Terug naar overzicht
25 jan. 2018 - Ethical Hacken

Deze donderdag kwam Mike Hydra van Mega Shop Plaza iets vertellen over hacken en wat je er tegen kunt doen.

Mike Hydra
Hij heeft zelf veel ervaring met deze vorm van internet-criminaliteit opgedaan door zijn werk als systeem- en netwerkbeheerder bij Loyens & Loeff, een advocatenkantoor dat wereldwijd vestigingen heeft. Eerdere opdrachtgevers hadden de stelling dat hun medewerkers vooral vrijheid moesten hebben als ze hun werk deden op de computer. Loyens & Loeff stelden echter als eerste regel dat alles tot in het kleinste detail beveiligd moet zijn, ook als dat het werken kan beperken. 

Ethical hacking

Om de beveiliging van je organisatie goed te kunnen testen kun je een "ethical hacker" vragen om een poging te doen om bij je belangrijke data te komen. Dit kan zowel van buitenaf (via de website of app's van het bedrijf) of van de binnenkant (via het interne netwerk). Meestal gaan deze hackers tot een bepaald niveau. Bijvoorbeeld tot ze ook daadwerkelijk de documenten kunnen benaderen. Alleen als het bedrijf aangeeft dat ze nog verder moeten gaan doen ze dat ook.

Ze gaan sowieso op een genuanceerde manier te werk. Vergelijk het binnenkomen van het systeem met het inbreken van een huis: ze zullen niet met een baksteen het raam ingooien, maar eerder proberen om met een loper de deur open te krijgen. 

Hoe komt iemand je systeem binnen?

Bij het doorlichten van het systeem van het advocatenbureau bleek dat er ook heel veel e-mailadressen, met wachtwoorden, op straat lagen. Veel daarvan waren via fishing of key-logging gestolen.

Fishing is bij veel mensen al wel bekend: je ontvangt een nep-mailtje zogenaamd van een gerenommeerd bedrijf of bank waarin op een slinkse manier gegevens worden opgevraagd. Bij key-logging is er via een onbetrouwbaar linkje een stukje programma op je computer terecht gekomen dat alles wat je intikt doorstuurt naar een criminele instantie, die er dan vrij simpel wachtwoorden en gebruikersnamen uit kan destilleren.  

Maar ook door hacks van grote bedrijven als Dropbox, LinkedIn en Yahoo komen miljoenen paswoorden in verkeerde handen terecht.

Hoe werkt dat dan?

Je kunt op verschillende manieren bij gegevens en documenten van een bedrijf komen. De meest gebruikte staan hieronder opgesomd. 

De manieren om dat van buitenaf te doen:

  • CEO impersonation: Vaak via secretariaten. Een secretaresse ontvangt een mailtje van een CEO, met een verzoek om een bepaald document even op te sturen.
  • Tailgating: Als je vlak achter iemand anders aan door een beveiligde ingang loopt.
  • Spear fishing: Gegevens binnen halen via nep-mails.
  • Man-in-the-middle: Iemand kan door een onbeveiligd WiFi-netwerk gegevens "aftappen" en eventueel zelfs omvormen.
  • Ransomware (ook wel gijzelsoftware genoemd): Hierbij heb je een virus op je computer opgelopen die alle bestanden versleuteld en pas weer vrijgeeft als je een flink bedrag hebt overgemaakt (als je geluk hebt).
  • Shouldersurfing: als iemand over je schouder meekijkt en ziet wat voor wachtwoorden je invult.
  • Bating: Intimidatie via e-mail zodat je gegevens afstaat

Ook van binnenuit kan er ingebroken worden:

  • Computerlock: Iemand maakt een screenshot van een screensaver en zet die op de computer van iemand die even is weggelopen (zonder netjes af te sluiten), met een key-logger (zie boven) eraan gekoppeld. Bij terugkomst logt de persoon in en vangt de crimineel zo zijn gegevens af.
  • Printer: Als je in de buurt van de printer blijft zie je diverse (vertrouwelijke) documenten langs komen.
  • Aanspreken onbekenden: En kijken of je gegevens los kunt krijgen. Het is verbazingwekkend hoe "simpel" mensen soms reageren en onbedoeld veel meer informatie loslaten dan ze eigenlijk van plan zijn.
  • Afluisteren van gesprekken.
  • Prullenbak: Veel documenten (per ongeluk twee keer afgedrukt, of toch nog een type-fout) belanden zonder na te denken in een simpele prullenbak.
  • E-mail naar privé-mail: Om werk thuis nog even af te maken bijvoorbeeld.

Wat kun je er tegen doen?

Geen een systeem is zodanig af te sluiten dat er nooit op ingebroken kan worden, maar door goed uit te kijken kun je natuurlijk wel de kans dat het gebeurd beperken.

  • Geef nooit wachtwoorden en andere gevoelige gegevens na een verzoek via e-mail. Geen enkele officiële instantie zal op deze manier je vragen in te loggen op hun website of app.  
  • Behandel vertrouwelijke documenten ook als zodanig. Druk ze niet (vaker dan nodig) af en verstuur ze bij voorkeur niet via onbeveiligde mail
  • Doe geen bank- of andere vertrouwelijke transacties op een openbaar WiFi-netwerk
  • Let op of iemand op je vingers staat te kijken als je inlogt
  • Maak goede backups (afhankelijk van je activiteiten eens per dag tot eens per week) en bewaar deze dan losgekoppeld van je computer. Mocht je computer dan besmet worden met ransomware, dan kun je, zonder iets te hoeven betalen, verder door een recente backup terug te zetten.
  • Ook plaatjes en advertenties kunnen virussen bevatten. Omdat dat over het algemeen niet duidelijk is, moet je ervoor zorgen dat je steeds de meest actuele virusscanner op je computer hebt staan.

E-mail-adressen

Een van de aanwezigen vroeg hoe men aan e-mailadressen komt om bijvoorbeeld fishingmail te versturen. Veel adressen worden "afgetapt" van onveilige websites (die geen https:// bovenin de balk hebben, maar http://). Ook zijn er instanties die e-mailadressen verzamelen door interessante aanbiedingen te doen waarop je je kunt inschrijven. Deze lijsten worden vervolgens op internet te koop aangeboden en gebruikt voor spam en dus fishing.

Hello I'm from Microsoft...

Dit klink bij veel mensen waarschijnlijk bekend. Je wordt gebeld door een Engelstalige persoon die vertelt dat er bij Microsoft een melding is binnengekomen over een storing in Windows. Hij/zij zal je, via een aantal stappen, wel even helpen om deze storing op jouw computer te verhelpen. Als je keurig doet wat er gezegd wordt, ontfutselt men stiekem allerlei gegevens, en in het ergste geval krijgen ze voor elkaar dat je eigenhandig een key-logger of virus op je computer installeert... Meteen de haak erop gooien dus als je zo'n telefoontje krijgt!

Conclusie

Het is vrijwel onmogelijk om je data helemaal af te sluiten van de boze buitenwereld, maar door logisch na te denken en voorzichtig te zijn kun je de kans dat er wat gebeurt behoorlijk verkleinen. Blijf dus alert en zorg voor de meest recente updates van je Windows of OS en virusscanner.

 

Terug naar overzicht