In de nieuwste aflevering van de PRISM-podcast duiken Rogier Verdier en Jos Terlage in de wereld van datalekken en geraffineerde hacktechnieken. Van de schrikbarend lage prijs van je e-mailadres tot de opkomst van de 'man-in-the-middle 2.0'.
Het lijkt wel het 'jaar van de hack'. Wekelijks horen we over grote organisaties waar klantgegevens op straat komen te liggen. Maar wat levert dat hackers eigenlijk op? En hoe komen ze binnen, zelfs als je braaf je tweefactorauthenticatie (MFA) hebt aanstaan?
1. Wat ben jij waard? De devaluatie van de digitale identiteit.
Wanneer we horen over een hack bij een grote provider of webshop, denken we vaak aan de enorme impact. Voor de getroffen organisatie is de schade vaak miljoenen euro's, maar op het Dark Web is de individuele prijs van een record schokkend laag.
Jos Terlage legt in de podcast uit dat een los e-mailadres vaak slechts voor een halve dollarcent van eigenaar wisselt. "Ik vind mezelf eerlijk gezegd veel meer waard dan dat," grapt hij, maar de ondertoon is serieus. Waarom is die prijs zo laag? Omdat hackers op volume spelen. Ze verkopen geen individuele adressen, maar 'bulk packs': databases met duizenden records voor een paar honderd dollar.
De complete dataset als hoofdprijs.
De waarde stijgt naarmate de informatie specifieker wordt. Een e-mailadres is slechts een ingang, maar een identiteitsbewijs, een BSN-nummer of een creditcardnummer gekoppeld aan een actueel adres? Dat is waar het grote geld zit. Voor een nummer van een paspoort wordt al snel tussen de 5 en 20 dollar betaald.
Toch waarschuwt Jos voor een vals gevoel van veiligheid bij oude data. Voor hackers is de 'houdbaarheid' van informatie cruciaal. Een e-mailadres van vijf jaar oud is weinig waard als de gebruiker inmiddels is overgestapt naar een andere provider.
2. De Anatomie van een Aanval: Wanneer MFA niet meer helpt
Het meest technische, maar ook meest alarmerende deel van het gesprek gaat over de Business Email Compromise (BEC) en de opkomst van de Adversary-in-the-Middle (AiTM) aanval. Jarenlang was het advies simpel: "Zet Multi-Factor Authentication (MFA) aan, dan ben je veilig." Hoewel MFA nog steeds essentieel is, laat de podcast zien dat professionele hackers inmiddels een 'omleiding' hebben gebouwd.
Hoe werkt Adversary-in-the-Middle?
Stel je een gesprek voor tussen twee personen in een kamer. Een 'Man-in-the-Middle' is de onzichtbare derde persoon die meeluistert. In de digitale wereld gaat dit nu een stap verder. De hacker plaatst een proxy-server tussen de gebruiker en de echte inlogpagina van bijvoorbeeld Microsoft 365.
- De Phishing-start: Het begint nog steeds bij een mailtje. "Een collega wil een bestand met je delen." De link leidt naar een pagina die er 100% identiek uitziet als het inlogscherm dat je dagelijks ziet.
- De Onderschepping: Je vult je gebruikersnaam en wachtwoord in. Deze gaan direct naar de hacker, die ze razendsnel doorstuurt naar de echte Microsoft-pagina.
- De MFA-omzeiling: Microsoft stuurt jou de legitieme MFA-code (bijvoorbeeld via de Authenticator-app). Jij vult deze in op de neppe pagina. De hacker vangt deze code op, stuurt hem door naar Microsoft en krijgt van Microsoft een 'sessietoken' terug.
- De Sessie-overname: Dit token is het digitale toegangsbewijs dat zegt: "Deze gebruiker is veilig ingelogd." De hacker steelt dit token en kan nu in jouw account, zonder dat hij jouw telefoon of app nog nodig heeft.
Het gevaarlijke hieraan? Als gebruiker merk je niets. Je komt vaak na het inloggen op een foutpagina terecht of je wordt simpelweg niet doorgeleid naar het bestand. Je denkt: "Vreemd, een storing bij Microsoft," terwijl de hacker op dat moment al je volledige mailbox aan het kopiëren is.
3. Het Doel: De 'Circle of Life' van de Hacker
Wat doet een hacker eenmaal binnen in je mailbox? Volgens Jos is de eerste stap zelden direct diefstal. Het doel is vaak netwerkuitbreiding. Vanuit jouw legitieme account worden nieuwe phishingmails gestuurd naar al jouw contactpersonen en leveranciers. Omdat de mail van een 'betrouwbare bron' komt, is de kans dat zij klikken vele malen groter. Zo verspreidt het virus zich als een olievlek, totdat de hacker een 'grote vis' te pakken heeft met toegang tot bankgegevens of gevoelige persoonsgegevens.
4. De Oplossing: Techniek en de 'Grote Schoonmaak'
Als MFA niet meer waterdicht is, wat kunnen we dan nog doen? In de podcast bieden we twee oplossingsrichtingen: technisch en organisatorisch.
De Technische 'Derde Factor'
Er zijn manieren om sessietokens onbruikbaar te maken voor hackers. Denk aan fysieke tokens zoals een YubiKey. Dit is een USB-sleuteltje dat fysiek aanwezig moet zijn om de inlog te voltooien. Ook Windows Hello (inloggen met gezichtsherkenning of een pincode die lokaal op je laptop staat) biedt een veel hogere mate van bescherming tegen AiTM-aanvallen omdat het token gekoppeld is aan de specifieke hardware van je computer.
Dataminimalisatie: Wat er niet is, kan niet worden gestolen
De belangrijkste les van deze aflevering is echter eenvoudiger: ruim op. Veel datalekken hebben een enorme impact omdat organisaties (en individuen) mailarchieven bewaren die vijftien jaar teruggaan. Jos adviseert organisaties om kritisch naar hun retentiebeleid te kijken.
"Wie heeft zijn welkomstmailtje van tien jaar geleden nog nodig?" vraagt hij zich af. In die oude mails staan vaak kopieën van paspoorten, oude facturen of contracten met BSN-nummers. Als een hacker je mailbox overneemt, heeft hij direct toegang tot al die historische data.
Tips voor een veiliger archief:
- Schoon je mailbox periodiek op: Plan 'inloopsessies' waarbij medewerkers gezamenlijk hun mailbox archiveren of verwijderen.
- Gebruik centrale opslag: Sla belangrijke documenten op in een veilig DMS (Document Management Systeem) in plaats van in je 'Postvak IN'.
- Stel automatische verwijderregels in: Laat mails na een bepaalde periode (bijvoorbeeld twee jaar) automatisch verwijderen, tenzij ze handmatig in een archiefmap zijn geplaatst.
5. De gouden tip: Blijf alert op de URL
De gouden tip voor iedere werkdag? Kijk naar de URL. Hoe echt het inlogscherm er ook uitziet, de adresbalk bovenin je browser is de enige plek waar de waarheid staat. Staat er login.microsoft.com of staat er iets dat er net even anders uitziet, zoals login.msft-verify.com? Bij de kleinste afwijking: niet inloggen en direct melden bij de IT-afdeling.
Zoals de podcast afsluit: Informatiebeveiliging is geen eenmalig project, maar een cultuur. Een cultuur waarin we durven te twijfelen, durven te melden en vooral: durven weg te gooien.
Wil je de technische details van de AiTM-aanval horen? Beluister de PRISM-podcast op onze website of via Spotify en Apple Podcasts. Heb jij een vraag voor Jos of Rogier? Neem contact op via de helpdesk op het PRISM-platform!
