Een jong Belgisch bedrijf is er in geslaagd om bij een Duits miljardenbedrijf 79 procent van de wachtwoorden te ontfutselen. Hun aanpak is een waarschuwing dat hacking en phishing soms op heel voor de hand liggende manieren kan gebeuren.
De phishingaanval gebeurde voor alle duidelijkheid op vraag van het slachtoffer in kwestie. Het bedrijf, met een jaarlijkse omzet van zo’n twintig miljard euro, wilde voor een interne securitybijeenkomst iets speciaals doen en schakelden daarvoor HackFridays in, een onderdeel van het Belgische Cloudoki, gespecialiseerd in applicatie-architectuur en ontwikkeling.
Stap 1: kies een domeinnaam
HackFridays registreerde een domeinnaam die makkelijk kon verward worden met die van het bedrijf in kwestie. Van daaruit werd een nagemaakte website gehost om inloggegevens te verzamelen.
“Het kostte ons zo’n zeven minuten en pakweg tien euro. Daarbij hebben we ook een Duitse VPS (virtual private server) opgezet om te voorkomen dat zaken als firewalls en andere alarmbellen zouden afgaan,” legt Bram Van Oost van HackFridays uit.
Stap 2: maak een inlogscherm na
De hackers maakten op hun server een inlogpagina die er exact uitzag als die van het bedrijf. “Hier kregen we wel hulp van binnenuit. We kregen een screenshot van hun standaard inlogpagina en die hebben we zo nauwgezet mogelijk nagebouwd.”
Stap 3: e-mails uitsturen
Om wachtwoorden te bemachtigen werden er mails uitgestuurd naar 72 personeelsleden van het bedrijf. Het bericht zelf was zogezegd een herinnering om een interne enquête in te vullen met daarin twee links in de tekst verwerkt. Eenvoudig, én met een duidelijke trigger.
Stap 4: (weinig) geduld
Werknemers die op de link klikten kregen het inlogformulier te zien. Eens ingevuld werden de gegevens automatisch bewaard in een database. Nadien kregen gebruikers een standaard foutmelding te zien waardoor het leek alsof hun inlogpoging was mislukt.
Een belangrijke nuancering daarbij is dat HackFridays de wachtwoorden zelf geëncrypteerd en salted bewaarde. Het bedrijf heeft dus zelf nooit wachtwoorden gezien. De foutmelding in kwestie toonde overigens letterlijk ‘you have been phished’ in de foutmelding.
Het resultaat van de actie mag er zijn. Op al na een half uur werden er een achttal wachtwoorden verzameld. Op 72 uur tijd verzamelde HackFridays maar liefst 57 wachtwoorden, of 79 procent van het totaal aantal personen naar wie de phishing werd uitgestuurd.
De naam van het bedrijf wordt niet prijsgegeven, maar Van Oost deelt het verhaal net omdat dergelijke aanvallen vrij makkelijk gebruikers om de tuin leiden en niet altijd vlot herkenbaar zijn. Zelfs met een minimum aan interne info trappen de meeste gebruikers in de val en kunnen hackers met slechte bedoelingen toegang krijgen tot interne systemen en bestanden, met grote gevolgen en kosten van dien.