Naar de content

'Phishing kan jou ook overkomen'

Expert Jan-Willem Bullee over tactieken van hackers

The Preiser Project, Flickr, CC BY 2.0.

Via slimme trucjes maken hackers veel slachtoffers. Ze troggelen bijvoorbeeld geld af met goed nagemaakte nepsites van banken. Phishing heet dat. NEMO Kennislink interviewt hierover expert Jan-Willem Bullee, die zelf ook phishte voor zijn onderzoek.

Journalist Gerard Lukken zette een armband op Marktplaats en in plaats van er geld aan te verdienen, raakte hij tienduizend euro kwijt aan hackers. Dat verhaal vertelde de verslaggever van het Eindhovens Dagblad op 18 januari in zijn krant.

De zogenaamd geïnteresseerde ‘Brenda’ had op Marktplaats aangegeven de armband wel te willen kopen. Maar ze vroeg wel of Lukken even een cent aan haar over wilde maken via Tikkie, zodat Brenda zeker wist dat het rekeningnummer van Lukken klopte en hij geen oplichter was. Met Tikkie stuur je eenvoudig een betaalverzoek via berichtendienst WhatsApp. Ironisch genoeg was de link die de verslaggever ontving een vorm van phishing, een nagebouwde Tikkie, waardoor ‘Brenda’ de rekening van Lukken leeg roofde.

Het is een van de vele voorbeelden van phishing, waarbij hackers op slinkse manieren wachtwoorden en vaak veel geld of belangrijke informatie aftroggelen van slachtoffers. Ook bij de campagne van Hillary Clinton hadden ze beet, door via slimme trucjes wachtwoorden te ontfutselen. Hierover schreef NEMO Kennislink al eerder uitgebreid. Phishing is een hardnekkig probleem, blijkt ook uit het onderzoek van Jan-Willem Bullee van de Universiteit Twente. NEMO Kennislink interviewt hem over hoe het toch komt dat er zoveel slachtoffers zijn van phishing en wat er tegen valt te doen.

Is de truc die bij de verslaggever van het Eindhovens Dagblad werd toegepast bekend?

“Op die manier worden mensen al langer aangevallen. Hackers benaderen je via Marktplaats, maar sturen je uiteindelijk naar een andere site die ze zelf hebben gemaakt. Dat is dan zogenaamd Tikkie en is bijna niet van echt te onderscheiden. Slachtoffers tuinen erin omdat het verhaal dat ze je rekeningnummer willen plausibel klinkt. Bovendien lijkt het ze geen probleem een cent over te maken. Maar doordat je ook de gegevens van je bank invoert, ben je de klos.”

Vaak zijn de nepsites die hackers maken bijna niet van echt te onderscheiden. Let daarom altijd goed op of de url klopt.

Daniel Rehn, Flickr.com

Waarom trappen we zo vaak in phishing?

“Wij willen vanuit ons natuurlijk gedrag anderen graag helpen. Vaak zadelen hackers je met een probleem op en vragen ze je om die op te lossen. Een aanvaller doet zich voor als iemand van de IT-helpdesk van je werk en zegt dat de wachtwoorden verkeerd gesynchroniseerd zijn in het systeem. Als je toegang wilt houden tot je e-mail en het draadloos netwerk, dan moet je op een website het wachtwoord en je username invoeren. Dat klinkt logisch toch? Maar zo geef je alle informatie aan de hackers.”

Ze maken daarbij dus gebruik van manipulatie?

“Klopt, want dat herkennen we vaak niet zo goed. In het dagelijks leven zijn we er vrij goed in om fysiek gevaar te herkennen. Wanneer een tafel voor je omvalt, dan schrik je direct op en spring je naar achteren. Bovendien word je warm van de adrenaline. Dat is een natuurlijk proces. Maar als iemand in je gezicht of via de mail liegt dan hebben we het vaak niet in de gaten.”

Ik interviewde een jaar geleden voor NEMO Kennislink computerdeskundige en jouw collega Aiko Pras van de Universiteit Twente. Hij vertelde dat phishing iedereen kan overkomen. Zie jij dat ook zo?

“Ja, want het is vrijwel onmogelijk om alle mailtjes die je binnenkrijgt te checken. Ik kan jou een mail sturen en er tijdsdruk opzetten. Als jij binnen een paar uur je wachtwoord niet verifieert, dan verlies je alle gegevens op je computer. Dan wil je dat voorkomen. Of je bent net druk bezig een deadline te halen. Dan ben je niet zo scherp en wil je snel weer verder aan het werk. Iedereen is druk en daar maken hackers misbruik van.”

“Bovendien gaan ze vaak slim te werk. Stel jij ontvangt een mail waarvan het net lijkt alsof ik die heb verstuurd. Bijvoorbeeld met extra informatie naar aanleiding van het artikel dat je nu schrijft. Alleen heb ik die mail niet verstuurd, maar een hacker. Hij gebruikt een mailadres dat net even anders is dan dat van mij, maar dat valt jou niet op omdat je niet alle mailadressen controleert. Bovendien kennen wij elkaar toch?”

Doordat hackers mensen online oplichten, lijkt het alsof het nieuw is wat ze doen. Maar eigenlijk is anderen geld aftroggelen al heel oud. “De techniek evolueert en de bad guys maken daar handig gebruik van”, zegt Bullee. Maar vroeger had je kettingbrieven waarbij oplichters je wilden flessen. En er waren natuurlijk ook al babbeltrucs aan de telefoon. En kijk maar eens naar de succesvolle televisieserie Better call Saul, waarbij de hoofdpersoon via allerlei sterke verhalen geld van mensen aftroggelt. “Hij licht anderen op door net te doen alsof hij met zijn skateboard wordt aangereden. Ook daarbij denkt de automobilist dat hij een probleem heeft, net zoals wanneer je nu een mailtje krijgt van de IT-helpdesk”, zegt Bullee.

Tijdens jouw onderzoek heb je ook zelf aan phishing gedaan en slachtoffers gemaakt onder jouw collega’s van de Universiteit Twente. Waarom koos je daarvoor?

“Vooral uit praktische overwegingen. Ik begon in 2013 aan mijn onderzoek en wilde graag gegevens van oplichting analyseren. Maar bedrijven wilden die data niet met me delen. Dat vond ik erg jammer. Ik overwoog mensen te interviewen, maar dan krijg je vooral sociaal wenselijke antwoorden. Door experimenten te doen met phishing had ik alles zelf onder controle. Daarom heb ik meerdere scenario’s gemaakt. Gelukkig kreeg ik toestemming van de decaan en de ethische commissie om het onderzoek uit te voeren op mijn eigen collega’s.”

Wat heb je gedaan?

“We lieten mensen geloven dat ze geïnfecteerd waren met malware en dat hun pc spam verstuurde naar anderen. We deden net alsof we een IT-helpdesk waren en boden een snelle oplossing aan: ga naar deze website en download software die de malware direct verwijdert.”

“We deden daarnaast nog meerdere experimenten. We belden ook mensen. ‘Goedemorgen met Jan’, zeiden we. ‘We zien dat je pc spammails verstuurt. Heb je er last van dat je pc wat trager is?’ Daar hebben veel mensen last van en daar maakten we handig gebruik van. Bovendien letten veel mensen niet op als je alleen je voornaam noemt. Bij een ander experiment spraken we mensen face to face en deden we net alsof er een probleem was met de nieuwe slimme deursloten. We kregen van meerdere medewerkers zo de sleutelbos mee om de smart keys te testen, waar ook nog eens hun auto- en huissleutels aan vast zaten.”

Wat waren de resultaten?

“Bij de beltruc trapte veertig procent van de mensen erin. Bij face to face contact was zestig procent het slachtoffer. We hebben ook aan groepen voorlichting gegeven over oplichting en dan kelderden de percentages flink. Nadat we ze hadden voorgelicht trapte nog maar 17 procent in de beltruc en 36 procent van de mensen die we face to face spraken.”

Voorlichting is dus de oplossing?

“Het werkt overduidelijk, maar helaas maar kort. Want twee weken na de voorlichting was het effect weer weg. Het is daarom goed om te blijven herhalen dat phishing bestaat en dat je bij twijfel altijd moet checken of het mailadres of de website wel klopt. Je kunt altijd navraag doen. Ook helpt het als mensen hierover artikelen, zoals dit stuk, lezen.”

“Velen denken dat het alleen bij anderen gebeurt. Maar dat is natuurlijk niet zo. Wat een van de slachtoffers zei, is me bijgebleven. Ze vertelde: ‘Ik lees vaak dat mensen in phishing trappen. Dan denk ik dat ze dom zijn en ik lach ze uit. Nu ik zelf slachtoffer ben, merk ik pas hoe makkelijk je er intuint en hoe vernuftig is’. Dat mensen iets opsteken van je onderzoek is fijn. Daar doe je het voor.”

ReactiesReageer