Interview voor Cybercrime Campagne namens Nationale-Nederlanden (2020)

Zo gaat een hacker te werk

Voor een Cybercrime Campagne van Nationale-Nederlanden maakte Beklijf verschillende achtergrondverhalen, waaronder dit interview met ethisch hacker Sijmen Ruwhof.

Of je nu een multinational of mkb’er bent: het is belangrijk je onderneming te beschermen tegen cybercrime. Met een paar trucjes kunnen hackers een hoop schade aanrichten. Ethisch hacker Sijmen Ruwhof (34) vertelt hoe hackers je bedrijf in 6 stappen kunnen ontregelen.

Sijmen Ruwhof hackt binnen de kaders van de wet en heeft een positief doel: cybercriminaliteit tegengaan. In opdracht van bedrijven en overheidsinstanties spoort hij fouten en veiligheidslekken in hun systemen en netwerken op. Zo helpt hij ze hun digitale beveiliging te verbeteren.

Duizenden bedrijven tegelijk aanvallen

“De meeste criminele hackers richten zich niet specifiek op één bedrijf”, legt Sijmen uit. “Integendeel: ze willen met zo min mogelijk werk zo veel mogelijk bedrijven aanvallen.” Daarom doen ze aan geautomatiseerd hacken. Ze installeren programma’s of software waarmee ze in één keer duizenden bedrijven aanvallen.

Dit zijn de zes stappen van een mogelijk hackproces:

Stap 1: het bedrijf verkennen

“Stel dat ik één bedrijf wil hacken. Dan begin ik met de verkenning. Ik bestudeer de website. Hoeveel mensen werken er? Wat is het fysieke adres? Het KvK-nummer? En wat staat er in de (ICT-)vacatures?”

Werknemers opzoeken

“Via LinkedIn zoek ik werknemers op. Sommige mensen noemen daar ook hun geboortedatum. Handig! Ik probeer zo veel mogelijk waardevolle informatie te verzamelen: persoonsgegevens, e-mailadressen, telefoonnummers en domeinnamen van websites. Zo breng ik het aanvalsoppervlak in kaart. En wie weet helpt deze informatie me later bij het kraken van wachtwoorden van gebruikersaccounts.”

Beveiliging checken

“Als ervaren hacker heb ik honderden verschillende trucjes om je computer binnen te komen. Meestal probeer ik meerdere manieren tegelijkertijd, om mijn kansen te vergroten.

Ik check bijvoorbeeld ook de digitale beveiliging van de internetservers. Via de paginabron van de website bekijk ik welk contentmanagementsysteem het bedrijf gebruikt. Zo kan ik controleren of de laatste software-updates gedownload zijn. Zo niet, dan heb ik al een mogelijk beveiligingslek te pakken. Langzaamaan kom ik erachter hoe goed dit bedrijf beveiligd is. En hoe voorzichtig ik dus te werk moet gaan.”

Stap 2: het netwerk binnendringen

“Inmiddels heb ik persoonsgegevens van een aantal werknemers bemachtigd. Ik kan hen nu bijvoorbeeld een phishing mail of sms sturen: een vals berichtje dat van een betrouwbare afzender lijkt te komen. Deze methode heet social engineering: ik ga op zoek naar de zwakste schakel binnen het bedrijf. Dat zijn vaak de werknemers.”

Phishing mail

“Ik schrijf een persoonlijk bericht over een actueel onderwerp, zoals corona. Ik verander de afzender en maak de mail zo op dat hij afkomstig lijkt van MijnOverheid. Vervolgens voeg ik een PDF-bestand met de nieuwe coronarichtlijnen toe als bijlage. Ik zorg dat de timing klopt, bijvoorbeeld net na een persconferentie. Zo leid ik goedgelovige werknemers om de tuin.

Met een stukje code plak ik een zogeheten ‘exploit’ in het PDF-bestand. Dat is een klein computerprogramma dat misbruik maakt van niet bijgewerkte PDF-lezers. Wanneer een werknemer het PDF-bestand opent, komt de computer onder mijn controle te staan.”

Wifi-netwerk kraken

“Om zo onzichtbaar mogelijk te blijven, gebruiken hackers vaak niet hun eigen internetverbinding, maar een openbaar wifi-netwerk. Of ze routeren het internetverkeer eerst via een aantal andere internetverbindingen. Zo weet niemand precies wie de mail verstuurd heeft. Niet veel later is het zover. Iemand heeft de PDF geopend. Ik ben binnen!”

Een bedrijf met duizenden werknemers hacken kost twee à drie maanden

Stap 3: het netwerk dieper binnendringen

“Ik heb nu toegang tot de computer van een werknemer: ik kan alle bestanden inzien, de webcam en de microfoon gebruiken. Vanuit deze computer kan ik meer systemen van het bedrijf bereiken.

Ik kan bijvoorbeeld op zoek naar een andere computer met meer rechten of belangrijkere bestanden. Om permanent toegang tot de computer te krijgen, moet ik software installeren die ik op afstand kan beheren. Ik breng het hele netwerk in kaart, zoek de zwakke plekken op en krijg zo controle over steeds meer belangrijke systemen en (beheer)accounts van werknemers.”

Onzichtbaar blijven

“Onzichtbaar blijven kost de meeste tijd. Een groter bedrijf heeft vaak een gespecialiseerde cybersecurity-afdeling, die continu op zoek is naar hackers op het netwerk. Om die bewakers te slim af te zijn, moet ik voorzichtig en bedachtzaam te werk gaan. Ik moet tien stappen vooruitdenken.

Hacken is een kat- en muisspel. Soms moet ik een week wachten voor ik verder kan, omdat ergens een antivirusscanner afgaat. Onzichtbaar een bedrijf met duizenden werknemers hacken en overnemen kost ongeveer twee à drie maanden.”

Stap 4: toegang tot de bestanden

“Door systematisch simpele en veelgebruikte wachtwoorden uit te proberen op accounts, krijg ik na verloop van tijd steeds meer rechten. Via de overgenomen accounts krijg ik toegang tot vertrouwelijke informatie van het bedrijf. Veel werknemers hebben maar een paar wachtwoorden die ze voor al hun systemen gebruiken. Daar maak ik misbruik van!”

Stap 5: bestanden extern opslaan en/of blokkeren

“De buitgemaakte informatie moet ik nu nog ‘veiligstellen’ door deze te uploaden naar mijn eigen server op het internet. Als ik verkeerde intenties zou hebben, kan ik bijvoorbeeld het hele bedrijfsnetwerk versleutelen met gijzelsoftware. Zo blokkeer ik de toegang voor de werknemers en zet ik het bedrijf op slot. Vervolgens laat ik een bericht achter. Als ze de bestanden en het interne netwerk terug willen, moeten ze eerst € 400.000,- aan bitcoins overmaken. Binnen drie dagen.”

Stap 6: ongezien wegkomen

“Mijn missie zit er bijna op. Eerst nog mijn sporen uitwissen. Ik verwijder logboeken, bestanden en uitgevoerde opdrachten om te voorkomen dat een IT’er ze later ontdekt. Voor de zekerheid zou een criminele hacker een back door installeren: een verdekt stukje software waarmee je op een later moment weer kan binnenkomen in het systeem.”

En dan… achterover leunen! “Het zit erop! De buit is binnen, de sporen zijn gewist en de permanente toegang tot het netwerk is geregeld.”

Zinvol onderzoek

Sijmen hackt alleen als hij door bedrijven zelf wordt uitgenodigd en toestemming krijgt. Hij is er om te helpen, niet om ze te chanteren. Toch is ook hij euforisch als een hack lukt. “Het moment waarop ik een beveiligingslek ontdek, voelt geweldig. Ik zie hacken als puzzelen. Ik ben vaak dagenlang op zoek naar het missende stukje.”

Zijn klanten vinden het minder leuk als hij het systeem weet binnen te dringen, maar het onderzoek is wel zinvol geweest. Nu kan Sijmen de organisatie vertellen hoe ze zich beter kan beschermen tegen cybercriminaliteit.

Overige Beklijvers

Ondernemer Jack werd gehackt

Interview voor Cybercrime Campagne namens Nationale-Nederlanden (2020)

Zo helpt sociaal werker Simone jongeren op weg

Serie interviews met vier Sociaal Werkers van het Jaar, namens de Nationale ombudsman (2020)
Simone Duin is Sociaal Werker van het Jaar

Veiligheid voorop, duurzaam waar het kan

Projectcasus over de duurzame nieuwbouw van het Amphia Ziekenhuis, namens TNO (2020)
Beschrijving projectcasus duurzame nieuwbouw Amphia Breda

Ondernemersvertrouwen in tijden van corona

De belangrijkste conclusies uit de MKB Coronamonitor, namens Nationale-Nederlanden (2020)

Zó houdt ondernemer Geert grip op zijn financiën

Zó doen zij dat: interviews over hoe ondernemers hun financiën regelen, namens Nationale-Nederlanden (2020)
Blogserie namens Nationale-Nederlanden over ondernemers en hun financiën.

Sporten op de werkvloer

Interview met Carlijn over haar verbeterinitiatief, namens TalentCare (2020)
Whitepaper

Het effect van online contentmarketing

Wat levert het nu eigenlijk op?
Vroeg of laat krijgt iedereen die zich bezighoudt met contentmarketing deze vraag op zich afgevuurd. Hoe overtuigend te beantwoorden? Lees dit stappenplan en ga aan de slag met het meten van je content.