De receptioniste had hem nog nooit gezien. Zijn naambordje toonde het logo van het onderhoudsbedrijf dat hier wel vaker kwam. En hij had een afspraak met collega x. Maar ja, die was op vakantie.

Of hij toch even in de serverruimte mocht kijken. ’t Zou maar vijf minuten duren. Anders was hij dat hele eind voor niets gekomen. Hij zag er betrouwbaar uit. Dus wees ze hem de weg.

Eenmaal binnen ging het snel. Het kostte de ‘monteur’ nauwelijks moeite om toegang te krijgen tot de server. Via zijn laptop plaatste hij een programmaatje waarmee hij het netwerk op afstand kon overnemen. Dan kon hij thuis op zoek naar waar het hem echt om begonnen was: wachtwoorden, e-mailadressen, creditcardgegevens… Nog voordat de receptioniste argwaan begon te krijgen, was hij weer weg.

Fictie? Absoluut niet, zegt security consultant Rudy Baving van het Veenendaalse trainingsinstituut TSTC. In opdracht van bedrijven voerde hij zelf verschillende malen zogenaamde ”penetration tests” (gesimuleerde aanvallen, PA) uit. „Het is verbazingwekkend hoe makkelijk je ergens binnenkomt. Omdat het zo brutaal is, valt het niet op. Pas als je je stiekem gaat gedragen, loop je in de kijker.”

Toegegeven, de meeste hackers komen niet achter hun computer vandaan. Maar het scenario geeft haarscherp aan wat de zwakste schakel is bij veel bedrijven: de mens. En ook met minder brutale technieken weten hackers keer op keer te profiteren van onoplettend­heid bij hun slacht­offers.

Volgens Baving is 80 procent van de bedrijven onvoldoende opgewassen tegen digitale inbrekers. „En hun it’ers zijn echt niet allemaal domme jongens. Beveiliging is voor het oog goed geregeld: dure firewalls, geavanceerde antivirusprogramma’s. De ”script­kiddies” (veelal pubers zonder diepgaande technische kennis, PA) van hackers­groepen als Anonymous en LulzSec denken echter op een heel ander niveau dan de mensen die verantwoordelijk zijn voor beveiliging. Ze maken gebruik van simpele hiaten.”

Boven aan de top tien van meest toegepaste technieken prijkt de zogenaamde sql-injectie. Kortweg komt zo’n aanval erop neer dat hackers bepaalde commando’s intoetsen in de adresbalk of in de invoervelden die op vrijwel elke website zijn te vinden. Zo dringen ze binnen in de achterliggende database, om onbekommerd te grasduinen in de daar opgeslagen gegevens.

Bedrijven spenderen miljoenen om hun netwerken te beveiligen, maar zetten via hun website de achterdeur open. Baving: „Softwarematig is een site eenvoudig dicht te zetten. Beveiliging van de webpagina staat echter vaak onder aan de agenda. En als één persoon verzuimt na te denken, is een hacker zo binnen.”

Een groeiend risico vormen sociale media. Onderzoek van beveiligingsspecialist G Data toonde deze maand aan dat een op de vijf internetters zonder nadenken klikt op mogelijk interessante links die via sociale netwerken voorbijkomen.

Cybercriminelen spelen daar handig op in door links aan te bieden naar geïnfecteerde websites. „Eén keer klikken en de hacker neemt je computer over.”

Is het inbreken op beveiligde netwerken voor de traditionele hacker vooral een sport, criminele bendes ontdekken in toenemende mate dat hacken een makkelijke manier is om geld te verdienen. De pakkans is gering, internationaal opereren een peulenschil.

Creditcardgegevens zijn een goudmijn voor deze zogenaamde ”crackers”. Ook de verkoop van persoonsgegevens –bijvoorbeeld voor marketingdoeleinden– is uiterst lucratief. Of ze sturen vanuit een gekaapt bedrijfsnetwerk valse facturen en innen zo duizenden euro’s van nietsvermoedende klanten.

Zowel voor it’ers als voor de gemiddelde computergebruiker is bewustwording cruciaal. „Bij TSTC bieden we trainingen aan waarbij deelnemers een week lang in de rol van de hacker kruipen. Cursisten raken vertrouwd met hackingtechnieken, leren ze herkennen en zijn in staat om aanvallen te onderscheppen. We vallen gesimuleerde netwerken aan, op zoek naar de zwakke plekken. Je kunt een peperdure firewall inrichten, maar zonder bewustwording bij het personeel helpt dat weinig.”

En de gewone internetter, loopt die gevaar? „Je weet nooit helemaal zeker of je veilig bent, maar je kunt het risico wel beperken. Hackers gebruiken allerlei informatie op internet. Denk daarom goed na welke gegevens je wilt vrijgeven. Laat je creditcard­nummers achter? Gebruik je altijd hetzelfde wachtwoord? Ga voor jezelf eens na: wat staat er van en over mij op het net? Wil ik dat?”

De informatie kan weliswaar versnipperd zijn, maar hackers vinden alles. Ze combineren de data op zoek naar een zwakke plek. Baving: „Mensen hebben totaal geen weet van de impact van wat ze op internet zetten. Door slordig om te gaan met je ge­gevens op het web ben je niet alleen zelf kwetsbaar, maar via jou ook je werkgever.”

Digitale inbrekers

Over hackers bestaat veel verwarring. Door de opkomst van activistische groepen als Anonymous en het hacken door cybercriminelen heeft de term een negatieve lading gekregen. Niet altijd terecht.

De traditionele hacker is de stereotiepe intelligente computerfreak die nachtenlang doorhaalt achter zijn pc. Breekt in op zwaarbeveiligde computernetwerken, maar heeft primair geen criminele motieven. Is vooral geïnteresseerd in de techniek. Hackt voor de spanning én om zijn kennis te vermeerderen. Ontdekt vaak als eerste beveiligingslekken in software, en is niet te beroerd deze informatie te delen. Nádat hij zelf is uitgekeken.

De ethische hacker, ook wel ”white hat” genoemd, breekt in in opdracht van bedrijven, op zoek naar zwakke plekken in hun netwerken of software. Wendt zijn kennis dus ten goede aan: met zijn bevindingen wordt de beveiliging verbeterd.

De cybercrimineel, ook wel ”black hat”, wil maar één ding: geld. Manipuleert bankrekeningen of zoekt naar creditcardgegevens en wachtwoorden. Steelt adressenbestanden en verkoopt ze. Perst bedrijven af door systemen te saboteren. Ook bedrijfsspionage en patentdiefstal vallen onder deze vorm van cyber­criminaliteit.

De hacktivist opereert vanuit ideologische motieven: vaak politiek of religieus. Gaat meestal niet verder dan het lamleggen van websites of het manipuleren van informatie. Sommigen scharen hackersgroepen als Anonymous en LulzSec onder hacktivisme. Zo blokkeerden leden van Anonymous vorig jaar de websites van PayPal, Mastercard en Visa, omdat deze betalingen aan klokken­luiderssite WikiLeaks weigerden. Nu de groepen steeds vaker in het nieuws zijn met aanvallen op tal van bedrijven en organisaties –én op elkaar–, worden de ideologische motieven steeds vager en begeven ze zich meer en meer in het schemer­gebied tussen hacktivisme, hacking en simpel vandalisme.

Veelgebruikt ‘gereedschap’

Botnet: een verzameling centraal aangestuurde computers. Botnets worden onder andere gebruikt voor het massaal versturen van spam en aanvallen op websites.

DDoS: het versturen van nep­verzoeken naar een website of een systeem, waardoor die niet meer kunnen functioneren. DDoS-aanvallen worden vaak uitgevoerd vanaf botnets.

Phishing: internetgebruikers lokken naar een valse website (bijvoorbeeld van een bank), om ze daar te laten inloggen teneinde hun gegevens te ontfutselen.

Pharming: ongemerkt omleiden van internetverkeer, waarna de internetter op een nagebootste site terechtkomt.

Ransomware: ‘gijzelsoftware’ die gegevens versleutelt, zodat ze onbruikbaar zijn. Afpersers geven de sleutel pas vrij nadat de eigenaar van de gegevens heeft betaald.

Rootkit: een rootkit draait ongemerkt op de computer van het slachtoffer en maakt door de hacker uitgevoerde activiteiten onzichtbaar.

Social engineering: methode waarbij de hacker via de zwakste schakel in de beveiliging (de mens) vertrouwelijke of gehei-me informatie opspoort, waarmee hij dichter bij het aan te vallen object kan komen.

Spyware: geeft stiekem ge­gevens over de gebruiker of diens computer door aan derden.

Trojan horse: een programma dat andere dingen doet dan het voorgeeft, bijvoorbeeld de computer gemakkelijker toegankelijk maken voor andere virussen.

Virus: een computerprogramma dat zich in een bestand nestelt. In het slechtste geval wist of verspreidt het virus gegevens.

Worm: een programma dat 
zich –in tegenstelling tot een virus– zelfstandig verspreidt. 
Een worm is geprogrammeerd om bepaalde, schadelijke acties uit te voeren.