De exacte methode om de online kwetsbaarheid van onze Nationale Assemblée in kaart te brengen stond dus al vrij snel vast; social engineering.
Door gebruik te maken van sociale zwaktes probeer je hiermee het vertrouwen van het doelwit te winnen om zo een vooraf gesteld doel te bereiken.
Voorop staat dat het hier om een journalistiek gedreven onderzoek gaat en de doelstelling dus niet is om daadwerkelijk schade aan te richten.
De uitkomst moet een signalerende functie hebben, waarbij de beoogde resultaten onschuldig zijn en zorgen voor een betere bewustwording van online oplichting en cybercriminaliteit.
Vanwege de transparantie zijn er voor aanvang van het onderzoek dan ook verschillende uitgangspunten geformuleerd;
*) Betaal niet voor informatie, kennis of kunde.
Social engineering gaat vooral om het achterhalen van gegevens en het uitlokken van een reactie van het beoogde doelwit.
Met dit laatste weet je als aanvaller immers zeker dat je contactpoging geslaagd is en de persoon met wie je praat ook daadwerkelijk diegene is met wie je in contact wil treden.
Er zijn vooraf journalistieke uitgangspunten gedefinieerd
Wat punt vier betreft; het onderzoek is dus op geen enkele manier bedoeld om DNA-leden er persoonlijk uit te lichten, het gaat hierbij om de algehele bewustwording van ons parlement rondom de gevaren van criminelen op het internet.
Om deze reden wordt er dan ook nooit een specifiek DNA-lid bij naam genoemd en zijn afbeeldingen waarop slechts één persoon staat afgebeeld volledig geanonimiseerd.
Ter illustratie wordt op dat soort foto's een verzonnen personage getoond (afkomstig van de website https://thispersondoesnotexist.com).
Email phishing
– digitale veiligheid –
De exacte doelstelling van het onderzoek volgt alle zeven bovenstaande principes en is als volgt geformuleerd;
Is het mogelijk om de DNA-leden persoonlijk te laten reageren op een bericht dat niet alleen inhoudelijk onjuist is, maar dat ook nog eens is verstuurd door een persoon die niet bestaat?
De methode (social engineering) en doelstelling zijn inmiddels vastgesteld en dus is het tijd voor de laatste vraag; welke techniek zetten we hier voor in?
Afhankelijk van wat je wil bereiken, kun je op meerdere manieren contact zoeken met de mensen die je op het oog hebt; een bericht via WhatsApp, een message via Facebook of simpelweg een mailtje.
We doen ons voor als accountant en verzinnen een bericht
De beste en meest effectieve oplossing is vaak de makkelijkste methode en dat is in dit geval het versturen van een e-mail.
Door een mail naar elk DNA-lid te sturen met een fake bericht en valse afzender kan eenvoudig en snel gekeken worden of het parlement gevoelig is voor online oplichting.
Als niemand de mail opent en niet op ons contactverzoek reageert, dan is duidelijk dat social engineering binnen de Assemblée geen kans maakt.
Maar als blijkt dat een DNA-lid ons nep bericht opent en misschien zelfs wel op een linkje hierin klikt, dan is helder dat er sprake is van een serieuze digitale kwetsbaarheid.
Het plan wordt dus steeds concreter; we gaan de eventuele online zwakte van ons parlement testen door ze via de mail een verzonnen bericht te sturen, waar vervolgens op gereageerd moet worden.
Om zo “goed mogelijk te scoren” moet de mail natuurlijk wel over iets gaan waarbij de kans groot is dat men daadwerkelijk op ons virtuele lokaas reageert.
Het onderwerp dat zich hiervoor het beste laat gebruiken zal niemand verbazen; dat is natuurlijk geld.
Geld als lokmiddel
– digitale veiligheid –
Je kunt immers een mailtje sturen met de vraag wat iemands lievelingskleur is, maar dat is een weinig prikkelend onderwerp en zal voor veel mensen geen reden zijn om zonder na te denken toch direct te reageren.
Stuur je echter een bericht waarin je aangeeft dat er iets aan de hand is met het salaris van die persoon, dan is de kans op een reactie al veel groter.
Bij social engineering draait alles om het verkrijgen van een reactie en daarmee het in contact kunnen treden met je doelwit.
De precieze inhoud van het mailtje stond dan ook vrij snel vast;
We gaan ons voordoen als een niet-bestaande accountant die in opdracht van het parlement alle contactgegevens van de DNA-leden moet controleren.
Er is zogenaamd namelijk besloten dat de regelgeving rondom de bezoldiging van het parlement wordt aangescherpt en dus moet elk lid bevestigen of alle persoonlijke gegevens nog wel kloppen.
Door op een linkje in de mail te klikken, kan het Assemblée-lid aangeven dat de administratie klopt of incorrect is.
Voor kwaadwillenden is dit een zeer effectieve methode om de identiteit van het doelwit bevestigd te krijgen en vervolgens in contact te treden.
Over de uitkomst van het onderzoek kan met deze insteek dan ook geen twijfel bestaan; iemand reageert – en geeft daarmee aan zowel de e-mail als de afzender te vertrouwen – of iemand reageert niet en gooit het bericht ongelezen in de prullenmand.
Er is iets mis met uw salaris – klik hier om het op te lossen
Nu we hebben besloten dat we ons voor gaan doen als accountant van het Surinaams parlement moet onze valse identiteit zo betrouwbaar mogelijk over komen.
Je kunt natuurlijk een mailtje sturen vanaf het adres geld2020@gmail.com maar dat zal weinig vertrouwen opwekken.
Gelukkig kun je via de website https://mail.com gratis, snel en volledig anoniem een mooi mailadres samenstellen.
Je hebt daar de keuze uit diverse beroepsgroepen zoals @journalist.com, @activist.com en @minister.com – het meest geschikte adres voor ons onderzoek is echter @accountant.com
suriname@accountant.com
– digitale veiligheid –
Binnen enkele seconden zijn we dan ook de trotse bezitter van het gratis e-mailadres suriname@accountant.com
Zeg nu zelf; als iemand een zakelijk bericht ontvangt van deze afzender, dan wekt dat toch al snel een beetje meer vertrouwen?
Om het nog mooier te maken, meten we onszelf ook een valse identiteit aan; onze voornaam is Denki en de achternaam is NA, tevens zijn we gehuwd met onze partner Financiën.
Het gevolg van deze op het oog vreemde naam is een betrouwbare, tweede dekmantel want in de afzender worden we nu vermeld als DNA – Financiën.
Natuurlijk wil het oog ook iets hebben en dus moet er nog een leuk plaatje bij de naam bedacht worden. We kunnen een willekeurige foto van een betrouwbaar persoon nemen, maar een accountant houdt het liever zakelijk en wat afstandelijker.
Daarom wordt een logo ontworpen dat direct extra vertrouwen geeft; de contouren van ons land met daarin de nationale vlag verwerkt.
Ons digitale visitekaartje
– digitale veiligheid –
Nu onze digitale identiteit (letterlijk) is vormgegeven, is het tijd voor de inhoud van de e-mail zelf. De tekst van het bericht wordt zo samengesteld dat de eerste regels meteen nieuwsgierigheid opwekken;
Voordat je de mail opent, zie je immers een preview van de inhoud en juist die “voorvertoning” moet er voor zorgen dat je – ondanks eventuele verdenkingen – toch op het bericht klikt.
Het onderwerp van de mail is dan ook hetzelfde als de introductie en laat weinig aan de verbeelding over; bezoldiging : bevestig uw gegevens.
Leesbaarheid van de titel
– digitale veiligheid –
Voordat alle mails definitief verzonden worden, wordt de leesbaarheid van de preview eerst uitgebreid getest op zowel laptops als mobiele telefoons.
De rest van de e-mail luidt tenslotte als volgt;
Zoals u wellicht via de media heeft vernomen, worden vanaf volgend jaar de regels omtrent de bezoldiging van DNA-leden verbeterd.
In het kader hiervan wordt u vriendelijk verzocht uw gegevens te controleren en te bevestigen.
Voor uw gemak worden zowel uw kopfoto als de inschrijving binnen onze basisadministratie in deze e-mail vermeld en kunt u direct aangeven of alles correct is.
Heeft u een vraag naar aanleiding van deze e-mail? Neem dan gerust contact op via Gita Viswanath – Ramsharan.
Onderaan de mail plaatsen we tenslotte twee duidelijke buttons; een groene button met de tekst “ja, alles is correct” en een rode button met “nee, het klopt niet”.
Achter de buttons zetten we vervolgens een eenvoudige link die in beide gevallen exact hetzelfde doet. Het activeert het e-mailprogramma van de ontvanger en verstuurt een vooraf ingevuld bericht naar de afzender van onze phishing campagne; suriname@accountant.com
Het enige dat de ontvanger dus hoeft te doen is op één van de twee aanwezige buttons klikken.
Of het doelwit vervolgens aangeeft dat de persoonlijke gegevens kloppen of niet, is voor de test van ondergeschikt belang; de inhoud van de mail is immers aantoonbaar onjuist.
Het gaat er dus nadrukkelijk alleen om of de ontvanger van ons bericht welwillend is om met de digitale aanvaller in contact te treden.
De volledige e-mail
– digitale veiligheid –
Behalve de korte inhoud en een krachtige titel vallen een aantal zaken in de e-mail direct op.
Zo wordt er vermeld dat de regels rondom de bezoldiging worden verbeterd. Tevens zou de ontvanger dit vernomen kunnen hebben via de media.
Als je hier goed over nadenkt, weet je meteen dat dit niet kan kloppen;
Het vaststellen van regels rondom de bezoldiging van ons parlement wordt niet via de media gecommuniceerd, maar is nota bene een verantwoordelijkheid van de DNA zelf (oftewel; de ontvanger van de e-mail).
Mobiele weergave
– digitale veiligheid –
Naast het feit dat men kan aangeven of de vermelde gegevens correct of niet, kan men voor aanvullende vragen ook nog eens contact op nemen met ene Gita Viswanath – Ramsharan.
Deze dame zou werkzaam zijn binnen de administratieve afdeling van onze Nationale Assemblée, maar behalve het bericht en de afzender is ook de persoon van Gita Viswanath – Ramsharan door ons verzonnen.
De reden waarom de naam wordt vermeld, is dan ook om een extra persoonlijke band te scheppen met het slachtoffer en dus vertrouwen te winnen. Het doel van deze hele mailing draait immers maar om één vraag;
Krijg je onze DNA-leden zo ver om via een valse e-mail – van een niet-bestaande afzender – vol met onbetrouwbare informatie op potentieel onveilige linkjes te klikken?
Als men het bericht toch niet vertrouwt, dan is de kans groot dat ze opheldering gaan vragen en wie leent zich daar beter voor dan Gita Viswanath – Ramsharan? Een niet bestaand persoon die alleen benaderd kan worden via exact hetzelfde e-mailadres, namelijk suriname@accountant.com
Op het moment dat een wantrouwend DNA-lid dus niet op “ja” of “nee” klikt, maar contact zoekt met “Gita” wordt ons doel ook bereikt. De ontvanger geeft immers aan de mail te hebben gelezen, bereikbaar te zijn voor valse berichten en – indirect – bereidwillig hierop te reageren.
Het nagemaakte logo
– digitale veiligheid –
Niet alleen aan de persoonlijke “afsluiter” is veel aandacht besteed, maar ook aan de opening van de e-mail;
Het eerste dat men ziet, is het logo van de Nationale Assemblée. Iedereen kent deze afbeelding en het roept direct herkenning en vertrouwen op, zeker als je werkzaam bent binnen de DNA zelf.
Om die reden is het logo in hoge kwaliteit nagetekend, ingekleurd en geoptimaliseerd voor weergave op zowel een lichte, als donkere achtergrond. Ook het gebruikte lettertype is nauwkeurig nagemaakt om zo dicht mogelijk bij het origineel te blijven.
Alle gegevens staan publiekelijk vermeld op internet
De gegevens die elk DNA-lid via de mail moet bevestigen, zijn overigens niet zo spannend en staan als openbare informatie op de website van onze Assemblée zelf;
Ook de e-mailadressen van alle DNA-leden staan publiekelijk vermeld op deze site. Dit is dan ook een belangrijk uitgangspunt voor ons onderzoek; gebruik alleen gratis tools en openbare gegevens.
De openbare gegevens
– digitale veiligheid –
De personen op de foto zijn overigens gewoon de eerste DNA-leden die zichtbaar zijn op de openbare website van de Assemblée; de afbeeldingen zeggen dus niets over het feit of deze leden ook daadwerkelijk op de mailing hebben gereageerd.
Om meer succes te behalen, maken we expres een "fout"
Wanneer er iets “fout” dreigt te gaan met het salaris, reageer je natuurlijk eerder dan wanneer alles in orde is. Omdat ons onderzoek vooral gaat om het verkrijgen van een reactie – en daarmee contact – wordt er bewust een fout in de persoonlijke gegevens aangebracht;
Hiermee hebben de ontvangers een extra reden om hoe dan ook op de e-mail te reageren.
De gegevens onder het kopje “partij” worden voorzien van een willekeurige politieke partij die helemaal niet in de Assemblée vertegenwoordigd is. Daardoor is de kans groter dat men reageert om te melden dat er een fout in de administratie is geslopen.
Met zelf ontwikkelde software worden alle gegevens van de DNA-leden uit de openbare website gehaald, omgezet in een database en gekoppeld aan een systeem dat automatisch e-mails samenstelt met daarin de persoonlijke gegevens.
Onze database
– digitale veiligheid –
Al deze informatie komt dus volledig overeen met wat er op de website van de Assemblée zelf staat, behalve de partij waarvoor men in het parlement zou zitten.
Deze “foute” partij wordt door onze software willekeurig aan een persoon gekoppeld en kan één van deze vier bestaande (maar niet in de Assemblée aanwezige) partijen zijn;
In principe is alles dus gereed;
We hebben de e-mailadressen van ons doelwit, er is een betrouwbare afzender samengesteld, de boodschap om te reageren is gekoppeld aan een onderwerp (geld) waarop iedereen zou reageren en de e-mails tonen enkele persoonlijke gegevens waarin bewust een fout is geplaatst.
De expres "foute" partijen
– digitale veiligheid –
Phishing is succesvol als iemand de e-mail leest en beantwoord, maar ook zonder dat men op een linkje klikt kan er al sprake zijn van een succesvolle “aanval”.
Als iemand het bericht opent zonder deze te beantwoorden, hebben we namelijk in ieder geval de aandacht weten te pakken en weten we zeker dat het gebruikte e-mailadres correct is.
Maar hoe weet je dat iemand de mail heeft gelezen zonder dat de ontvanger op ons verzoek reageert?
Dat kan met een volstrekt legitieme en zeer doeltreffende techniek in kaart gebracht worden;
Je plaatst in de e-mail eenvoudigweg een – al dan niet onzichtbare – afbeelding en bekijkt op afstand wat hier vervolgens mee gebeurt.
De e-mail zelf bestaat namelijk enkel uit tekst en wordt “kant en klaar” afgeleverd op de telefoon of computer van de ontvanger; daarmee heb je dus geen goed zicht op wat deze er allemaal mee doet.
Door in de e-mail echter een afbeelding te plaatsen die oorspronkelijk op de computer van de aanvaller staat kun je exact zien of iemand de afbeelding inlaadt, opent en eventueel zelfs weer doorstuurt naar anderen.
Een afbeelding verraadt iemands locatie op aarde
Als een telefoon of computer de afbeelding in een mail zichtbaar maakt, ziet de eigenaar van die foto niet alleen dat de ontvanger de afbeelding wil bekijken, maar ook waar deze naar toe gestuurd moet worden.
Het verzoek voor elke foto wordt daarom voorzien van aanvullende gegevens – de zogeheten meta data;
Dat laatste gegeven is erg interessant; het adres is namelijk een code die uniek is voor elk apparaat dat contact maakt met internet. De afbeelding moet immers exact weten op welke telefoon of computer hij moet worden afgeleverd.
Al deze openbare toegangspunten op het internet kunnen worden teruggebracht naar een locatie die tot enkele honderden meters nauwkeurig aangeeft waar de ontvanger van de e-mail zich op dat moment bevindt.
Als iemand een afbeelding opent, kun je zien of die persoon zich in Suriname ophoudt of bijvoorbeeld in Nederland. En je ziet niet alleen het land, maar bijvoorbeeld ook of hij via een zakelijke netwerk in Groningen contact zoekt met internet of via een thuisverbinding in Alkmaar.
Door simpelweg een afbeelding in te laden, bevestigt een persoon dus de bij ons bekende contactgegevens en geeft hij onbewust ook extra aanvullende gegevens vrij die we nog niet in ons bezit hadden.
Zonder dat de ontvanger op ons reageert kan zo toch worden uitgelezen wat voor soort telefoon hij heeft, hoe laat hij de mail heeft geopend, waar hij zich op aarde bevindt en welke taal hij spreekt, enzovoorts.
Dit is natuurlijk informatie die voor een hacker goud waard is, want elk stukje informatie is een schakel in de ketting tot een succesvolle aanval.
Standaard toont een e-mail daarom dan ook geen plaatjes; telkens als iemand een afbeelding in de e-mail opent en bekijkt, wordt daarmee immers automatisch een seintje gegeven aan de afzender.
Wil je een afbeelding in de e-mail zien, dan moet je daar dus altijd expliciet toestemming voor geven.
We verleiden het doelwit met zijn eigen pasfoto
Om de ontvanger van onze fake e-mail te verleiden toch afbeeldingen in te laden – en daarmee nog meer van zijn gegevens vrij te geven – wordt een nieuwe psychologische truc in het bericht aangebracht;
Niet alleen de persoonsgegevens, maar ook de eigen kopfoto moeten persoonlijk bevestigd worden.
Net als de persoonlijke gegevens staat op de openbare site van het parlement ook netjes een foto van elk DNA-lid afgebeeld.
Alle publiekelijk beschikbare kopfoto's worden daarom bewaard en op een speciaal hiervoor ingerichte computer geplaatst en zijn daarmee een extra “wapen” in de strijd om aanvullende gegevens geworden.
Codes achter de foto
– digitale veiligheid –
Een extra technische handigheid die we kunnen inzetten, is dat een foto die nog niet is ingeladen vooraf altijd een beschrijvende tekst laat zien, zodat de lezer ongeveer weet wat de foto moet voorstellen.
Bij een pasfoto zou je dus als alternatieve tekst kunnen melden dat het gaat om “een afbeelding van een pasfoto”.
Het is tijd om de e-mail te verzenden
Maar wij zetten de tekst juist in als lokmiddel en melden in de beschrijvende tekst dat de ontvanger de foto goed moet controleren om zo het salaris veilig te stellen.
Op het moment dat het DNA-lid de foto daadwerkelijk opent om te bevestigen, stroomt onze computer dus vol met de aanvullende gegevens waar ons onderzoek volledig om draait.
Nu de tekst, foto's, afzender en analytische codes zijn samengesteld, is het tijd om de mailing echt te gaan verzenden.
Om te voorkomen dat ons bericht automatisch als spam wordt gezien en ongelezen in de prullenbak verdwijnt, moeten we alleen nog deze laatste hindernis zien te omzeilen.
Spammers maken vaak fouten die wij natuurlijk willen voorkomen, zodat ons bericht legitiem en op de juiste wijze in de mailbox van ons doelwit wordt afgeleverd.
Om objectief te kunnen meten in hoeverre ons bericht als spam wordt gezien, maken we gebruik van de gratis tool op https://www.mail-tester.com
Onze e-mail is geen spam
– digitale veiligheid –
Door te spelen met het aantal woorden, de zinsbouw van het onderwerp en de afmeting van de gebruikte foto's, weten we uiteindelijk een zeer nette score te halen; 8,9 op een schaal van 10.
Als het technische netwerk van de Nationale Assemblée geen eigen filters heeft ingebouwd, moet onze mailing dus zonder problemen door de muren van de vergaderruimte heen kunnen dringen.
Binnen 5 minuten had een DNA-lid de fake mail geopend
En er is maar één manier om daar achter te komen; we gaan de e-mails versturen.
Om te voorkomen dat we als bulk mailer worden gezien (een persoon die grote hoeveelheden berichten in één keer mailt) maken we gebruik van onze eigen software die op gezette tijden af en toe een bericht de deur uit stuurt.
Na ongeveer drie uur zijn alle 51 mails verzonden en is het een kwestie van afwachten.
Zullen de mails goed zijn afgeleverd bij onze DNA-leden?
Worden ze daadwerkelijk geopend?
Is iemand bereid om op een link te klikken, zonder te weten wat er daarna gebeurt?
Zullen ze hun foto – en daarmee de verborgen "tracking" codes – inladen?
Voor het antwoord op al deze vragen hoefden we niet heel lang te wachten. Binnen vijf minuten ging het eerste alarm namelijk al af.
Iemand had zijn pasfoto geopend en dus konden we aan de hand van de verborgen codes direct zien om wie het ging. Ook zagen we waar deze persoon zich ongeveer bevond, wat voor type telefoon er gebruikt werd en wat voor software deze geïnstalleerd had.
Nog geen minuut later luidde er een tweede alarmbel; we hadden e-mail.
Morgen volgt deel drie : de uitkomst en aanbevelingen
Bron : Kees Christoffel Donk / github.io
Zou u een mail vertrouwen met als onderwerp "uw salaris"?
Bron : Suriname Nieuws
Wat vindt u van dit artikel?
Wilt u reageren op de vraag?
Lees verder in de gratis app!