Een goede hack hoeft helemaal niet slim te zijn

Een hacker verstuurt een e-mail met daarin een virus NOS
Geschreven door
Joost Schellevis
redacteur Tech

Begin dit jaar leidde een beveiligingsprobleem in computerchips tot nieuwsheadlines in alle media: van het NOS Journaal tot CNN en van de krant tot Twitter, overal ging het over Meltdown en Spectre. "Ernstige kwetsbaarheid treft miljarden apparaten", zo luidde een van de koppen.

Maar dat soort computerbugs die veel media-aandacht krijgen, zijn niet de hacks die de meeste slachtoffers maken, waarschuwen onderzoekers. "Phishing en simpele virussen zijn voor de gemiddelde internetter een veel groter gevaar", waarschuwt Cooper Quintin van de Electronic Frontier Foundation, een Amerikaanse burgerrechtenorganisatie.

Hackers uit Libanon

Op de Shmoocon-hackersconferentie in Washington D.C. deden Quintin en mede-onderzoekers van zowel de EFF als beveiligingsbedrijf Lookout uit de doeken hoe aanvallers uit Libanon met zo'n simpele hackaanval tientallen gigabytes aan data stalen van onder meer journalisten, activisten en advocaten.

Dat deden ze niet door technisch hoogstaande hacks uit te voeren, maar door nepversies van populaire apps als WhatsApp en de veilige chatdienst Signal te verspreiden. Die apps leken gewoon te werken, maar stalen ondertussen documenten, berichten en foto's en konden stiekem geluid opnemen.

De aanval gebruikte geen zogenoemde zero day-kwetsbaarheid, een beveiligingsprobleem dat onder de radar is gebleven en daardoor naar hartenlust kan worden misbruikt. Het is moeilijk - zo niet onmogelijk - om je daar tegen te beschermen, wat zero days zo effectief maakt.

Je komt er als overheid mee weg om tactieken te gebruiken die criminelen al langer toepassen.

Onderzoeker Cooper Quintin (EFF)

En duur: op de zwarte markt betaal je voor een zero day in telefoon of laptop al snel honderdduizenden of miljoenen euro's. Criminelen gebruiken die daarom zelden, vooral voor geheime diensten zijn die kwetsbaarheden interessant.

Maar ook een overheid - zoals in dit geval mogelijk die van Libanon - hoeft die dure beveiligingsfouten helemaal niet te kopen op de zwarte markt, bevestigt het onderzoek. "Je komt er ook gewoon mee weg om tactieken toe te passen die criminelen al langer gebruiken", aldus Quintin.

Hij vergelijkt de grote aandacht voor heftige, mediagenieke beveiligingsproblemen met die voor terrorisme. "Ook die halen groot het nieuws, maar zijn niet de voornaamste dagelijkse dreiging", zegt de onderzoeker.

Zelf installeren

In dit geval werden de slachtoffers ertoe verleid om 'betere' of 'nieuwere' versies te installeren van de populaire chat-apps, die in feite een achterdeurtje bevatten. De aanval werkte dan ook alleen op Android: op dat besturingssysteem is het mogelijk om apps buiten de officiële applicatiewinkels om te downloaden, op iOS kan dat officieel niet.

"Een aanval als dit werkt in de praktijk erg goed", aldus Cooper. "De aanvallers hebben minimaal 81 gigabyte aan data buitgemaakt, waarschijnlijk meer." Duizenden mensen werden slachtoffer, naast in Libanon zelf ook in onder meer Nederland, Duitsland en de Verenigde Staten.

Het installeren van applicaties buiten de officiële applicatiewinkels om wordt ontraden. "Maar als je dat advies geeft aan mensen uit China, dan lachen ze je uit", zegt Eva Galperin, ook van de EFF. "Want daar is de officiële winkel er niet, en moeten mensen dus wel op andere manieren apps downloaden." Ook in China maakte de aanval slachtoffers.

Libanon

Volgens de onderzoekers opereerden de aanvallers uit een gebouw van de Libanese inlichtingendienst, al durven ze nog niet de conclusie te trekken dat de Libanese overheid opdracht heeft gegeven tot de aanval. Ze hopen op een volgende hackerconferentie deze zomer met meer informatie over de aanvallers te komen.

Het onderzoek van Quintin en Galperin is geen uitzondering. Ook veel andere hacks zijn te herleiden tot menselijke fouten. Zo lekten de e-mails van Hillary Clintons campagnechef John Podesta uit doordat hij op een phishing-linkje klikte en zijn Gmail-wachtwoord invulde.

"Mensen zijn vaker wel dan niet de zwakste schakel in een aanval", zegt Michael Flossman van Lookout. Zeker als een aanvaller veel weet over zijn slachtoffers, kan hij een overtuigende misleidingscampagne opzetten. "We zagen eerder ook hoe militairen van het Israëlische leger werden benaderd via Facebook Messenger door aanvallers die zichzelf voordeden als vrouwen."

Die vorm van hacken, ook wel social engineering genoemd, wordt door sommige hackers niet eens echt als hacken beschouwd. Maar het is wel effectief. "Want mensen kun je niet updaten", grapt Galperin.

Er zijn wel uitzonderingen: de Wannacry- en NonPetya-aanvallen van afgelopen lente konden zichzelf verspreiden zonder dat het slachtoffer ergens op hoefde te klikken.

Beschermen

Gelukkig is het goed mogelijk om jezelf te beschermen tegen simpele aanvallen. "Gebruik alleen officiële applicatiewinkels en klik niet op vreemde linkjes", zegt onderzoekster Galperin, al geldt dat laatste advies dus niet voor iedereen.

Ook het openen van bijlagen in e-mails waar iets mis mee lijkt te zijn, is onverstandig. Daar kan namelijk een virus in zitten. Een virusscanner voor je computer of Android-telefoon kan eveneens helpen om onveilige apps te herkennen.

Slecht beveiligd

Je zou kunnen zeggen dat de slachtoffers van de virusaanval die de EFF en Lookout ontdekten, wat steken in hun digitale beveiliging hebben laten vallen. Maar daar staan ze niet alleen in: de aanvallers zelf waren ook niet al te snugger.

Ze bleken een server die ze gebruikten om aan te vallen, niet te hebben beveiligd. Op die server stonden onder meer de data van hun slachtoffers. Maar de aanvallers bleken ook een aantal testapparaten te hebben gebruikt om te oefenen met hun aanval, en ook de data van die apparaten waren te vinden op de server.

Daaronder waren de locatiegegevens van de aanvallers, die verraadden dat ze opereerden uit een gebouw van de Libanese inlichtingendienst. De dienst zelf ontkent er iets mee te maken te hebben.