Om de gevoeligheid voor online oplichting en cybercriminaliteit van onze Nationale Assemblée te onderzoeken, hebben we een phishing mail (fake mail) naar alle 51 DNA-leden gestuurd.
Zoals gezegd doen we ons in die e-mail voor als accountant Gita Viswanath – Ramsharan (een niet bestaand persoon) omdat de regels rondom de bezoldiging zouden zijn aangescherpt. In het kader van deze (niet bestaande en zelf verzonnen) maatregel moeten alle leden van de Assemblée hun persoonlijke gegevens controleren en aan ons bevestigen.
Via de mail krijgen we zo dus een persoonlijke bevestiging van alle gegevens die we al in ons bezit hadden. Tegelijkertijd “vissen” we op deze manier ook naar aanvullende, onbekende gegevens die we kunnen inzetten bij een eventueel vervolg van onze digitale aanval.
Nadat alle e-mails zijn verzonden, blijkt binnen vijf minuten dat een DNA-lid de mail al heeft geopend.
Ook heeft deze ontvanger de verborgen “codes” in het bericht geactiveerd door een foto in te laden, zodat onze computer volstroomt met waardevolle gegevens over deze specifieke persoon.
Eén minuut later ontvangen we de eerste bevestiging op ons valse mail-account.
Het DNA-lid heeft de e-mail ontvangen, het foutieve bericht gelezen, de malafide afbeeldingen ingeladen, op een onbetrouwbare link geklikt en tenslotte gereageerd op een persoon die niet bestaat.
Tegen onze verwachtingen in blijft het echter niet bij deze ene reactie; een paar minuten later gaan meerdere alarmbellen af en is het weer raak.
Eén voor één druppelen de e-mails binnen en kunnen we op de wereldkaart meekijken waar de Assemblée-leden zich bevinden op het moment dat ze ons bericht openen.
We kunnen live zien waar de Assemblée-leden zitten
Elk bericht heeft immers een unieke code gekregen die gekoppeld is aan de ontvanger en geeft hiermee zeer nauwkeurige de locatie prijs.
Sommige ontvangers blijken de e-mail te lezen, sluiten deze af, reizen verder en openen het bericht nogmaals vanaf een andere plek waardoor ze bijna live op de kaart te volgen zijn.
Alle gegevens over onder andere de locatie, gebruikte telefoons en tijdstippen worden door ons automatisch opgeslagen, geanalyseerd en gekoppeld aan geanonimiseerde DNA-leden.
Na enkele uren kan al met zekerheid gesteld worden dat ruim de meerderheid van onze Nationale Assemblée zeer gevoelig blijkt te zijn voor online oplichting.
Onze inbox
– digitale veiligheid –
Uiteindelijk hebben binnen 24 uur maar liefst 23 individuele DNA-leden op de valse e-mail gereageerd.
De inhoudelijke reactie is daarbij overigens van ondergeschikt belang, omdat het bericht zelf aantoonbaar onjuist was; of ze nu aangaven dat de gegevens klopten of niet, maakt voor het verdere onderzoek dan ook weinig uit.
Hoofddoel van het onderzoek was het in contact treden met onze parlementsleden en het verzamelen van zo veel mogelijk persoonlijke gegevens. Daarmee zou bij een eventueel vervolg van onze digitale aanval een succesvolle toegang geforceerd kunnen worden tot de Nationale Assemblée.
Niemand heeft de afzender gecontroleerd
Vanwege de inhoud van alle reacties werd snel duidelijk dat de meeste Assemblée-leden het bericht direct vertrouwden. Ze bevestigden zonder controle van de afzender direct hun persoonlijke gegevens en dachten daadwerkelijk met mevrouw Gita Viswanath – Ramsharan te praten.
Om achteraf misverstanden te voorkomen over de definitie van een “succesvolle aanval”, zijn vooraf een aantal regels hiervoor opgesteld;
Omdat het bij dit onderzoek nadrukkelijk niet gaat om schade te berokkenen of mensen persoonlijk te benoemen, wordt de uitkomst van de “aanval” volledig anoniem behandeld.
De verzonden e-mails
– digitale veiligheid –
De gelezen e-mails
– digitale veiligheid –
De beantwoorde e-mails
– digitale veiligheid –
Overigens zijn er drie DNA-leden geweest die meerdere keren contact hebben gezocht met “de accountant” en zich daarmee dus vaker dan één keer hebben opengesteld als “easy target” (met een maximum van vier pogingen voor één en dezelfde persoon).
Van de 51 mails zijn er 16 stuks nooit geopend – maar wel aantoonbaar afgeleverd – dat kan meerdere redenen hebben gehad;
Zonder in detail te treden kan gezegd worden dat leden van alle fracties hebben gereageerd en op de linkjes hebben geklikt in de e-mail. Ook zijn de foto's – waarachter een persoonlijke tracking code hing – meermaals geopend zodat per persoon gezien kon worden hoe vaak de mail werd bekeken.
Het gaat hierbij niet alleen om personen die lager op de kieslijst staan, maar ook om een aantal “toppers” binnen de partijen die in de Nationale Assemblée vertegenwoordigd zijn.
De gebruikte kopfoto's
– digitale veiligheid –
Een speciaal hiervoor ingerichte online omgeving hield automatisch bij hoe vaak een kopfoto werd bekeken wat er op duidde dat de persoon in kwestie de e-mail heeft geopend en gelezen.
Om het aantal "views" goed te kunnen analyseren werd ook hier gebruik gemaakt van een gratis en openbare oplossing (https://imgur.com/).
De personen in het overzicht zijn willekeurig gekozen en dienen slechts ter illustratie – de foto's zijn afkomstig van de openbare website van de DNA zelf. Het aantal “views” is niet zichtbaar en er zitten ook personen tussen zonder een “view”.
Het logo van de Nationale Assemblée bevatte een gedeelde code en deze in totaal 241 keer bekeken door 35 individuele parlementsleden.
Met gratis tools en publiekelijk verkrijgbare informatie is het dus mogelijk om onder valse identiteit een nep bericht te sturen, met als uitkomst dat bijna driekwart van ons parlement zijn of haar persoonlijke informatie vrijgeeft.
Doordat ruim de helft van de leden heeft gereageerd, is een schat aan locatiegegevens, GPS coördinaten, het merk en de software van persoonlijke telefoons en nog veel meer aanvullende data verzameld.
Enkele verzamelde gegevens
– digitale veiligheid –
Iemand die bedreven is in social engineering kan met deze succesvolle phishingmail een solide basis leggen voor verdere oplichting en het uitbouwen van een vertrouwensrelatie met de “cliënt”. Dit kan uiteindelijk desastreuze gevolgen hebben voor de betrokken partijen binnen ons parlement.
Denk hierbij aan chantage, financiële schade, laster en smaad tot en met het volledig over nemen van de controle over iemands telefoon of computer en daarmee indirect zelfs de besturing van ons land.
Alhoewel de verzonden mailing op zichzelf dus ongevaarlijk was, geeft dit wel aan dat online criminelen binnen het parlement een zeer hoog slagingspercentage hebben.
De Nationale Assemblée valt zeer eenvoudig aan te vallen
Met de verzamelde data is het eenvoudig om na stap vijf (het in contact treden met het slachtoffer) over te gaan op stap zes; het daadwerkelijk inzetten van de echte aanval.
Zoals in de tabel zichtbaar is, hebben we via de ingeladen pasfoto's veel aanvullende informatie verkregen, waarmee het eenvoudig is een nog persoonlijkere aanval uit te voeren;
“Goedemiddag, u spreekt met de montagedienst van Apple en uw iPhone 12 Pro Max heeft omstreeks 15:21 uur contact gemaakt met het wifi netwerk van de districtscommissaris in Alkmaar.
Uw telefoon heeft toen aangegeven dat er een beveiligingsprobleem is en deze willen we graag gratis voor u verhelpen”.
Door een aantal herleidbare feiten te melden (het merk van de telefoon, het tijdstip, de locatie en het gebruikte netwerk) zal de eigenaar van de telefoon de situatie al snel vertrouwen.
Alles wat de “monteur” meldt klopt immers en dus zal de rest ook wel op de waarheid berusten...
De aanvaller kan vervolgens een afspraak met het slachtoffer maken, voor de betrouwbaarheid een t-shirt van Apple aantrekken en zo fysiek toegang tot de telefoon krijgen "om deze nog beter te beveiligen".
In het echt beveiligt hij natuurlijk helemaal niets, maar installeert juist verborgen software op de telefoon die alle gesprekken, e-mails en internetbezoeken opneemt en doorstuurt naar de aanvaller.
Een ander mogelijk vervolg van de aanval is om bijvoorbeeld een PDF-document te sturen of website na te maken waarop de persoon moet inloggen.
Zowel dit document als de site kunnen weer verborgen, malafide codes bevatten die direct actief worden op het inmiddels verkregen specifieke type telefoon of laptop van het nietsvermoedende slachtoffer.
Waar wordt de mail gelezen?
– digitale veiligheid –
Om een online aanval via social engineering succesvol te maken, is het dus nodig zo veel mogelijke privégegevens van je doelwit te verzamelen. Ook hier zijn online weer veel gratis – en volledig legale – tools voorhanden.
Via de gebruikte afbeeldingen in onze mail konden we bijvoorbeeld zeer nauwkeurig zien waar onze DNA-leden zich bevonden. Het zwaartepunt ligt daarbij – logischerwijs – in Suriname en Nederland, maar de mails werden ook ver buiten deze landsgrenzen geopend.
Overigens is het ook voorgekomen dat een Assemblée-lid het bericht weer heeft doorgestuurd aan iemand anders in het buitenland.
Via Google kregen we veel aanvullende informatie binnen
Op die manier worden de verborgen “tracking codes” op verschillende locaties geopend vanaf meerdere toestellen. Hierdoor ontstaat er een nog fijnmaziger netwerk om een potentiële aanval op los te laten.
Ook telefoons die ons bericht aanvankelijk nooit zouden hebben ontvangen, worden op deze manier onderdeel van het plan omdat ze via de e-mail met elkaar in contact staan.
Onze “tracking code” in de afbeelding hebben we ook gekoppeld aan een gratis account bij Google.
Hierdoor konden we bijvoorbeeld zien wat de gemiddelde leeftijd van de DNA-leden was, wat tot hun interessegebied werd gerekend, welke populaire zoektermen men gebruikte en welk geslacht ze hebben.
Al deze data is overigens niet van onze e-mail afkomstig, maar laat iedereen (onbewust en anoniem) achter als hij bijvoorbeeld zoekt via Google, een Gmail adres heeft, naar YouTube kijkt of de navigatie van Google Maps op een telefoon heeft staan.
Google koppelt al deze anonieme gebruikersdata – via hele kleine afbeeldingen op elke webpagina – aan speciale codes waardoor je een zeer nauwkeurig overzicht krijgt van de sociale demografie van je publiek.
Dit noemt men een zogeheten “target audience” – in dit geval een zeer selecte groep van DNA-leden die bijna tot op persoonsniveau traceerbaar bleken te zijn.
Aanvullende gegevens over de leden van onze Assemblée die dankzij deze gratis en openbare Google Analytics (https://analytics.google.com/) naar boven kwamen, waren onder andere;
Na het onderzoek zijn de DNA-leden op de hoogte gesteld
Enige tijd nadat de aanval was gelanceerd en afgerond, zijn alle DNA-leden tenslotte via de e-mail over het online onderzoek ingelicht.
Gemeld is dat ze – onbewust – hebben meegewerkt aan een grootschalig onderzoek naar de kwetsbaarheid van onze Nationale Assemblée op het gebied van online oplichting en cybercriminaliteit.
Afgelopen maand is er een groot journalistiek onderzoek gehouden naar de gevoeligheid van de Nationale Assemblée wat betreft cybercriminaliteit in het algemeen en online oplichting in het bijzonder.
In het kader van dit onderzoek is een e-mail naar alle DNA-leden verzonden met het onderwerp “Bezoldiging : controleer uw gegevens” en als afzender “DNA – Financiën”
Dit bericht was een onderdeel van het onderzoek en kan veilig verwijderd worden – verdere reacties hierop worden in het onderzoeksresultaat niet meer meegenomen.
De uitkomst van het grootschalige onderzoek wordt binnenkort in drie delen gebundeld en aangeboden aan alle nationale media van ons land.
Bedankt voor uw medewerking; het onderzoek kan – wat uw aandeel betreft – bij deze als afgesloten beschouwd worden.
De openheid en transparantie over het gehouden onderzoek is onderdeel van de journalistieke principes die eerder in dit document zijn vermeld.
Openheid over het onderzoek
– digitale veiligheid –
De spaarzame reacties van de DNA-leden op het feit dat de meeste van hun erg gevoelig bleken te zijn voor online oplichting varieerden van enigszins begrip voor de situatie, tot uitschelden en opmerkingen als “wat een onzin, ik weet wat ik doe”.
Jezelf voordoen als een ander kan door sommigen misschien als onheus ervaren worden, maar in het kader van een journalistiek onderzoek is dit feitelijk onontkoombaar.
Om een journalistieke claim (“onze Nationale Assemblée is online zo lek als een vergiet”) te kunnen onderbouwen, moet je wel bewijsvoering hiervoor weten op te voeren.
Daarmee ontkom je er dan ook niet aan om het grijze gebied op puur journalistieke basis gedeeltelijk te betreden.
Er is dus – behalve anoniem gezichtsverlies – geen sprake van echte schade; deze had echter wel eenvoudig veroorzaakt kunnen worden na de risicovolle vijf stappen die alle DNA-leden onbewust hebben doorlopen.
Op het moment dat van de 23 DNA-leden er één is die “stap zes” zou doorlopen, heb je in principe toegang tot de volledige Assemblée.
Eén voor één vallen de digitale dominostenen om
Alle DNA-leden staan immers met elkaar in contact via gedeelde documenten, loggen met hetzelfde wachtwoord in op hetzelfde (wifi) netwerk en hebben dagelijks overleg via onbeveiligde, digitale protocollen.
De zwakste schakel kan dus leiden tot een totale keten aan onveiligheid waarmee de volledige Nationale Assemblée via een domino-effect als een kaartenhuis in elkaar stort.
Een digitaal dominospel
– digitale veiligheid –
De verbijsterende uitkomst van het onderzoek leidt tot de volgende aanbevelingen;
In het algemeen geldt dat men voor een technische infrastructuur moet zorgen waar niet elk bericht zonder controle, verificatie of validatie wordt doorgelaten.
Een mail die nooit wordt afgeleverd, kan immers geen schade berokkenen.
Als de personen zelf niet in staat zijn om een beveiligde omgeving in te stellen, dan kan dit altijd nog geregeld worden via bijvoorbeeld een ondersteunende systeem- of netwerkbeheerder.
Op individueel niveau geldt;
Dit artikel is – inclusief de resultaten van het onderzoek en alle getoonde afbeeldingen – gratis verspreid onder de bekende, nationale media in Suriname.
Zou de DNA voorlichting (digitaal rijbewijs) moeten krijgen over veilig gebruik van internet?
Bron : Suriname Nieuws
Wat vindt u van dit artikel?
Wilt u reageren op de vraag?
Lees verder in de gratis app!