Minister Plasterk was onaangenaam verrast toen bleek dat zijn mobiele nummer geblokkeerd was door toedoen van RTL Nieuws journalisten.

Wat ging er mis?

Vodafone had een 'gemakkelijke' manier opgenomen op haar website om een mobiel nummer te blokkeren, dit kan snel en zonder al te veel vragen over rechtmatigheid. De reactie van Vodafone geeft dit ook aan: "We wilden het zo makkelijk mogelijk maken om bij verlies je mobieltje zo snel mogelijk te blokkeren om zo te voorkomen dat dieven misbruik maken van je telefoon". Vodafone realiseerde zich niet dat hiervan ook misbruik gemaakt kon worden. Vodafone heeft de procedure voor blokkeren inmiddels aangepast en het is dus nu niet meer mogelijk een nummer te blokkeren zonder dat je een medewerker aan de lijn hebt gehad.

RTL Nieuws journalisten laten ook een terrorisme-expert aan het woord komen die aangeeft dat het voorval een ernstige bedreiging is van de nationale veiligheid is als de telefoons van ministers met een abonnement bij Vodafone zomaar door derden geblokkeerd kunnen worden.

De terrorisme-expert stelt: "communicatie is van extreem belang in crisissituaties, het is ondenkbaar dat een minister tijdelijk mobiel niet bereikbaar is, immers: bij een terreuraanslag moet hij bijvoorbeeld direct orders kunnen geven om delen van het luchtruim te sluiten of toestemming geven speciale troepen in te zetten of de minister van Financien moet bij belangrijke beslissingen in Brussel direct kunnen overleggen met de premier".

Allemaal legitiem, maar het gaat hier alleen over de impact van het voorval.

Vanuit het proces risicomanagement moeten we het naast de impact ook hebben over de kans. Immers, de impact ontstaat alleen op als de risico daadwerkelijk optreedt. En de kans in dit geval erg klein. Wellicht zelfs verwaarloosbaar. Dus wellicht een hoop stampij om een voorval dat wellicht nooit zou optreden in het wild.

Het blijft goed dat de RTL Nieuws journalisten Vodafone ingelicht hebben, wellicht was het goed geweest om eerst Vodafone in te lichten, maar dat even terzijde. Een journalist die een responsible disclosure doet, die ben ik nog nog niet tegengekomen.

De terrorisme-expert geeft daarnaast ook aan dat de impact voor burgers ook een groot probleem kan zijn. Hij stelt: "Stel je voor dat een stalker of iemand die je een keer wil pesten het doet. Dan kan je zo maar keer op keer worden geconfronteerd met een geblokkeerde telefoon". Dit is deels stemmingmakerij. De stalker moet dan weten dat jij een abonnement hebt bij Vodafone, de andere telecom providers kennen immers een andere manier van blokkeren.

Eerder kwam de dienstverlening van Vodafone al in het gedrang toen bleek dat de voicemail box op afstand was af te luisteren door niet geautoriseerde. Dit werd eerst afgewimpeld met als belangrijkste reden dat het standaard dienstverlening was. Toen bleek dat de voicemail box van  Kamerleden en de minister van Buitenlandse Zaken afgeluisterd werden werd het meteen aangepast. Er werd door journalisten wel een verzoek voor het openbaren van documenten aangaande deze kwestie. De reactie in het kader van de Wet Openbaarheid Bestuur staat op Rijksoverheid.nl.

SP Kamerlid R. van Raak stelt dat de overheid het contract met Vodafone maar moet beëindigen, maar dat is is niet zo gemakkelijk. Immers: het contract met Vodafone is het resultaat van een Europese aanbesteding. Als je dan vroegtijdig contractbreuk pleegt zal Vodafone het verlies claimen bij de overheid. Het ontbinden van het contract gaat immers over een aspect van de dienstverlening (het blokkeren op afstand) dat geen onderdeel was het pakket van eisen van de Europese aanbesteding. Daarnaast moet er een nieuwe provider geselecteerd worden (traject van 6-10 maanden) en je hebt zomaar kans dat de nummer 2 van de vorige Europese aanbesteding (dat was KPN geloof ik zo) een rechtszaak gaat aanspannen tegen de overheid wegens gunning onder verkeerde voorwaarden. Lijkt mij een interessante casus.

SP Kamerlid R. van Raak stelt bovendien "politici voeren vaak gevoelige gesprekken met burgers, of vertrouwelijke gesprekken met collega’s. Het is onbegrijpelijk dat journalisten zo gemakkelijk toegang hebben tot onze telefoons, of die met één telefoontje kunnen blokkeren". En dat is een verkeerde interpretatie van de regels. De reguliere telefoons zijn per definitie NIET geschikt voor het voeren van vertrouwelijke gesprekken, deze gesprekken gaan immers 'gewoon door de lucht' en kunnen afgeluisterd worden. Om vertrouwelijke gesprekken te voeren zijn er (beter) beveiligde telefoons op de markt zoals de Tiger XS, CompuGSM of de SecuVoice.

Los daarvan: het is nu wachten op de volgende blunder van Vodafone.

Wat zijn phishing en social engineering aanvallen?

Phishing gebeurt zowel per telefoon als per e-mail. Hierbij doet de crimineel zich voor als betrouwbare instantie. Zo kunt u een e-mail krijgen die van uw bank afkomstig lijkt, met het verzoek om voor controle persoonlijke gegevens, zoals uw naam, adres, telefoonnummer, rekeningnummers en beveiligingscodes in te voeren op een website. In sommige gevallen kan de crimineel hiermee al misbruik maken van uw rekening. Ook kan u worden gevraagd een telefoonnummer te bellen, omdat anders uw rekening geblokkeerd wordt. In andere gevallen kan de crimineel met de verkregen informatie u later bellen en zich voordoen als bankmedewerker. Hij of zij vraagt dan bijvoorbeeld om uw beveiligingscodes, omdat er problemen zouden zijn met uw rekening en de medewerker wil controleren of alles in orde is.

Bij Social Engineering proberen criminelen vertrouwelijke informatie van u te verkrijgen. Zij proberen u een bepaalde handeling te laten verrichten, zoals het afgeven van persoonlijke gegevens (phishing), beveiligingscodes of creditcardgegevens of het installeren van malware.

In mijn whitepaper 'hacking revealed' heb ik ook het aspect social engineering beschreven. Social engineering is eerder een psychologische aanvalsvector dan een technische. Het is de mensgerichte manier van inbreken in bedrijfs- en persoonlijke computers om zo informatie te verkrijgen. Social engineering is een methode om de zwakste schakel (namelijk de mens) te verleiden iets te doen of om gevoelige informatie af te staan zonder dat dat nodig of noodzakelijk is. Waar hacken vooral steunt op technische vaardigheden, steunt social engineering vooral op de techniek van het overtuigen: de social engineer probeert zijn slachtoffer over te halen informatie te geven waarmee hij kan inbreken in het systeem. In de meeste gevallen gebeurt dat niet face-to-face. Ze kennen elkaar niet. Social engineering maakt gebruik van het menselijke besluitvormingsproces dat bekend staat als ‘redeneerfout of denkfout’.

Maar wat kunt u er tegen doen?

Maatregelen tegen phishing:

1. wees u ervan bewust dat criminelen op uw gegevens uit kunnen zijn;
2. wees altijd heel kritisch voor u (persoonlijke) gegevens afgeeft;
3. bedenk dat uw bank u nooit zal vragen om beveiligingscodes;
4. maak gebruik van een spamfilter en verwijder verdachte e-mails direct;
5. heeft u onverhoopt toch persoonlijke gegevens afgegeven? meld dit dan direct bij uw bank.

Herkennen van phishing:

1. een niet verwachte e-mail van uw eigen of andere bank, waarin u wordt gevraagd naar beveiligingscodes en/of persoonlijke gegevens;
2. taalkundig slecht geschreven e-mails;
3. de e-mail is niet aan u persoonlijk gericht;
4. in de e-mail vraagt de beveiligingsafdeling van uw bank u iets te doen;
5. er wordt gedreigd met gevolgen als u niet direct reageert;
6. u wordt gevraagd op een link te klikken of te beantwoorden met persoonlijke gegevens;
7. in plaats van mailtjes met tekst, versturen de internetcriminelen de phishingmails vaak met plaatjes met tekst. Dit wordt gedaan om spamfilters te omzeilen;
8. uw bank stuurt u hoogst zelden mails voorzien van bijlagen. Ontvangt u dan ook een mail met bijlagen zogenaamd van uw bank, open deze dan niet en zeker geen bijlagen met de extensie '.exe'.
   
9. kijk naar de afzender van de mail (bovenin de mail). Staat er na '@' wel de juiste naam van uw bank, dus de naam van de site waar u altijd op inlogt? Dus bijvoorbeeld abnamro.nl, rabobank.nl of ing.nl? Nee, gooi deze mail dan direct weg.

Herkennen van social engineering:

Social engineers gebruiken verschillende technieken, een overzicht:

1. Pre-texting: een vals scenario creëren waar een beoogd slachtoffer zich in kan vinden en zich comfortabel genoeg voelt om informatie te geven. Deze techniek behelst meer dan simpel liegen. In sommige gevallen is een gezaghebbende en eerlijk klinkende stem voldoende, maar meestal doet de social engineer zich voor als een bekende (iemand die het slachtoffer vertrouwd) zodat men denkt dat het OK is om de gevraagde informatie te geven;
2. Diversion theft: het doel hiervan is om goederen om te leiden naar een andere locatie. De social engineer haalt de beheerder of het transportpersoneel over om de chauffeur te instrueren de goederen naar een ander adres te transporteren;
3. Phishing: een populaire frauduleuze e-mailtechniek met als doel persoonlijke informatie te verkrijgen. Een e-mail wordt verzonden van wat lijkt een betrouwbare organisatie te zijn en het bericht bevalt meestal een soort waarschuwing dat het consequenties heeft als de ontvanger zijn gegevens niet afstaat. Phishing gaat soms ook samen met websites die lijken op de website van een legitieme organisatie, maar dat niet zijn, om slachtoffers te overtuigen dat het OK is om financiële of persoonlijke details af te verschaffen;
4. IVR of phone phishing: het idee is hetzelfde als bij phishing maar in dit geval worden beoogde slachtoffers gevraagd, via een e-mail of brief van een gefungeerde autoriteit, om hen terug te bellen. Deze methode van phishing wordt ook wel ‘vishing’ genoemd;
5. Baiting: een techniek zoals die van het ‘echte’ Trojaanse Paard die fysieke apparaten (opslagmedia) gebruikt en die gokt op de nieuwsgierigheid en hebzucht van het slachtoffer. De social engineer laat een media-apparaat, zoals een USB-stick of CD-rom met een legitiem uitziende label dat de nieuwsgierigheid wekt, achter op een plek waar het zeker gevonden. Doel is dat de vinder het apparaat gaat inlezen. Doet hij dat, dan wordt er malware geïnstalleerd waarmee de social engineer volledig toegang heeft tot de PC of het interne netwerk van het slachtoffer;
6. Quid pro quo: ofwel: “ik geef wat, jij geeft wat”. De social engineer biedt zijn beoogde slachtoffer iets aan (geld, cadeau) in ruil voor wachtwoorden of andere persoonlijke informatie.
   

Voorbeelden van social engineering:

1. u wordt gevraagd persoonlijke informatie af te geven, zoals beveiligingscodes, inlog-gegevens, BSN-nummer, kopie van een identiteitsbewijs;
2. als een aanbiedingen te mooi is om waar te zijn dan is dat meestal een reden om alert te zijn;
   
3. er gaat iets mis tijdens het surfen en er verschijnt direct een pop-up om u uit de brand te helpen;
4. een e-mail van een bekende u vreemd voorkomt.
5. u e-mail krijgt van een afzender die u niet kent.
6. er via internet persoonlijke gegevens aan u worden gevraagd.
7. u wordt tijdens een chatsessie gevraagd met iDEAL of met internetbankieren te betalen voor bijvoorbeeld een filmpje of foto's.

Waarom zijn er phishing en social engineering aanvallen?

Phishing en social engineering aanvallen zijn een lucratief businessmodel voor cybercriminelen. Recent werd in Nederland een bende opgepakt en voor de rechter gebracht. In korte tijd hebben zij 0,5m€ buit gemaakt. De Officier van Justitie eist voor hoofdverdachte Furgel R. (34) uit Diemen 4 jaar straf, voor zijn  partner Virgina E. (34) uit Amsterdam 3 jaar cel en voor medeverdachte Ricardo G. (25) uit Den Helder moet 18 maanden zitten.

De slachtoffers in deze zaak.
De Bridgeclub Essenburg die 13.000 euro kwijtraakte. De Bond voor Ouderen in Drunen die 27 mille afhandig werd gemaakt en het Rode Kruis in Soest dat bijna ruim 7000 euro kwijtraakte. Zomaar een greep uit de lijst met slachtoffers van de phishingorganisatie waarvan de kopstukken deze dagen terechtstaan.  In totaal werden zo'n 100 verenigingen en stichtingen benadeeld en in totaal heeft de organisatie volgens het OM 1,4 miljoen euro van de ene naar de andere rekening verplaatst. Daarvan is uiteindelijk ongeveer 0,5 miljoen euro daadwerkelijk buitgemaakt. De overige transacties konden door de banken, die zeker in de periode van het onderzoek intensief optrokken met de politie, worden tegengehouden.

De hoofdverdachte Furgel R. beroept zich in deze zaak op zijn zwijgrecht, en dat is wel een beetje flauw, of zeker vreemd als je van een 'gewiekste babbeltruc' feitelijk je (criminele) beroep gemaakt hebt. Praten is daarbij een elementaire vaardigheid.

Achtergronden
In Nederland zien we momenteel dat cybercriminelen de migratie naar IBAN-rekeningnummers en het nieuwe Europese betaalsysteem SEPA aangrijpen om phishingaanvallen uit te voeren. De Nederlandsche Bank heeft inmiddels al meer dan dertig phishingsites laten blokkeren waar de migratie werd aangegrepen om gegevens te ontfutselen.  De phishingsites stelden dat slachtoffers hun rekeningnummers aan IBAN konden aanpassen. Een andere phishingmail liet ontvangers weten dat ze een gratis IBAN-betaalpas konden aanvragen. De e-mail waarschuwde dat er extra kosten in rekening zouden worden gebracht als de pas later werd besteld.

U bent gewaarschuwd!

Toch ook goed nieuws. Door de verbeterde samenwerking tussen de banken, het openbaar ministerie, politie en de hostingprovidors in Nederland vonden er in de eerste helft van 2013 maar 443 unieke phishingaanvallen plaats, waarbij 375 unieke domeinnamen werden gebruikt. 31 .NL domeinnamen werden door de phishers zelf geregistreerd. Nederlandse phishingsites zijn gemiddeld 35 minuten online voordat ze uit de lucht worden gehaald.

Kijk hier voor de modus operandi van cybercriminelen en hackers of lees eens mijn andere Blogs.