Misschien is het jou ook wel eens overkomen: je houdt het toegangspoortje open voor die aardige meneer of mevrouw achter je. Bijzonder beleefd, maar niet erg verstandig. Want security staat of valt uiteindelijk met het gedrag van de werknemers.
Door Peter Passenier / Foto: Shutterstock
Jaren geleden was ethical hacker Wouter Slotboom te gast op een beurs, en voor die gelegenheid had hij zelf posters gemaakt. ‘Welkom op deze beurs!’ stond daar op, en daaronder: ‘Download nu de app’. Dat werkte: mensen scanden in groten getale de QR-code, en ze werden naar die app gelinkt. Die zag er legitiem uit, maar vroeg dezelfde rechten als WhatsApp. ‘Dus ik had de volledige controle over de telefoon van die bezoekers’, vertelt Slotboom. ‘Ik kon hun contactpersonen lezen, foto’s zien, de microfoon aanzetten, enzovoort. Ik ga de naam van dat festival niet noemen, maar het was een technologiebeurs.’
De systemen zijn in orde, maar de achilleshiel bij hacking zit vaak in het menselijk gedrag
Nee, die bezoekers hebben niets te vrezen, want Slotboom is een ethical hacker. In opdracht van organisaties gaat hij op zoek naar lekken in de security en de toegangscontrole. En steeds vaker leidt dat tot dezelfde conclusie: de systemen zijn in orde, maar de achilleshiel zit in het menselijk gedrag.
Dat blijkt bijvoorbeeld als hij, alweer in opdracht van een directie, op zoek gaat naar bedrijfsgeheimen. ‘Dat kan ik op een aantal manieren aanpakken. De eerste stap is bijvoorbeeld een algemene oriëntatie: welke systemen gebruiken ze daar? En die informatie is vrij makkelijk naar boven te krijgen. Je kijkt namelijk gewoon naar de vacatureteksten. Als ze op zoek zijn naar een bepaalde software-engineer die verstand heeft van product X, dan is dat waarschijnlijk de software waar je naar op zoek bent.’
Social engineering
Vervolgens gaat Slotboom op de creatieve toer: hij maakt gebruik van social engineering. ‘Ik maak een fake-Facebook-profiel aan, en daar zet ik in dat ik bij het bedrijf werk, bijvoorbeeld als stagiair. En nee, daar zet ik niet mijn profielfoto bij, maar die van een goed uitziende dame, midden twintig. En vervolgens stuur ik een uitnodiging om een connectie te maken naar een paar vrijgezelle mannen die bij het bedrijf werken. De timing is daarbij cruciaal: ik doe dat op vrijdagavond om zeven uur, wanneer die mannen net thuiskomen van de vrijdagmiddagborrel. Je begrijpt: dan heb ik zo tien nieuwe vrienden.’
> LEES OOK: Vergroot risico op cyberaanvallen: meeste werknemers onvoorbereid
Vertrouwelijke informatie
En dan komt de volgende stap. ‘Vervolgens stuur ik dan zo’n connectieverzoek naar hun vrouwelijke collega’s. Die zien dat ik al tien vrienden van hun bedrijf heb, dus dat wekt geen wantrouwen. En als ik zo’n dertig connecties binnen het bedrijf heb opgebouwd, kom ik ook zonder problemen binnen in besloten Facebook-groepen, waar mensen chatten over alles, ook over vertrouwelijke bedrijfsinformatie.’
Dit is niet de enige truc in Slotbooms repertoire, want bij sommige hacks wil hij echt fysiek bij een bedrijf naar binnen, zonder dat hij een afspraak heeft. ‘Op een moment dat Nederland is ingesneeuwd, laat PostNL hoogstwaarschijnlijk verstek gaan. Dus als ik op Marktplaats een PostNL-hesje bestel, en daarmee langskom, vinden ze dat een enorme meevaller. Dan gaat het hekje voor mij onmiddellijk open. Wat ook helpt is zo’n warmhoudtas van Domino’s Pizza: dat opent ook alle deuren. En is het voor pizza nog een beetje vroeg, dan trek ik een geel hesje aan en neem ik een ladder mee. Er is altijd wel iets dat gerepareerd moet worden, dus die dame aan de balie gaat me echt niet tegenhouden. De beste vermomming? Als Sinterklaas kom je echt overal binnen. Bijkomend voordeel: je vermomt al je handlangers als Zwarte Piet.’
> LEES OOK: Cybersecuritybeeld 2025: Dreiging groeit, digitale weerbaarheid cruciaal
USB-sticks
En soms kan Slotboom zijn vermommingen thuis laten, want hij heeft nog een troef achter de hand: USB-sticks strooien. ‘Dat strooien bedoel ik letterlijk: ik gooi gewoon een handjevol van die sticks op een parkeerplaats. Wat gebeurt er als mensen die vinden? Dan gaan ze ervan uit dat een collega die per ongeluk heeft laten vallen. Dus rapen ze zo’n ding op, en zodra ze achter hun computer zitten, sluiten ze hem aan. Dat is alles wat de malware nodig heeft om zich te verspreiden.’
En wat als een bedrijf daar maatregelen tegen heeft genomen? Bijvoorbeeld door een goede compartimentering aan te brengen in het netwerk? ‘Dan strooi ik dezelfde USB-sticks om een uur of zes ’s avonds. Dan nemen diezelfde medewerkers ze mee naar huis en gaan ze ze daar bekijken. Het grote voordeel: dat netwerk is vaak een stuk minder goed beveiligd.’
De meeste hackers schieten met hagel
Schieten met hagel
Hiervoor hadden we het over gerichte aanvallen, maar volgens Slotboom zijn die in de minderheid. ‘De meeste hackers schieten met hagel. Die scannen een paar miljoen systemen die online staan, en kijken met allerlei algoritmes of ze daar kwetsbaarheden kunnen vinden. En als ze dan binnen zijn en ze zien dat er heel veel data is opgeslagen, dan doen ze verder onderzoek. Welke organisatie is dit?
Wat is hun impact? En hoeveel geld komt daar binnen? En aan de hand daarvan bepalen ze hun losgeld: ‘Je systeem is gehackt, en je krijgt je gegevens alleen terug als je een miljoen betaalt in bitcoins.’ Maar let op: ook hier speelt menselijk gedrag een rol, want vaak maken dit soort hackers gebruik van phishingmails. En dus is het belangrijk dat je medewerkers leert hoe ze die kunnen herkennen.’
Fundamentele cultuurverandering
Bewustwording bij de medewerkers: het is een rode draad in Slotbooms betoog. Niet zomaar op links klikken, niet onmiddellijk een QR-code scannen, en niet zomaar het poortje opendoen voor Sinterklaas, ook al hebben de pieten voor iedereen een pakje. Maar volgens Slotboom is dat niet alles. ‘Wat je nodig hebt is een fundamentele cultuurverandering. Als ik ergens ben binnengedrongen, is er vaak niemand die vraagt wie ik ben en wat ik kom doen. Logisch, want misschien ben ik wel een hoge ceo en wil ik niet worden lastiggevallen. En het laatste wat zo’n medewerker wil, is dat die dadelijk door z’n eigen directie op het matje wordt geroepen.’
Belonen
Maar daar zit volgens Slotboom het probleem: je moet zulk gedrag juist belonen. ‘Weet je wat ik graag zou willen? Ik snuffel rond in zo’n bedrijf, er komt iemand naar me toe die vraagt wat ik precies kom doen. Wat ik dan doe? Ik trek onmiddellijk een paar cadeaubonnen uit mijn zak. Als beloning. Want security, dat is een zaak van al je medewerkers. Als je die goed instrueert, zijn ze vaak meer waard dan een hoog geavanceerd toegangscontrolesysteem.’
Volg Security Management op LinkedIn
