Klik op e-mail en hacker is binnen

Het aanklikken van een onschuldig ogende e-mail kan een hacker toegang tot hele systemen geven. Daarna kan de hacker van alles meelezen.

Tegen hacken kun je je moeilijk wapenen. Het overkwam zelfs Google in 2010. Hackers bewerken de zwakste schakel in een systeem: de gebruiker. Als een hacker eenmaal de logingegevens van één persoon heeft, is het tamelijk eenvoudig ook de rest van het systeem in te kunnen.

Tegenwoordig trapt bijna niemand meer in ‘phishing-mails’, die doen alsof ze afkomstig zijn van de bank. Een hacker gaat daarom op zoek naar persoonlijke informatie van medewerkers op sociale netwerken. Als een hacker van die gegevens gebruikmaakt, zijn inloggegevens tamelijk makkelijk te verkrijgen.

Denk je in: de hoofdredacteur van NRC Handelsblad houdt de rapportages over oplagecijfers van Nederlandse kranten altijd goed in de gaten. Twee dagen voordat de cijfers verschijnen krijgt hij een e-mail waarin staat dat de cijfers uitgelekt zijn, en al online staan. De kans is groot dat hij op de link in die e-mail klikt. Of neem de redacteur die zijn twittervolgers vroeg om suggesties voor een vakantiehuis op een mooie plek in Frankrijk. Een dag later krijgt hij een e-mail waarin staat: „Ik hoorde via je vriendin A. dat je op zoek bent naar een huis in Frankrijk. Ik verhuur een huis in de Dordogne, misschien wat voor jou?” De redacteur is benieuwd en klikt op de link.

Na die klik komt de hoofdredacteur op een site waarop een pdf te downloaden is met de oplagecijfers. De redacteur komt op een site met een prachtige beschrijving van een huis in Frankrijk, om ook de foto’s te bekijken moet nog even een ‘plugin’ gedownload worden. Niets vreemds aan de hand, maar zonder dat de hoofdredacteur of de redacteur het merkt wordt er een stukje foute software – zogeheten malware – op de computers gezet. Die malware kan alle toetsaanslagen van de gebruiker registreren, waardoor de hacker snel weet wat zijn wachtwoorden zijn.

En is de hacker eenmaal daar achter, dan zit hij in het systeem. Hij kan op andere plekken in het netwerk nieuwe malware neerzetten, en steeds verder het systeem inkruipen. Deze manier van hacken – social engineering genoemd, waarbij gebruikers op een persoonlijke manier benaderd worden – kost wat moeite, maar is uitermate effectief.

Ook bij The New York Times is het ongeveer zo gegaan, denken beveiligingsexperts van de krant. De hackers deden alsof ze van een drietal universiteiten en kleine bedrijfjes in de Verenigde Staten afkomstig waren. Ook veranderden ze steeds hun IP-adres.

Maar China-correspondent David Barboza, die ruim een jaar onderzoek deed voor zijn verhaal, was niet vatbaar voor een aanval op hemzelf, dus hebben ze het via andere mensen die toegang hadden tot het netwerk van de krant geprobeerd. Er zijn 45 stukken malware in het netwerk aangetroffen. Slechts één daarvan werd door een virusscanner gedetecteerd. Dat is meteen ook de reden waarom de hackers zo moeilijk uit het netwerk van de krant gehaald konden worden. De malware is slim. Virusscanners lopen altijd net een stukje achter slimme malware aan. Ze reageren op dreigingen en aanvallen, maar daarvoor moet eerst helder zijn tegen welke malware de beveiligingssoftware moet strijden.

En nu? The New York Times denkt dat ze de hackers verdreven heeft. Alle besmette computers zijn vervangen, de ‘achterdeuren’ in het netwerk zijn gesloten, er zijn extra beveiligingssystemen toegevoegd en elke gebruiker heeft nieuwe wachtwoorden. Maar nieuwe aanvallen kan de krant niet uitsluiten.