*Martijn is ethisch hacker bij Tosch Security. Al zijn hacks voert hij uit in het belang van klanten en bedrijven. Hij maakt nooit misbruik van de informatie die hij ontdekt, maar voert zijn werkzaamheden enkel uit om beveiligingslekken bij bedrijven aan te tonen. Zijn dagboekblog houdt hij bij om u bewust te maken van de werkwijze van kwaadwillende hackers.
Maandag 1 mei 2017
Een mooi project om de week te beginnen: een echte phishing campagne om wachtwoorden van een bedrijf te achterhalen. Ik heb van het bedrijf Portaflex* uit de buurt het interne inlogportal nagebootst en geplaatst op inlog.portaflexx.nl. Dit verschilt slechts één letter van hun eigen inlog.portaflex.nl, dus de kans dat ze dit doorhebben als ze doorgelinkt worden is erg klein. En behalve dit ene lettertje is er niets waaruit ze kunnen afleiden dat het nep is. Voor de zekerheid heb ik ook nog een SSL certificaat toegevoegd, zodat mijn website bestempeld wordt als “veilig”. Mooier kan het bijna niet!
Dinsdag 2 mei 2017
Vandaag was het zaak om mensen te laten inloggen op mijn inlogportal, want dan heb ik direct hun wachtwoorden in handen. Ik heb een mail gestuurd vanuit het e-mailadres van hun ICT manager. Hierin stond het verzoek om deel te nemen aan een enquête over hun wachtwoordenbeleid via het inlogportal. Linkje naar mijn site toegevoegd en klaar. Nu is het een kwestie van afwachten!
Woensdag 3 mei 2017
Ja hoor, het loopt als een speer. Al 30% van de medewerkers heeft ingelogd in mijn portaal en de enquête ingevuld. Ze hebben beantwoord of ze sterke wachtwoorden gebruiken, of ze deze voor meer accounts gebruiken en zo ja voor welke. Ik heb nu toegang tot bedrijfsapplicaties, administratiesystemen, persoonlijke e-mail, social media accounts en ga zo maar door. En het mooie is, ze hebben het niet eens door want ik heb ze gevraagd om het er niet over te hebben onderling! Nu hebben ze geluk dat ik een ethisch hacker ben, anders had ik het bedrijf vanaf dit punt helemaal plat kunnen leggen…
Donderdag 4 mei 2017
Tijd voor een nieuw project! Ik heb een vrouw ontmoet en ik ga proberen toegang krijgen tot haar bankgegevens. Op haar Twitter account zag ik een foto van een hamburger van McDonald’s. Het was via GPS gegevens gemakkelijk te achterhalen waar deze foto gemaakt was: Amersfoort. Ze werkt als freelancer en haar rekeningnummer stond gewoon op haar website, dus de naam van haar bank was zo achterhaald. Ik heb het contactnummer van de bank overgenomen en haar vanuit daar een smsje gestuurd met daarin: Beste Ingrid. Je hebt zojuist gepind bij McDonald’s Amersfoort, maar het lijkt erop dat je bent geskimd. Bel direct naar dit nummer om je gegevens te verifiëren, anders blokkeren wij uit voorzorg je rekening. Met vriendelijke groet, ING Nederland. Als zij mij gaat bellen kan ik haar vragen wat ik wil en de kans is zeer groot dat ze eerlijk antwoord geeft. De informatie klopt immers, dus ze heeft geen reden om eraan te twijfelen.
Vrijdag 5 mei 2017
Ook dit is weer gelukt! Ingrid belde me bijna direct op en gaf me alles informatie waar ik om vroeg. Haar rekeningnummer, pincode en saldo van de rekening. Alles zodat ik maar niet haar rekening blokkeerde. Ze moest eens weten.. Als ik een kwaadwillende hacker was geweest, dan had ik nu haar rekening kunnen plunderen. Oh en nog een mooiere afsluiter van de week: op de phishingmailing heeft inmiddels al 60% gereageerd en de “enquêtes” stromen nog steeds binnen!
*Portaflex is een fictief bedrijf