Hack attack: social engineering op de luchthaven

Het is maandagochtend en accountmanager Frank de Wit is net aangekomen op het vliegveld. Vandaag is een grote dag. Hij is onderweg naar Oogle, een belangrijke klant, om een grote zakelijke deal te sluiten die hij al maanden aan het voorbereiden is.

Nadat hij een cappuccino heeft besteld, installeert Frank zich aan een van de tafeltjes naast de koffiebar en opent zijn laptop. De IT-collega’s op zijn werk waarschuwen iedereen keer op keer om geen openbare Wi-Fi-netwerken te gebruiken, dus schakelt hij de Wi-Fi op zijn laptop uit en opent een document dat offline is opgeslagen. Als hij later weer verbinding maakt met het bedrijfsnetwerk, wordt het bestand vanzelf wel bijgewerkt.

Terwijl hij door het zakelijke voorstel bladert, neemt Frank de laatste details door. Zo'n grote kans! Hij kijkt om zich heen naar de mensen in de bar en glimlacht. Als ze eens wisten wat een succesvolle zakenman hij is.

Langzaam vult de bar zich met mensen. Dan komt er een jongeman aanlopen die vlak naast hem aan hetzelfde tafeltje gaat zitten. Hij draagt twee grote rugzakken en een koffiebeker en wurmt zich in de kleine stoel. Hij ziet er onhandig uit, maar Frank wil beleefd zijn en hem niet aanstaren. Plotseling, als de man één tas van zijn schouder laat glijden, morst hij per ongeluk zijn koffie over de hele tafel. Een grote plens raakt het toetsenbord en scherm van Franks laptop.

"Het spijt me, meneer!" roept de jongeman uit.

Frank veert op van zijn stoel. Zijn laptop! En zit er koffie op zijn pak? "Ik moet tissues halen!" zegt hij haastig. "Wil jij op mijn spullen letten?" Voordat hij zich omdraait, vergrendelt Frank snel zijn scherm – nog een belangrijk advies van internal IT. Waar haal ik zo gauw tissues vandaan? Het is druk en er staat een lange rij mensen voor de kassa. Omdat zijn laptop is vergrendeld, heeft hij wel wat tijd om het dichtstbijzijnde toilet te vinden.

Een paar minuten later veegt Frank de koffie van zijn scherm, terwijl hij de man onophoudelijk zijn excuses hoort aanbieden voor de gemorste koffie. Na een laatste sorry pakt de onhandige man zijn bagage en loopt weg. Gelukkig is zijn laptop nog heel en hij stopt hem in zijn tas. Het is tijd om naar de gate te gaan. Oef, dat had veel erger kunnen aflopen!

Een paar uur later is Franks vliegtuig geland op zijn bestemming. Terwijl hij wacht tot de deuren opengaan, schakelt hij de vliegtuigmodus van zijn telefoon uit om te kijken of er nieuwe berichten zijn. Tot zijn verbazing heeft zijn salesmanager hem de afgelopen drie uur tien keer proberen te bellen. Dat moet iets dringends zijn! Een beetje bezorgd belt hij hem terug. Wat zal er aan de hand zijn?

"Hoi Frank", zegt de sales manager. "Ik weet niet wat er is gebeurd, maar Oogle belde net om te laten weten dat ze de deal hebben gecancelled. Ze zijn erg boos en willen niet met je afspreken. Wat heb je gedaan?"

Verward pakt Frank zijn laptop onder zijn stoel vandaan en probeert in te loggen. Maar telkens als hij zijn wachtwoord invoert, verschijnt de melding 'wachtwoord onjuist, probeer het opnieuw'. Nog meer in de war belt Frank de IT Servicedesk op kantoor. "Hallo, met Frank de Wit. Kun je mijn wachtwoord opnieuw instellen? Ik heb het drie keer verkeerd gespeld en nu kom ik niet meer in mijn laptop."

De Servicedesk medewerker pauzeert even en antwoordt dan dat ze zijn wachtwoord zal resetten.

"Bedankt", zegt Frank. "Ik zie een prompt om een nieuw wachtwoord aan te maken, het werkt!"

Voordat hij het gesprek beëindigt, zegt zijn collega bij de servicedesk een beetje nors: "Zorg dat je je wachtwoord vandaag niet nog een derde keer vergeet, oké?"

Wacht...wát? Een derde keer?

IT-inzichten die je niet mag missen

Als eerste op de hoogte zijn van de laatste IT-ontwikkelingen? Schrijf je in voor onze maandelijkse nieuwsbrief.

Wat is er echt gebeurd?

Ah, daar zit hij, aan die koffietafel. Frank de Wit. Perfect. Ik volg hem al weken online. Anderen noemen mijn werk cybercrime, ik noem het business. Voor mijn cliënt, een concurrent van de werkgever van meneer De Wit, is het heel belangrijk dat die deal niet doorgaat.

Gelukkig voor mij heeft meneer De Wit nogal wat persoonlijke gegevens gedeeld op LinkedIn, X en Facebook. Zijn reisplannen bijvoorbeeld, maar ook certificaten en diploma's die persoonlijke informatie bevatten zoals zijn geboortedatum en tweede voornaam. Het was eenvoudig om hem te vinden. Hij post vaak online over zijn reizen, dus het is makkelijk om een patroon te vinden.

Laat ik naast hem gaan zitten. Ik heb een paar grote tassen meegenomen, maar daar zit eigenlijk niets in. Ze zijn alleen voor de afleiding. Ik zal onhandig overkomen, wat mijn acties verklaarbaar maakt. Nog even wachten tot het hier echt druk is, en dan...

Nadat ik me verontschuldig voor het morsen van mijn koffie over zijn laptop, haast meneer De Wit zich om papieren handdoekjes te halen. Tot zover gaat alles volgens plan. Nu moet ik in zijn laptop zien te komen. Zoals verwacht is zijn scherm vergrendeld. Maar daar had ik me op voorbereid. Ik bel de IT-helpdesk van zijn bedrijf en zorg dat ik gestrest klink: "Hallo, het spijt me, mijn naam is Frank de Wit. Ik sta op het punt om in het vliegtuig te stappen, maar ik heb mijn wachtwoord drie keer verkeerd gespeld. Ik heb echt haast! Kun je even snel mijn wachtwoord resetten?"

De helpdeskmedewerker antwoordt: "Natuurlijk Frank, wat is je geboortedatum, even als check?" Ik noem zijn geboortedatum. Ik heb altijd de antwoorden klaar op de meeste standaard beveiligingsvragen. Simpele hacking 101.

"Oké, ik heb je wachtwoord gereset", zegt de behulpzame dame. "Je wordt nu gevraagd om je wachtwoord te wijzigen na de eerste keer inloggen met het volgende wachtwoord (...)."

Na een welgemeend - "Bedankt!" beëindig ik het gesprek.

Nadat ik vanaf het vergrendelscherm verbinding heb gemaakt met de Wi-Fi op het vliegveld, log ik in met het tijdelijke wachtwoord dat zijn helpdeskcollega me zojuist heeft gegeven. Ik maak een willekeurig nieuw wachtwoord aan en dan ben ik binnen. Het eerste wat ik zie is het zakelijke voorstel. Ik open zijn e-mail en stuur alle gerelateerde documenten door naar een anoniem mailadres, zoals mijn opdrachtgever heeft gevraagd.

Ik kijk om me heen, nog geen teken van meneer De Wit. Mooi! Gauw stel ik een zeer ongepaste mail op en stuur die naar de zakenpartner die hij vandaag zou ontmoeten. Hierna zullen ze hem zeker niet meer mogen. Die Oogle deal kan hij op zijn buik schrijven. Dan druk ik op Windows + L om het scherm weer te vergrendelen.

Als meneer De Wit terugkomt met een stapel papieren handdoekjes, doe ik net alsof ik in mijn eigen tas naar tissues zoek... "Het spijt me zo, meneer."

Mijn opdrachtgever zal vandaag heel, heel blij zijn.

Wat ging er mis?

⭐ Laat je laptop niet onbeheerd achter, zelfs niet als hij is vergrendeld.

⭐ Wees voorzichtig met het online delen van gevoelige informatie over werk of klanten.

⭐ Zorg ervoor dat je beveiligingsbeleid voorziet in multifactorauthenticatie (MFA) voor het opnieuw instellen van wachtwoorden.

⭐ Deel online geen persoonlijk identificeerbare informatie, vooral geen gegevens die vaak worden gebruikt in vragen om je identiteit te verifiëren. Voorbeelden zijn: geboortedatum en -plaats, de meisjesnaam van de moeder, het burgerservicenummer, het rijbewijsnummer.