Hackers proberen voortdurend de inlogcodes van politici en ministeries te ontfutselen, om vervolgens onrust te stoken. Het lukte Russische wizzkids al om in te breken in het netwerk van de Amerikaanse Democratische partij. Hoe gaan ze te werk?
Heb je weleens een e-mail ontvangen van een onbekende afzender waarin staat dat je de loterij hebt gewonnen? Je moet dan direct contact opnemen en een buitenlands telefoonnummer bellen. Vaak staan de mails vol spelfouten en natuurlijk trap je er niet in. Vrijwel iedereen gooit ze direct in de virtuele prullenbak. Dit soort praktijken wordt phishing genoemd, naar het Engelse woord voor vissen.
“Vaak komen ze onschuldig over, maar er zijn ook veel verfijndere varianten, die forse schade aanrichten en waarmee hackers vorig jaar onder meer toegang kregen tot het netwerk van de Democratische Partij in de Verenigde Staten”, zegt informatica-expert Aiko Pras van de Universiteit Twente. Russische hackers konden daardoor e-mails van democraten lezen en werden pas laat opgemerkt, volgens de Amerikaanse inlichtingendienst CIA.
Natuurlijk fopten deze whizzkids de Democratische partij niet via een mail over de loterij. Maar ze pasten wel een vorm van phishing toe, namelijk het zogeheten spear phishing (speervissen). Bij de normale variant wordt een bepaalde mail over de loterij bijvoorbeeld naar heel veel mensen verstuurd. Je schiet als het ware met hagel. “Maar bij spear phishing wordt een persoon doelbewust benaderd”, zegt Elmer Lastdrager van de Universiteit Twente. Hij onderzoekt spear phishing.
Argwaan
Hackers gaan daarbij geraffineerd te werk. Een hacker kiest een slachtoffer. Dat is bijvoorbeeld een politicus die toegang heeft tot veel bestanden van de partij. “Daarna wil hij of zij alles over diegene en de directe collega’s te weten komen. Met wie correspondeert het slachtoffer, wat is de schrijfstijl van deze mensen in e-mails?”, zegt Lastdrager. “Een hacker vindt al die informatie door op verschillende manieren het doelwit te benaderen. Bijvoorbeeld als klant of door net te doen alsof hij of zij een collega is. Daar gaat soms weken of maanden werk in zitten.”
Vervolgens doet de hacker net alsof hij of zij een collega is en stuurt een e-mail met precies de juiste toon en schrijfstijl naar het slachtoffer. “Stel er is net een vergadering geweest, dan stuurt de hacker een mail over de notulen. Met een bijlage met wat laatste wijzigingen of een agenda voor de volgende vergadering”, aldus Lastdrager. Maar dit is geen onschuldig bestand. Zodra de ontvanger de bijlage opent, wordt er op de achtergrond ook een geheim programma geïnstalleerd. En daarmee neemt een hacker op afstand de computer over.
"Het stomste wat je kunt doen, is denken dat je geen risico loopt" Informatica-expert Aiko Pras (Universiteit Twente)
Op deze manier verzamelt de hacker de inloggegevens, alle mailtjes en documenten van het slachtoffer. Omdat de politicus ook nog toegang heeft tot het interne netwerk van een politieke partij, krijgt zo’n whizzkid dat ook. “Het is ontzettend lastig om dit op te sporen, omdat het slachtoffer er geen benul van heeft dat dit gebeurt”, zegt Pras.
“Iedereen kan hier intrappen. Stel dat een hacker net doet alsof hij mijn promovendus is en hij gebruikt diens naam, maar een ander e-mailadres. Als dat bericht net zo is geschreven als de honderden andere berichten die ik van die persoon krijg, wekt dit geen argwaan. Dan dubbelcheck ik dus niet of het mailadres van de afzender precies klopt, anders moet ik dat bij ieder berichtje dat ik van een collega krijg doen. Dat is onbegonnen werk.”
Buit
Pras geeft regelmatig colleges aan beveiligers van grote bedrijven. Hij benadrukt dan dat het vrijwel altijd lukt om in een computer in te breken of om fysiek een gebouw binnen te komen. “Op 5 december ga je verkleed als Sinterklaas bij een groot bedrijf naar binnen en zeg je dat je besteld bent. Of je staat buiten met een paar mensen te roken, praat als collega’s met elkaar en vraagt dan of iemand je binnenlaat omdat je de pas kwijt bent. Het lukt vrijwel altijd om ergens binnen te komen”, aldus Pras.
Spear phishing lijkt daarmee een beetje op de oplichters die vroeger bij mensen aan de deur kwamen. Een con artist, zoals ze het in Amerika noemen, die jouw vertrouwen wint en je daarna kaal plukt. Met een mooi verhaal of door net te doen alsof diegene een ver familielid is. “We noemen dit social engineering en het vindt plaats bij politieke partijen, maar ook bij grote bedrijven en banken”, zegt Lastdrager.
De ‘buit’ van de hackers verschilt per keer. Bij een bank willen ze vaak, net als bij een normale overval, geld verdienen. Maar bij het inbreken op ministeries en bij politieke partijen kan het doel zijn om een land te ontwrichten. Bijvoorbeeld door gevoelige informatie door te spelen aan kranten en tijdschriften, zoals bij de hack van de Amerikaanse Democratische Partij gebeurde (zie kader). Hackers beïnvloeden zo de verkiezingen om een bepaalde kandidaat zwart te maken. Het is ook mogelijk dat wordt gehackt als spionage, om staatsgevaarlijke informatie te vergaren.
Verkiezingen
Social engineering wordt vaak niet gedaan door hackers die de meeste technische kennis hebben, benadrukt Lastdrager. “Natuurlijk is het heel knap wat ze kunnen. Maar ze zoeken vooral de zwakste schakel en dat is de mens. Je kunt een systeem nog zo goed beveiligen, maar als een medewerker die overal toegang toe heeft wordt gehackt ben je verloren”, zegt Pras.
Vaak werken hackers in teams. Via social engineering probeert iemand bijvoorbeeld toegang te krijgen tot de computer van een doelwit. Zodra dat lukt wordt in het geheim zogeheten malware op de harde schijf van het slachtoffer geïnstalleerd. Dat is een soort virus dat de hacker toegang geeft over alle bestanden van een andere computer. “Deze malware is meestal gemaakt door andere hackers”, zegt Lastdrager. “Het is belangrijk dat zo’n programma nieuw is en een virusscanner het niet herkent. Goede malware maken is ontzettend moeilijk.” Er valt veel geld mee te verdienen, geven Pras en Lastdrager aan. Groepen hackers speuren naar foutjes in de cyberbeveiliging van bedrijven en software van bijvoorbeeld Microsoft. Er gaan vele miljoenen in om.
In Nederland zijn verkiezingen op komst. Is de kans groot dat buitenlandse hackers hier de verkiezingen proberen te beïnvloeden? “Het is naïef om te denken dat ze dit niet proberen”, zegt Pras. “Natuurlijk gebeurt dat. Als je dingen te verbergen hebt, ben je kwetsbaar en moet je rekening houden met aanvallen. Het stomste wat je kunt doen, is denken dat je geen risico loopt.”
Pras wijst er op dat eerder al het hoofdkantoor van de EU werd gehackt en dat de telefoon van Merkel al eens is gekraakt door de Verenigde Staten. “Zolang internet bestaat, proberen mensen er misbruik van te maken”, zegt Pras. “Vrijwel alle communicatie gaat tegenwoordig via het internet. Zelfs de meningsvorming vindt voor een groot deel plaats via social media en daar speelt nepnieuws een grote rol. Er is veel veranderd sinds Obama president werd, want toen bestond Twitter nog niet eens.”
Kunnen we er iets tegen ondernemen? Het belangrijkste is de bewustwording dat hacken gebeurt en dat meer mensen weten hoe hackers te werk gaan, volgens Lastdrager en Pras. Hoe eerder je het doorhebt, des te minder informatie wordt prijs gegeven. “Scheid belangrijke informatie op je computer en gebruik verschillende wachtwoorden”, zegt Pras. “Denk er bovendien om dat je goede wachtwoorden kiest. RTL Nieuws liet vorig maand bijvoorbeeld zien hoe eenvoudig het was om achter het wachtwoord van het LinkedIn-account te komen van CDA-politicus Pieter Omtzigt."
Wat moet je doen als het al te laat is? En hackers jouw computer leeghalen, misschien wel terwijl je dit artikel leest? Dat kun je nagaan door te monitoren, volgens Pras. Hij adviseert programma’s te gebruiken die nagaan hoeveel data wordt verstuurd. “Dan valt het op als er gigabites aan informatie worden verstuurd, zoals binnen de Amerikaanse Democratische Partij gebeurde. Het is mogelijk om een hack in een vroeg stadium af te kappen. Maar dan is het wel noodzakelijk dat je maatregelen neemt en accepteert dat we allemaal risico lopen.”