Stap 3: het netwerk dieper binnendringen
“Ik heb nu toegang tot de computer van een werknemer: ik kan alle bestanden inzien, de webcam en de microfoon gebruiken. Vanuit deze computer kan ik meer systemen van het bedrijf bereiken.
Ik kan bijvoorbeeld op zoek naar een andere computer met meer rechten of belangrijkere bestanden. Om permanent toegang tot de computer te krijgen, moet ik software installeren die ik op afstand kan beheren. Ik breng het hele netwerk in kaart, zoek de zwakke plekken op en krijg zo controle over steeds meer belangrijke systemen en (beheer)accounts van werknemers.”
Onzichtbaar blijven
“Onzichtbaar blijven kost de meeste tijd. Een groter bedrijf heeft vaak een gespecialiseerde cybersecurity-afdeling, die continu op zoek is naar hackers op het netwerk. Om die bewakers te slim af te zijn, moet ik voorzichtig en bedachtzaam te werk gaan. Ik moet tien stappen vooruitdenken.
Hacken is een kat- en muisspel. Soms moet ik een week wachten voor ik verder kan, omdat ergens een antivirusscanner afgaat. Onzichtbaar een bedrijf met duizenden werknemers hacken en overnemen kost ongeveer twee à drie maanden.”
Stap 4: toegang tot de bestanden
“Door systematisch simpele en veelgebruikte wachtwoorden uit te proberen op accounts, krijg ik na verloop van tijd steeds meer rechten. Via de overgenomen accounts krijg ik toegang tot vertrouwelijke informatie van het bedrijf. Veel werknemers hebben maar een paar wachtwoorden die ze voor al hun systemen gebruiken. Daar maak ik misbruik van!”
Stap 5: bestanden extern opslaan en/of blokkeren
“De buitgemaakte informatie moet ik nu nog ‘veiligstellen’ door deze te uploaden naar mijn eigen server op het internet. Als ik verkeerde intenties zou hebben, kan ik bijvoorbeeld het hele bedrijfsnetwerk versleutelen met gijzelsoftware. Zo blokkeer ik de toegang voor de werknemers en zet ik het bedrijf op slot. Vervolgens laat ik een bericht achter. Als ze de bestanden en het interne netwerk terug willen, moeten ze eerst € 400.000,- aan bitcoins overmaken. Binnen drie dagen.”
Stap 6: ongezien wegkomen
“Mijn missie zit er bijna op. Eerst nog mijn sporen uitwissen. Ik verwijder logboeken, bestanden en uitgevoerde opdrachten om te voorkomen dat een IT’er ze later ontdekt. Voor de zekerheid zou een criminele hacker een back door installeren: een verdekt stukje software waarmee je op een later moment weer kan binnenkomen in het systeem.”
En dan… achterover leunen! “Het zit erop! De buit is binnen, de sporen zijn gewist en de permanente toegang tot het netwerk is geregeld.”
Zinvol onderzoek
Sijmen hackt alleen als hij door bedrijven zelf wordt uitgenodigd en toestemming krijgt. Hij is er om te helpen, niet om ze te chanteren. Toch is ook hij euforisch als een hack lukt. “Het moment waarop ik een beveiligingslek ontdek, voelt geweldig. Ik zie hacken als puzzelen. Ik ben vaak dagenlang op zoek naar het missende stukje.”
Zijn klanten vinden het minder leuk als hij het systeem weet binnen te dringen, maar het onderzoek is wel zinvol geweest. Nu kan Sijmen de organisatie vertellen hoe ze zich beter kan beschermen tegen cybercriminaliteit.