‘Met corona creëert een hacker urgentie’

Phishing Internetbeveiliger Dick Snel laat twee NRC-redacteuren zien hoe makkelijk hun accounts zijn te hacken. Een goede nepmail is effectief.

Foto Koen van Weel

‘Belangrijke update over corona (COVID-19)’, luidt het onderwerp van een ogenschijnlijk onschuldige e-mail die internetbeveiliger Dick Snel probleemloos laat afleveren in de inbox van twee NRC-redacteuren. Afzender: ICT Service Desk. Compleet met handtekening, telefoonnummer en logo van NRC.

De tekst luidt: „In verband met de verlenging van de coronamaatregelen scherpen wij de beveiliging aan om het thuiswerken mogelijk te kunnen blijven maken. Hierin volgen wij de adviezen op van de overheid en het RIVM. Op het NRC login-portaal wordt per direct Twee-Factor authenticatie vereist. Schakel dit in via de volgende link.”

De link lijkt naar het inlogportaal voor lezers van NRC te leiden, maar in werkelijkheid gaat het om een exacte kopie die Snel net online heeft gezet. De redacteuren tikken op het nepportaal hun gebruikersnaam en wachtwoord in.

Lees ook: Coronavirus geeft cybercriminelen nieuwe kansen

Dick Snel ziet ze onmiddellijk op zijn scherm verschijnen. Hij is ‘pentester’ bij het digitale beveiligingsbedrijf Onvio. Andere partijen huren bedrijven als Onvio in om te testen of hun beveiliging op orde is. Met zijn nep-e-mail laat Snel zien hoe echte cybercriminelen te werk gaan en hoe simpel en effectief de werkwijze is.

Phishing eerste stap

Phishingmails zijn vaak de eerste stap van een grotere cyberaanval, die een heel bedrijfsnetwerk kan platleggen. „Door corona te noemen proberen hackers urgentie te creëren. Ze willen de noodzaak laten voelen om direct actie te ondernemen”, legt Snel uit. Daarom schreef hij in de mail dat medewerkers binnen enkele dagen moeten handelen, omdat hun account anders wordt vergrendeld. „En ik noem autoriteiten als het RIVM zodat mensen er een vertrouwd gevoel bij krijgen.”

Bij zijn mail heeft Snel ook een Word-document gevoegd met een handleiding om de ‘tweefactorauthenticatie’ – een extra beveiligingslaag – in te schakelen. Zo kan hij ook via een andere route het netwerk binnendringen.

Als de NRC-redacteuren het document openen en een waarschuwing negeren, is Snel binnen. „Het ligt eraan wat een hacker wil bereiken. Langs deze weg kan hij ook gijzelsoftware uitrollen. Vaak kijken cybercriminelen wat werkt en kiezen ze de optie die het minste werk kost om een organisatie af te persen”, zegt Snel.

40 procent klikt

Hij schat het percentage aangevallen medewerkers dat op zijn links of bijlages klikt op zo’n 40 procent, hoewel dat verschilt per organisatie. „De kans dat je een account bemachtigt waarmee je kunt inloggen, is behoorlijk groot. Vaak hebben organisaties ergens online wel een inlogportaal staan waar je binnen kunt komen. Als je je mail toespitst op één persoon, is de kans dat ze klikken nog veel groter”, zegt hij.