​Hyppönen: ‘Securitytrainingen zijn zinloos’

Social engineering is een populair instrument bij hackers. Want hoe goed je mensen ook voorbereid op een aanval, ze blijven er toch wel intuinen. Hackerjager Mikko Hyppönen ziet al ruim 25 jaar dezelfde dingen verkeerd gaan. En zelfs hij klikt weleens op de verkeerde knop.

Hyppönen is de CRO van F-Secure. Onlangs werd bekend dat het Finse bedrijf via haar Benelux-kantoor in Nieuwegein, ook de tablets en smartphones van XS4ALL-klanten gaat beveiligen. Op het hoofdkwartier van de internetprovider verzorgde Hyppönen een presentatie over cybercriminaliteit door de jaren heen, van floppy’s met de eerste ransomware tot het kraken van iPhones en slecht beveiligde IoT-apparaten.

De rode draad van zijn verhaal: de internetgebruiker is en blijft een makkelijk doelwit. Cybercriminelen hanteren al decennia dezelfde beproefde trucjes, maar dan in een ander jasje. “Everything old is new again”, zei Hyppönen, die als curator van het online Malware Museum weet waar hij over praat. “We lijken er maar niet in te slagen om deze problemen voorgoed op te lossen.”

Ransomware en macrovirussen

De topman wees erop dat ransomware van 27 jaar geleden qua werking en uiterlijk maar weinig verschilt van moderne ransomware. Dat geldt ook voor macrovirussen. Deze zitten verstopt in bijvoorbeeld Excel- en Word-bestanden. Macrovirussen verleiden de gebruiker om op een knop te klikken die de macro’s activeert (bijvoorbeeld enable editing). Ze waren in de jaren 90 goed voor een heuse macro-epidemie.

“In 1997 rekenden we af met macrovirussen, toen Microsoft macro’s in Office 97 standaard uitschakelde”, vertelde Hyppönen. “Het probleem was zo goed als opgelost, tot er vorig jaar weer een macrovirus opdook. Vandaag de dag krijg je een valse e-mail met een rekening voor iets dat je volgens de afzender hebt gekocht. Die rekening kun je alleen bekijken als je macro’s activeert.”

Klik niet op de knop

Mogelijk ben je bezorgd dat je betaalpas gestolen is of wil je gewoon weten wat er aan de hand is. Hoe dan ook, je klikt nietsvermoedend op de enable content-knop. “De les van vandaag is: klik niet op die knop”, waarschuwde de CRO. “Misschien denken jullie nu: bedankt Mikko, maar zelf zou ik nooit op die knop klikken, ik ben namelijk niet dom. Jawel, ook jij klikt op die knop.”

Stel dat je een mailtje van je baas ontvangt met een Word-document in de bijlage. Maar je krijgt het niet geopend, zogenaamd omdat je baas een nieuwe Word-versie heeft. Je ziet een melding dat het document in Word 2016 is gemaakt. Please click enable content. Maar de mail komt niet van je baas. Hij is besmet. En het document is niet in Word 2016 gemaakt. Dat is een trucje.

Gestolen iPhone

De mens is meestal de zwakste schakel in de securityketen. Dat blijkt ook uit een recent voorbeeld. De iPhone is zeer moeilijk te kraken, dankzij sterke authenticatiemethoden als biometrische beveiliging. Als je toestel wordt gestolen, kunnen de criminelen er weinig mee zonder iCloud-inloggegevens. Maar door de menselijke factor te benutten, vinden ze soms toch een ingang.

“Sommige criminelen wachten nu tot de eigenaar de simkaart blokkeert en een nieuwe simkaart aanvraagt voor hetzelfde nummer”, aldus Hyppönen. “Dan sturen ze een sms’je dat van Apple lijkt te komen. ‘Goed nieuws! Je gestolen smartphone is gevonden.’ Je klikt op een link en voert je gebruikersnaam en wachtwoord voor de iCloud in. En voilà, criminelen hebben de beveiliging van jouw iPhone en iCloud gekraakt.”

Gebruikers leren het nooit

Natuurlijk kan malware ook op je apparaat komen als gevolg van een kwetsbaarheid in applicaties of systemen. Maar minstens zo vaak maken hackers misbruik van menselijke onbedachtzaamheid. Een verkeerde klik, een zwak wachtwoord. “De technische problemen kun je oplossen door betere technologie beschikbaar te maken. Maar bij de mens is dat niet mogelijk.”

“Als er een ding is wat ik over de jaren heb geleerd, dan is het dat gebruikers het nooit zullen leren”, liet de securitygoeroe weten. “Trainingen zijn zinloos. Zoveel mensen dubbelklikken toch wel op bijlages, blijven op verdachte links klikken, voeren op bijna elke website hun wachtwoord in en zetten soms zelfs zonder na te denken hun creditcardgegevens op Twitter. Ik zeg altijd: er is geen patch tegen onoplettend gedrag.”

Perfecte security bestaat niet

Is hijzelf dan een uitzondering? “Ik heb al sinds 1990 geen malware-infectie meer opgelopen. Ik herinner het me nog goed, het was best wel gênant. Maar misschien ben ik sindsdien wel gehackt en weet ik het gewoon niet. Misschien is die hacker wel zo goed dat ik het niet heb gemerkt. Ik ben hier realistisch over. Perfecte security bestaat niet. Je weet het nooit 100 procent zeker.”

Zelfs de experts gaan dus weleens de mist in, en niet alleen Hyppönen. Als voorbeeld noemt hij een ander cybersecuritybedrijf dat vorig jaar door de Israëlische geheime dienst werd gehackt. “Zij hadden dat pas na een paar maanden in de gaten. Het illustreert dat aanvallers bijna overal inkomen wanneer ze bereid zijn om er veel tijd, geld en moeite in te steken.”

“Ik denk niet dat mijn eigen tablet gehackt is”, zei Hyppönen. “Maar toch heb ik een pleister over de webcam heen geplakt. Gewoon voor de zekerheid. Ook ik heb namelijk op de verkeerde plekken geklikt en per ongeluk data vernietigd. Iedereen maakt fouten.”

[Afbeelding © Tomasz Zajda – Fotolia]