Het onderstaande artikel verscheen op de website van Nationale Nederlanden na een interview met mij.
Of je nu een multinational of mkb’er bent: het is belangrijk je onderneming te beschermen tegen cybercrime. Met een paar trucjes kunnen hackers een hoop schade aanrichten. Ethisch hacker Sijmen Ruwhof (34) vertelt hoe hackers je bedrijf in 6 stappen kunnen ontregelen.
Sijmen Ruwhof hackt binnen de kaders van de wet en heeft een positief doel: cybercriminaliteit tegengaan. In opdracht van bedrijven en overheidsinstanties spoort hij fouten en veiligheidslekken in hun systemen en netwerken op. Zo helpt hij ze hun digitale beveiliging te verbeteren.
Duizenden bedrijven tegelijk aanvallen
“De meeste criminele hackers richten zich niet op één bedrijf”, legt Sijmen uit. “Integendeel: ze willen met zo min mogelijk werk zo veel mogelijk bedrijven aanvallen.” Daarom doen ze aan geautomatiseerd hacken. Ze installeren programma’s of software waarmee ze in één keer duizenden bedrijven aanvallen.
Dit zijn de zes stappen van een mogelijk hackproces:
Stap 1: het bedrijf verkennen
“Stel dat ik één bedrijf wil hacken. Dan begin ik met de verkenning. Ik bestudeer de website. Hoeveel mensen werken er? Wat is het fysieke adres? Het KVK-nummer? En wat staat er in de (ICT-)vacatures?”
Werknemers opzoeken
“Via LinkedIn zoek ik werknemers op. Sommige mensen noemen daar ook hun geboortedatum. Handig! Ik probeer zo veel mogelijk waardevolle informatie te verzamelen: persoonsgegevens, e-mailadressen, telefoonnummers en domeinnamen van websites. Zo breng ik het aanvalsoppervlak in kaart. En wie weet helpt deze informatie me later bij het kraken van wachtwoorden van gebruikersaccounts.”
Beveiliging checken
“Als ervaren hacker heb ik honderden verschillende trucjes om je computer binnen te komen. Meestal probeer ik meer manieren tegelijkertijd, om mijn kansen te vergroten.
Ik check bijvoorbeeld ook de digitale beveiliging van de internetservers. Via de paginabron van de website bekijk ik welk contentmanagementsysteem het bedrijf gebruikt. Zo kan ik controleren of de laatste software-updates gedownload zijn. Zo niet, dan heb ik al een mogelijk beveiligingslek te pakken. Langzaamaan kom ik erachter hoe goed dit bedrijf beveiligd is. En hoe voorzichtig ik dus te werk moet gaan.”
Stap 2: het netwerk binnendringen
“Inmiddels heb ik persoonsgegevens van enkele werknemers bemachtigd. Ik kan hen nu bijvoorbeeld een phishing mail of sms sturen: een vals berichtje dat van een betrouwbare afzender lijkt te komen. Deze methode heet social engineering: ik ga op zoek naar de zwakste schakel binnen het bedrijf. Dat zijn vaak de werknemers.”
Phishing mail
“Ik schrijf een persoonlijk bericht over een actueel onderwerp, zoals corona. Ik verander de afzender en maak de mail zo op dat hij afkomstig lijkt van MijnOverheid. Vervolgens voeg ik een PDF-bestand met de nieuwe coronarichtlijnen toe als bijlage. Ik zorg dat de timing klopt, bijvoorbeeld net na een persconferentie. Zo leid ik goedgelovige werknemers om de tuin.
Met een stukje code plak ik een zogeheten ‘exploit’ in het PDF-bestand. Dat is een klein computerprogramma dat misbruik maakt van niet bijgewerkte PDF-lezers. Wanneer een werknemer het PDF-bestand opent, komt de computer onder mijn controle te staan.”
WiFi-netwerk kraken
“Om zo onzichtbaar mogelijk te blijven, gebruiken hackers vaak niet hun eigen internetverbinding, maar een openbaar wifi-netwerk. Of ze routeren het internetverkeer eerst via enkele andere internetverbindingen. Zo weet niemand precies wie de mail verstuurd heeft.
Niet veel later is het zover. Iemand heeft de PDF geopend. Ik ben binnen!”
Stap 3: het netwerk dieper binnendringen
“Ik heb nu toegang tot de computer van een werknemer: ik kan alle bestanden inzien, de webcam en de microfoon gebruiken. Vanuit deze computer kan ik meer systemen van het bedrijf bereiken.
Ik kan bijvoorbeeld op zoek naar een andere computer met meer rechten of belangrijkere bestanden. Om permanent toegang tot de computer te krijgen, moet ik software installeren die ik op afstand kan beheren. Ik breng het hele netwerk in kaart, zoek de zwakke plekken op en krijg zo controle over steeds meer belangrijke systemen en (beheer)accounts van werknemers.”
Onzichtbaar blijven
“Onzichtbaar blijven kost de meeste tijd. Een groter bedrijf heeft vaak een gespecialiseerde cybersecurity-afdeling, die continu op zoek is naar hackers op het netwerk. Om die bewakers te slim af te zijn, moet ik voorzichtig en bedachtzaam te werk gaan. Ik moet tien stappen vooruitdenken.
Hacken is een kat- en muisspel. Soms moet ik een week wachten voor ik verder kan, omdat ergens een antivirusscanner afgaat. Onzichtbaar een bedrijf met duizenden werknemers hacken en overnemen kost ongeveer twee à drie maanden.”
Stap 4: toegang tot de bestanden
“Door systematisch simpele en veelgebruikte wachtwoorden uit te proberen op accounts, krijg ik na verloop van tijd steeds meer rechten. Via de overgenomen accounts krijg ik toegang tot vertrouwelijke informatie van het bedrijf. Veel werknemers hebben maar een paar wachtwoorden die ze voor al hun systemen gebruiken. Daar maak ik misbruik van!”
Stap 5: bestanden extern opslaan en/of blokkeren
“De buitgemaakte informatie moet ik nu nog ‘veiligstellen’ door deze te uploaden naar mijn eigen server op het internet. Als ik verkeerde intenties zou hebben, kan ik bijvoorbeeld het hele bedrijfsnetwerk versleutelen met gijzelsoftware. Zo blokkeer ik de toegang voor de werknemers en zet ik het bedrijf op slot. Vervolgens laat ik een bericht achter. Als ze de bestanden en het interne netwerk terug willen, moeten ze eerst € 400.000,- aan bitcoins overmaken. Binnen drie dagen.”
Stap 6: ongezien wegkomen
“Mijn missie zit er bijna op. Eerst nog mijn sporen uitwissen. Ik verwijder logboeken, bestanden en uitgevoerde opdrachten om te voorkomen dat een IT’er ze later ontdekt. Voor de zekerheid zou een criminele hacker een back door installeren: een verdekt stukje software waarmee je op een later moment weer kan binnenkomen in het systeem.”
En dan… achterover leunen!
“Het zit erop! De buit is binnen, de sporen zijn gewist en de permanente toegang tot het netwerk is geregeld.”
Zinvol onderzoek
Sijmen hackt alleen als hij door bedrijven zelf wordt uitgenodigd en toestemming krijgt. Hij is er om te helpen, niet om ze te chanteren. Toch is ook hij euforisch als een hack lukt. “Het moment waarop ik een beveiligingslek ontdek, voelt geweldig. Ik zie hacken als puzzelen. Ik ben vaak dagenlang op zoek naar het missende stukje.”
Zijn klanten vinden het minder leuk als hij het systeem weet binnen te dringen, maar het onderzoek is wel zinvol geweest. Nu kan Sijmen de organisatie vertellen hoe ze zich beter kan beschermen tegen cybercriminaliteit.
De 3 beste beveiligingstips van Sijmen
- Stel tweetrapsverificatie in: naast je wachtwoord een steeds wijzigende code die je ontvangt via een sms of app;
- Installeer een wachtwoordmanager, zodat je werknemers per website een uniek en sterk wachtwoord kunnen instellen;
- Het belangrijkste: zorg dat iedereen in je bedrijf zich bewust is van de nut en noodzaak van cybersecurity. En hun eigen verantwoordelijkheid hierin.