Deze Nederlandse hacker legt uit hoe hij bij je inbreekt

Klik niet lukraak op op linkjes en knopjes. Dat is het advies van Dirk-Jan Mollema, die voor zijn werk bij Fox-IT bedrijven en mensen hackt.

Een mailtje binnen van LinkedIn: of je een connectie wilt toevoegen. Je drukt op accepteren en binnen een paar seconden ben je gehackt. Zo simpel is het, laat Mollema zien tijdens een presentatie op het Delfste hoofdkantoor van Fox-IT. 

Een phishingmailtje sturen is nog steeds één van de meest effectieve manieren om ergens binnen te komen. Want waarom zou je als hacker allemaal moeilijk gaan doen als je iemand gewoon op een linkje kunt laten klikken?

Het digitale zwitserse zakmes

Op zijn computer draait Mollema Kali Linux, een besturingssysteem dat is gemaakt door en voor hackers. Het systeem bevat software waar hackers vaak gebruik van maken, zoals een tool om naar kwetsbare apparaten in het netwerk te zoeken. Kali Linux is eigenlijk een soort digitaal Zwitsers zakmes als je ergens in wilt breken.

Dan opent hij één van de bekendste hacktools: Metasploit. Met dat programma zet hij een valstrik op. Er wordt een website aangemaakt die automatisch een malafide Flash-bestand downloadt. Als het slachtoffer niet de laatste updates van Adobe heeft geïnstalleerd en een verouderde browser gebruikt, is hij gehackt.

Vissen in de vijver

Je kunt iemand op een malafide linkje laten drukken door diegene een phishingmail te sturen. Mollema heeft de uitnodigingsmail van LinkedIn nagemaakt. Elk linkje, of je nu klikt op accepteren of profiel bekijken, leidt naar zijn website. Om de phishingmail zo overtuigend mogelijk te maken, onderzoek je wie een potentiële nieuwe connectie zou kunnen zijn, vertelt hij. 

Er zijn veel hacks uitgevoerd met het sturen van dit soort 'simpele' phishingmails. Neem bijvoorbeeld de hack bij de Amerikaanse Democratische Partij. De aanvallers, volgens de FBI waren het de Russen, maakten een nepmail die afkomstig leek te zijn van Google. De mail waarschuwde hen dat iemand in Oekraïne had geprobeerd in te loggen bij hun account. Door op de link te drukken konden ze hun oude wachtwoord invoeren en een nieuwe instellen.

Cybersecurity-experts merken op dat phishing de laatste jaren veel vaker wordt ingezet om mensen te hacken. "Je ziet dat vooral bij de verspreiding van ransomware", vertelt beveiligingsonderzoeker Sijmen Ruwhof. "Dan sturen ze op basis van openbare of gelekte informatie een zeer persoonlijke phishingmail, met als doel dat de ontvanger de bijlage opent of op een linkje drukt."

Wachtwoorden stelen

Mollema kiest ervoor om een softwarelek in Adobe Flash te misbruiken en een zogeheten payload op de computer van het slachtoffer - ook een medewerker van Fox-IT - te plaatsen. Met deze payload kan hij met de computer van het slachtoffer verbinden en deze op afstand besturen.

Vanuit Metasploit kun je verschillende acties uitvoeren, waaronder het verkrijgen van de hoogste gebruikersrechten. Dit biedt de mogelijkheid om bijvoorbeeld programma's te installeren zonder dat de gebruiker het ziet. Met een paar drukken op de knop heeft Mollema de hoogste rechten en installeert hij malware die alle wachtwoorden van het slachtoffer steelt.  "Als je weet waar je moet klikken is het best simpel", grapt hij.

Dan laat hij zien hoe hij onder andere door de privébestanden van het slachtoffer bladert en meekijkt als diegene aan het browsen is. Het slachtoffer merkt er de hele tijd niets van: alles gebeurt op de achtergrond. Pas wanneer het lampje van de webcam gaat branden omdat de hacker deze inschakelt, gaat er ook bij het slachtoffer pas een lampje branden.

Ransomware

"Het is een vrij simpele hack", legt Mollema uit. "Maar dit is wel een manier waarop veel hackers te werk gaan." Als een phishingmail niet lukt, dan belt hij het slachtoffer en doet hij zich voor als de IT-afdeling of de bank, om het slachtoffer op die manier in de val te lokken. "Ze verwachten niet dat een hacker je ook belt om zijn doel te bereiken." Dit wordt social engineering genoemd.

Social engineering gebeurt vooral als hackers bij bedrijven en politieke partijen willen inbreken, bijvoorbeeld om gevoelige informatie buit te maken. Voor normale gebruikers is ransomware de grootste dreiging, zeggen experts.

Criminelen zijn in de meeste gevallen namelijk niet uit op je foto's en documenten, maar op je geld. En dat kunnen ze het snelst verdienen door het verspreiden van ransomware. Ook dat gebeurt met name door phishing, waardoor Mollema's advies 'wees voorzichtig met op dingen klikken' een hele goede tip blijft.