Terug naar overzicht
Nieuws
Historische hack #4: De duistere kant van Social Engineering: van onschuldig tot gevaarlijk
07-06-2023
Al in de 19e eeuw werd de term Social Engineering voor het eerst gebruikt. Er doen verschillende verhalen over de herkomst de ronde. De meeste bronnen schenken de Nederlandse ondernemer J.C. van Marken de eer, de allereerste te zijn die de term gebruikt. Het idee was dat werkgevers specialisten nodig hadden om hen te helpen omgaan met menselijke uitdagingen, net zoals ze technische expertise (van traditionele ingenieurs) nodig hadden om niet-menselijke uitdagingen zoals materialen, machines en processen aan te pakken. Deze term waaide over naar Amerika, waar het al snel zijn originele betekenis verloor.
Social engineering wordt iets negatiefs
Rond de jaren '80 kwam de term social engineering weer in zwang, maar ditmaal met een duidelijk negatieve betekenis. Dit heeft duidelijk te maken met de nieuwe technische mogelijkheden die gebruikt werden. Waar techniek het leven voor goedwillenden mooier maakt, geldt dit ook voor kwaadwillenden. Hackers leerden technieken om anderen te duperen, maar vooral zichzelf te verrijken. Zo ook een zogenaamde zolderkamerhacker uit Van Nuys, California, USA. Ofwel, Kevin Mitnick, in de jaren '90 de meest gezochte cybercrimineel ter wereld.
Van de regen in de drup
Kevin Mitnick werd al in 1981, op achttienjarige leeftijd, voor het eerst opgepakt voor cybercriminaliteit. Geruchten deden de ronde dat hij in de jaren '80 diverse hacks pleegde, tot aan het Pentagon en de NSA toe, hoewel de slachtoffers de hardnekkige geruchten tot op de dag van vandaag ontkennen. Niettemin vormde Mitnick een gevaar voor de staat en dat wist hij zelf uiteraard ook. In 1992 raakte hij voortvluchtig, omdat hij tijdens zijn proeftijd overheden afluisterde om te ontdekken wat ze over hem vertelden. Hij werd hiermee gesnapt.
De eerste versie van een darkweb
Mitnick ging op zoek naar manieren om de technologie in de MicroTAC Ultra Lite mobiele telefoon van Motorola, destijds vergelijkbaar met de nieuwste Apple iPhone te manipuleren. Dit in de hoop privé te kunnen communiceren en arrestatie te voorkomen. Om onopgemerkt te blijven en te chatten zonder dat iemand meelas, koos hij ervoor om de broncode in de firmware van de telefoon te onderzoeken. Maar hier had hij heel wat inbeeldingsvermogen en overtuigingskracht voor nodig.
Social engineering verliest al zijn onschuld
Mitnick startte zijn geraffineerde aanval door de telefoongids te bellen om het telefoonnummer van Motorola te achterhalen. Google bestond destijds nog niet, dus deze stap was echt nodig. Vervolgens begon hij klein door te vragen om met de projectmanager van de MicroTAC Ultra Lite te spreken. Via vele omwegen kreeg Mitnick uiteindelijk zelfs de CEO van heel Motorola te pakken. Echter via de omzwervingen tussen de verschillende medewerkers en de CEO van Motorola, leerde Mitnick een interessante wetenswaardigheid over Motorola, één die het succes van de aanval betekende.
Een haakje gevonden
Mitnick ontdekte namelijk via zijn gesprekken dat Motorola een onderzoekscentrum in Arlington Heights heeft. Hij bedacht een list om vertrouwen te winnen en in contact te komen met de CEO. Kevin deed zich voor als medewerker van het filiaal in Arlington en vroeg opnieuw om contact met de projectmanager voor de Ultra Lite.
Vertrouwen is gewekt
De CEO gaf Mitnick het doorkiesnummer van projectmanager Pam, maar kreeg een bericht dat ze op vakantie was. Mitnick belde vervolgens de contactpersoon, Aleesha, en vertelde haar dat Pam hem had beloofd dat ze hem de Ultra Lite-broncode zou sturen. Hij instrueerde Aleesha hoe ze de bestanden moest zippen en naar zijn anonieme FTP moest overbrengen. Maar toen de verbinding mislukte, vroeg Pam hem te wachten terwijl ze haar beveiligingsmanager ging halen om te helpen.
Paniek om niets
Kevin raakte in paniek, want hij wilde niet dat de beveiligingsmedewerker erbij betrokken zou raken. Maar tot zijn verbazing keerde Pam terug met de persoonlijke gebruikersnaam en het wachtwoord van de beveiligingsmedewerker naar de proxyserver om het bestand te uploaden.
Dit slimme verhaal hielp Kevin zijn missie te voltooien en weg te lopen met de broncode. Hoewel hij uiteindelijk niets met de code deed, had dit soort zeer gevoelige eigendomsinformatie gemakkelijk met hoge winst kunnen worden verkocht of als chantage tegen Motorola kunnen worden gebruikt voor een genereuze uitbetaling. Inmiddels is Kevin Mitnick wereldberoemd als een van de eerste succesvolle hackers. Zijn criminele activiteiten heeft hij inmiddels ingeruild voor iets nobels: hij adviseert bedrijven over hun cybersecurity.