Nieuws

Een goede hack hoeft helemaal niet slim te zijn

Begin dit jaar leidde een beveiligingsprobleem in computerchips tot nieuwsheadlines in alle media: van het NOS Journaal tot CNN en van de krant tot Twitter, overal ging het over Meltdown en Spectre. “Ernstige kwetsbaarheid treft miljarden apparaten”, zo luidde een van de koppen.
Maar dat soort computerbugs die veel media-aandacht krijgen, zijn niet de hacks die de meeste slachtoffers maken, waarschuwen onderzoekers. “Phishing en simpele virussen zijn voor de gemiddelde internetter een veel groter gevaar”, waarschuwt Cooper Quintin van de Electronic Frontier Foundation, een Amerikaanse burgerrechtenorganisatie.

Hackers uit Libanon

Op de Shmoocon-hackersconferentie in Washington D.C. deden Quintin en mede-onderzoekers van zowel de EFF als beveiligingsbedrijf Lookout uit de doeken hoe aanvallers uit Libanon met zo’n simpele hackaanval tientallen gigabytes aan data stalen van onder meer journalisten, activisten en advocaten.
Dat deden ze niet door technisch hoogstaande hacks uit te voeren, maar door nepversies van populaire apps als WhatsApp en de veilige chatdienst Signal te verspreiden. Die apps leken gewoon te werken, maar stalen ondertussen documenten, berichten en foto’s en konden stiekem geluid opnemen.
De aanval gebruikte geen zogenoemde zero day-kwetsbaarheid, een beveiligingsprobleem dat onder de radar is gebleven en daardoor naar hartenlust kan worden misbruikt. Het is moeilijk – zo niet onmogelijk – om je daar tegen te beschermen, wat zero days zo effectief maakt.

En duur: op de zwarte markt betaal je voor een zero day in telefoon of laptop al snel honderdduizenden of miljoenen euro’s. Criminelen gebruiken die daarom zelden, vooral voor geheime diensten zijn die kwetsbaarheden interessant.
Maar ook een overheid – zoals in dit geval mogelijk die van Libanon – hoeft die dure beveiligingsfouten helemaal niet te kopen op de zwarte markt, bevestigt het onderzoek. “Je komt er ook gewoon mee weg om tactieken toe te passen die criminelen al langer gebruiken”, aldus Quintin.
Hij vergelijkt de grote aandacht voor heftige, mediagenieke beveiligingsproblemen met die voor terrorisme. “Ook die halen groot het nieuws, maar zijn niet de voornaamste dagelijkse dreiging”, zegt de onderzoeker.

Zelf installeren

In dit geval werden de slachtoffers ertoe verleid om ‘betere’ of ‘nieuwere’ versies te installeren van de populaire chat-apps, die in feite een achterdeurtje bevatten. De aanval werkte dan ook alleen op Android: op dat besturingssysteem is het mogelijk om apps buiten de officiële applicatiewinkels om te downloaden, op iOS kan dat officieel niet.
“Een aanval als dit werkt in de praktijk erg goed”, aldus Cooper. “De aanvallers hebben minimaal 81 gigabyte aan data buitgemaakt, waarschijnlijk meer.” Duizenden mensen werden slachtoffer, naast in Libanon zelf ook in onder meer Nederland, Duitsland en de Verenigde Staten.
Het installeren van applicaties buiten de officiële applicatiewinkels om wordt ontraden. “Maar als je dat advies geeft aan mensen uit China, dan lachen ze je uit”, zegt Eva Galperin, ook van de EFF. “Want daar is de officiële winkel er niet, en moeten mensen dus wel op andere manieren apps downloaden.” Ook in China maakte de aanval slachtoffers.

Het onderzoek van Quintin en Galperin is geen uitzondering. Ook veel andere hacks zijn te herleiden tot menselijke fouten. Zo lekten de e-mails van Hillary Clintons campagnechef John Podesta uit doordat hij op een phishing-linkje klikte en zijn Gmail-wachtwoord invulde.
“Mensen zijn vaker wel dan niet de zwakste schakel in een aanval”, zegt Michael Flossman van Lookout. Zeker als een aanvaller veel weet over zijn slachtoffers, kan hij een overtuigende misleidingscampagne opzetten. “We zagen eerder ook hoe militairen van het Israëlische leger werden benaderd via Facebook Messenger door aanvallers die zichzelf voordeden als vrouwen.”
Die vorm van hacken, ook wel social engineering genoemd, wordt door sommige hackers niet eens echt als hacken beschouwd. Maar het is wel effectief. “Want mensen kun je niet updaten”, grapt Galperin.
Er zijn wel uitzonderingen: de Wannacry- en NonPetya-aanvallen van afgelopen lente konden zichzelf verspreiden zonder dat het slachtoffer ergens op hoefde te klikken.

Beschermen

Gelukkig is het goed mogelijk om jezelf te beschermen tegen simpele aanvallen. “Gebruik alleen officiële applicatiewinkels en klik niet op vreemde linkjes”, zegt onderzoekster Galperin, al geldt dat laatste advies dus niet voor iedereen.
Ook het openen van bijlagen in e-mails waar iets mis mee lijkt te zijn, is onverstandig. Daar kan namelijk een virus in zitten. Een virusscanner voor je computer of Android-telefoon kan eveneens helpen om onveilige apps te herkennen.
Bron: https://nos.nl/artikel/2213156-een-goede-hack-hoeft-helemaal-niet-slim-te-zijn.html

Recent nieuws

Leuk nieuws: onze iRC-landingspagina is live!

We zijn verheugd om de lancering van onze nieuwe iRC-landingspagina aan te kondigen! Op deze pagina ontdek je alles over iRC (Internet Rechercheren in de Cloud), dé tool die jouw online onderzoek naar een hoger niveau tilt. iRC stelt je in staat om veilig, anoniem en...

Wilfred van Roij “GEPLUKT” in de Hallo Horst aan de Maas

Als een ware pionier had deze fanatieke Ajax-supporter al vroeg in de gaten dat het internet nog eens heel erg groot zou gaan worden. Die kennis gebruikte hij niet alleen om de rangen binnen de landelijke politie te beklimmen, maar ook om uiteindelijk een succesvolle...

De verborgen risico’s van de ‘Wrapped’-app voor Instagram

Met het naderende einde van het jaar onthult Instagram zijn eigen variant van jaaroverzichten in de vorm van de Instagram Wrapped-app. Deze applicatie presenteert een gedetailleerd overzicht van jouw Instagramactiviteiten, met inbegrip van inzichten over je meest...

Let op: Momenteel veel spoofingfraude!

Wat is spoofing? Spoofing is een term die gebruikt wordt als iemand een valse identiteit aanneemt die voor jou bekend en betrouwbaar is. Spoofing bestaat uit meerdere varianten en is een steeds populairdere truc onder oplichters. We leggen hieronder de verschillende...

Hoe veilig is de razend populaire app New Profile Pic?

Hoe veilig is de razend populaire app New Profile Pic? De Profile Pic App is razend populair en staat momenteel op nummer één in de ranglijst van de populairste en meest gedownloade apps! In een handomdraai een prachtige profielfoto maken voor je social media-account....

Bijeenkomst Cybersecurity met Kees van der Spek en Paul de Vlieger

Damsté advocaten - notarissen en Bravo Recherchediensten B.V. organiseren op 31 mei as. een exclusieve middag met een besloten en persoonlijk karakter. De middag staat in het teken van cybersecurity. Paul de Vlieger van Digitale Opsporing, recherchebureau, osint en...

Nieuwe functie binnen iRC

Graag introduceren wij u de iGids. Het aanbod van digitale bronnen is ontzettend groot en gevarieerd daarom bieden we u nu naast de gebruikelijke essentiële externe bronnen op onze startpagina, een overzichtelijke digitale index op bronnen aan die als doorzoekbare...