend’ waren (lacht). Voor de rest stond er niks bijzonders in die mail, gewoon een paar lijnen tekst en de link.’
Telkens als iemand op de link klikte en zijn credentials invoerde, draaide er een script op de achtergrond om die logins en wachtwoorden op te slaan. Daarna werden de gebruikers naar een error-pagina geleid. ‘Die error-pagina maakten we om niet verdacht over te komen’, zegt Van Oost. ‘Voor de grap hadden we op die pagina trouwens ook geschreven dat mensen gephished waren, maar dan nog was er niemand die alarm sloeg.’
De resultaten van de oefening waren opmerkelijk: binnen de 72 uur had Van Oost de wachtwoorden van bijna 80 procent van zijn slachtoffers in handen. ‘Wat bedrijven hieruit moeten onthouden zijn enkele basisregels’, zegt Van Oost. ‘Stel policies op rond it-gebruik, zorg dat je een disaster-plan hebt en zorg dat al je apparaten gepatchet en up to date zijn. De paar tienduizend euro die je dat kost, vervallen in het niet bij de miljoenen euro aan schade die een kwaadaardige hacker kan aanrichten. Veel mensen hebben ook een compleet verkeer idee over hacken, een idee dat je vooral in Hollywood-films ziet. Je hoeft geen kwantumspecialist zijn, je moet niet per se met superingewikkelde code aan de slag…in de praktijk is het meestal véél eenvoudiger om te doen.’
Ik zie niet hoe de voorgestelde tegenmaatregelen gaan helpen om deze aanvalsmethode tegen te gaan.
“Stel policies op rond it-gebruik”, alsof dat zou helpen tegen te gaan dat 80% van het personeel op een link klikt en probeert in te loggen. Ja, met wat “awareness training” valt dat misschien terug te brengen naar 50%.
Wat wel helpt is om een methode van two-factor authentication af te dwingen voor inloggen, bijvoorbeeld door gebruikersnaam en wachtwoord aan te vullen met een hardware token dat one time passwords genereert.