Kwetsbaarheid e-mail enorm: pilot project gaf direct toegang bij meeste ‘targets’
Amsterdam, 24 april 2019. Afgelopen twee maanden heeft onze medeoprichter Arnoud Bruinsma van Triple-B Consultancy tijd geïnvesteerd in een eigen phishing en spoofing platform, waarmee wij inmiddels de e-mail beveiliging van zes bedrijven hebben getest. De resultaten zijn verbluffend.
Bij ieder bedrijf klikten er mensen op de zogenaamd gevaarlijke links in hun mail-box, binnen een uur beschikten wij over de wachtwoorden om vijf van de zes bedrijven over te nemen. Als wij een hacker waren geweest, hadden wij met deze informatie de bedrijven om zeep kunnen helpen. Gelukkig hebben de bedrijven ons juist gevraagd om deze test te doen om de medewerkers te leren niet in de vallen van hackers te trappen.
Onstaan van het idee voor een email spoofing tool
“Het idee voor het testplatform ontstond tijdens mijn werk. Ik doe cybercrime onderzoeken en zie dagelijks wat de schade is die hackers kunnen aanrichten“. Als een organisatie slachtoffer is geworden van cybercrime, belt ze ons. Tijdens de daarop volgende audit vragen wij wat voor incidenten op het gebied van cybercrime de organisatie is overkomen. In veel gevallen die wij hebben onderzocht, bleek de ellende te zijn begonnen met een e-mail. Omdat voorkomen beter is dan genezen, gingen wij op zoek naar een oplossing voor het probleem met de e-mails.
Korte historie van e-mail en e-mail beveiliging
De eerste e-mail stamt uit 1971. Met de komst van het internet in 1995 werd e-mail een belangrijk communicatiemiddel. Al in 1996 heeft Arnoud al ontdekt dat je het ‘from’ adres handmatig kunt invullen, er was eigenlijk geen enkele controle of de informatie van de afzender juist was. Ondanks vele beveiligingsmogelijkheden die er in 23 jaar zijn toegevoegd zijn aan e-mail, blijkt het met wat slimme trucs nu nog steeds mogelijk om identiteiten te verwisselen en mails te sturen namens een ander. Dit is precies waar hackers gebruik van maken. Om de hacker na te doen, moesten wij dus ook een systeem ontwikkelen om e-mail identiteiten te vervangen: de basis van het platform. Naast spoofing zijn er andere aspecten aan e-mail security zoals digitale handtekeningen en beveiliging van de e-mail communicatie tussen de servers. Handtekeningen worden zelden benut, beveiligde communicatie tussen mailservers en clients begint nu wel op orde te komen maar hiermee voorkom je weglekken, niet het hacken via de mail.
Uitleg van de test
Via een webinterface kunnen we de bestemming (ons doelwit), afzender, de titel en te tekst van de mails volledig naar eigen wens invullen. Bij de phishing test sturen we bijvoorbeeld een link mee in de mail. Voor de zes bedrijven die getest zijn, was het plan voor het opstellen van de testmail in enkele minuten gemaakt, uiteraard in samenwerking met de opdrachtgever binnen het bedrijf. Het enige wat verder nodig hadden, was een lijstje e-mail adressen van de werknemers. Daarna is het een kwestie van een enkele muisklik om de mail te versturen.
De resultaten
Wanneer de mail verstuurd is, duurt het vaak niet lang voordat de “dobber” ondergaat. Sommige mensen klikken op de link en komen dan op ons phishing platform. Riskant, want met een onvoldoende beschermde computer kan een hacker alleen hiermee al inbreken in een systeem. Een deel van de mensen vult hierna zelfs zijn wachtwoord in als daarnaar gevraagd wordt. We hebben de mail en de phishing site opzettelijk zo gemaakt dat je zou kunnen zien dat het een nepmail is, maar evengoed achterhalen wij dus in de meerderheid van de gevallen ook echte wachtwoorden uit de organisatiet. De test is voorlopig wel net iets ‘slimmer’ dan de hackmails die nu verstuurd worden. Je zou kunnen zeggen dat onze mails vergelijkbaar zijn met de hackermails van volgend jaar, de medewerkers leren op deze manier dus om mails van hackers te herkennen die op korte termijn zouden kunnen verschijnen.
Naast dat de eerste tests laten zien hoe makkelijk mensen in de val trappen, komen er ook nog andere bijzonderheden aan het licht. Een ezel stoot zich geen twee keer aan dezelfde steen, helaas geldt dat niet voor werknemers: iemand die nu de link aanklikte bleek dezelfde persoon die een half jaar geleden met een soortgelijke actie het hele bedrijf plat legde. Verder was het bijzonder dat met het opzetten van een scenario er twee handtekeningen onder de proefmail kwamen, terwijl wij er maar 1 hadden geplaatst; zelfs de eigen mailserver van het bedrijf dacht dat de mail van de baas was en plaatste dus zelfstandig de handtekening onder onze nepmail. Een ander leuk side-effect is dat we met dit platform heel goed de SPAM-filters kunnen testen en tunen. In plaats van af te wachten of het SPAM-filter werkt, kunnen we nu door tekstuele of andere aanpassingen meteen zien of foute mails daadwerkelijk in de SPAM terechtkomen of niet.
Dat laatste voorbeeld van de bijkomende gunstige effecten laat zien dat een fout niet alleen aan de e-mailgebruiker ligt, maar ook kan ontstaan omdat de e-mail niet goed is ingesteld. Wij besloten het testplatform dus uit te breiden met extra tools om ook instellingen van computers binnen de bedrijven te testen. Naast de phishing en spoofing tests, bezitten wij ook eigen testvirussen, macrovirussen en andere hacktools, zoals tracking images ontwikkeld die in de testmails gestopt kunnen worden. Deze virussen zijn makkelijker te detecteren door uw virsussoftware maar worden zeker niet in alle gevallen geblokkeerd. De mails zijn dus ook nog eens handig om virussoftware door te testen.
Bij de zes bedrijven zijn we na afloop met de medewerkers gaan praten over de risico’s en wat ze moeten doen met dit soort mails. Door de tijd te nemen om uit te leggen wat de gevaren zijn, weten deze mensen nu uit eigen ervaring hoe makkelijk het vervalsen van email gaat en wat zij ertegen kunnen doen.
En als de test voorbij is? Vanwege zijn CISSP accreditatie en wettelijke geheimhouding zijn uw gegevens veilig. Wij hebben van alle geteste bedrijven vooraf toestemming gekregen voor het uitvoeren van de tests en ons platform vervangt direct echte wachtwoorden door sterretjes. Dát wij de informatie als hacker zouden kunnen stelen, is voor ons te zien, maar wát die informatie precies is, blijft voor ons onzichtbaar.
Arnoud Bruinsma is CISSP / PO en medeoprichter van Triple-B Consultancy, https://www.triple-b.net Deze organisatie houdt zich bezig met cybercrime preventie, privacy vraagstukken en infrastructuren