LUISTEREN
Cyberhelden
AFLEVERINGEN
← Alle afleveringen
EP 1 · 15 minuten

Cyberhelden Flash 01 - Russische hackers dringen binnen in Signal accounts van overheidsmedewerkers

Nederlandse inlichtingendiensten waarschuwen dat Russische hackers accounts op Signal en WhatsApp van overheidsmedewerkers, militairen en journalisten hebben overgenomen. Niet door de encryptie te breken, maar door slimme social-engineeringaanvallen: slachtoffers werden verleid om verificatiecodes of QR-codes te delen. Daarmee konden aanvallers toegang krijgen tot privéchats en groepsgesprekken. In deze aflevering bespreken we hoe deze aanval werkt en waarom zelfs versleutelde chatapps geen garantie zijn voor veilige communicatie.
Afbeelding voor Cyberhelden Flash 01 - Russische hackers dringen binnen in Signal accounts van overheidsmedewerkers
SoundCloudApple Podcasts

TRANSCRIPTIE

whisper

En welkom bij een speciale Cyberhelden Flash aflevering. Vandaag even in eerste een hele korte aflevering over een nieuwtje dat zojuist binnenkwam. De MIVD en de AIVD hebben een persbericht geplaatst en dat gaat over dat Russische aanvallers het gemunt hebben op signalgebruikers in Nederland. Niet zomaar gewone signalgebruikers, maar mensen die ertoe doen zoals politici en militairen en hoogwaardigheidsbekleders. En zelfs journalisten.

Jelle, kan jij een beetje schetsen wat hier nou gebeurd is? Ja, eigenlijk konden we dit dus al een klein beetje weten, waar jij eerder ook al terecht aan verwees is in het rapport tussen oorlog en vrede werd het ook al genoemd dat statelijke groeperingen gebruik of misbruik maken van chatapps waar we met z'n allen fan van zijn. Dus dat is eerst eerder gerapporteerd door de Duitsers door de twee Duitse, een paar van de Duitse inlichtingendiensten. Die hebben aangegeven dus dat deze gebruikers getarget werden via signal. Er zijn bepaalde aanvallsmethoden gebruikt, maar wat hier interessant is aan is dat deze

applicaties die we met z'n allen heel veel gebruiken, we hebben natuurlijk WhatsApp wat we eerst allemaal gebruikt, toen vervolgens werd het signal, want signal was zoveel veiliger dan WhatsApp en er zat geen sukkerbergen op die je spullen probeerde te verkopen. Maar je ziet nu dus dat ook specifiek signal getarget is en dat hier nu aandacht voor wordt gevraagd. En hoe is dat nou precies technisch gedaan? Ja, dus eigenlijk zijn er twee dingen gebeurd, twee aanvallsmethoden. In de eerste methode zijn accounts overgenomen door het stelen van de pincode of verificatiecode.

En dit weer een klassiek gevalletje phishing eigenlijk, want een actor die doet zichzelf voor als signal support of een support chatbot en die triggert dan een smsje of vraagt naar de pincode en aan de slachtoffer. En ja, wie dan vervolgens dan die pincode stilt, die stelt het actor in staat om het account opnieuw te registreren op een apparaat van een aanvaller of te linken of ja. En wordt dan geen smsje gebruikt of zo om je telefoon te linken?

Jawel, alleen de support chatbot kan natuurlijk vragen van stuur even door, stuur even door, geef even door. Maar we weten ondertussen al echt wel dat we dat niet moeten doen. Je zou zeggen dat mensen weten dat dat niet meer moet, maar de feestvergeleiders misschien wel. En wat is de tweede methode? Ja, de tweede methode dat is eigenlijk vergelijkbaar met wat ik ook al in een eerdere aflevering had benoemd. En in dit geval wordt het slachtoffer gevraagd om een QR code te scannen om wat ze dan noemen het account te bevestigen.

En op die manier kan dus bijvoorbeeld een nieuw gelinkt apparaat toegevoegd worden, zoals mensen ook wel eens met WhatsApp bijvoorbeeld die QR code scannen om van de browser gebruik te maken. Kan dat met Signal ook met andere apps. En ja, de actor gebruikt dit dan om toegang te krijgen tot de chathistorie van het slachtoffer. Ja. Dus het lichtstechnisch gebeurt eigenlijk, dus Signal wordt niet gehackt of zo? Nee, correct. Dus dit is absoluut geen aanval op infrastructuur of het bedrijf Signal zelf, maar echt een phishing aanval, een phishing campagne tegen gebruikers van de Signal app.

Ik vind wel magisch op de QR code, inderdaad die wordt ook gebruikt om toch toe te voegen aan groepen en dat we dat allemaal doen. Zo veel, hier is mijn groepje druk op die QR code. En natuurlijk QR codes best wel hip zijn geworden voor iedereen om dat te doen, maar dat er ook een hele grote factor vanuit gaat. Ja, je weet niet precies waar je naartoe gaat als je op een QR code scant. En dat als er de context erbij is en er staat, ik ben een clubje opgestart voor Cyber Helden, nog iets, of ik ben een clubje opgestart om het over, weet je wel, iets geopolitieks te hebben. Dat je dan best wel een incentive hebt om zo'n QR code te scannen en die dan in plaats van het

joining van een groep gebruikt wordt om te verifiëren en de koppeling tot stand te brengen tussen jouw Signal of WhatsApp account en aanvalsinfrastructuur, waardoor ze jouw chat historie tot 45 dagen terug kunnen lezen of zo. Het is echt wel een mooie, menselijk dingetje. Wat van ja, ik wil heel graag in een groepje zitten. Ik scan de QR code en fuck het is Signal, wat vertrouwt toch iedereen? Superveilig. Ja, superveilig toch? En dan is het echt mooi misbruik van de menselijke psycholit. En we doen natuurlijk nooit iets geheims in Signal.

Dat is dat weten we allemaal. Er mag geen vertrouwelijke zaak in besproken worden. Dat krijgt ook ambtenaren regelmatig te horen. Het grote verhaal waar je ook aan refereert hier is natuurlijk aan het begin van de Verenigde Staten toen het, ik zal het niet het regime noemen, maar de regering Trump daar net zat inderdaad dat de minister van Defensie toen nog zijn missieplanning deed via Signal. Bijna zijn kop gekost. Maar Trump wou niet weer gezichtsverlies leiden dat hij gelijk ministers naar huis moest sturen. Maar goed, het heeft al ergens in februari in dat boekje gestaan van de diensten,

de AFD en de MIVD of de MIVD en AIVD. Ik weet het nooit wat nou de goede volgorde is. In dit persbericht staat weer MIVD en AIVD. Er zit dus heel veel achterstiekem, he Ronald? Het is heel specifiek altijd. Je hebt eigenlijk twee varianten MIVD en AIVD. AIVD en MIVD en eigenlijk de losse variant los AIVD en los MIVD. En wat je hier ziet staan is dus heel specifiek MIVD en AIVD. Dat betekent als je het alfabetisch zou doen, zij verwachten AIVD en MIVD. Maar hier is dus MIVD op 1, AIVD op 2.

Dat wil zeggen dat MIVD het lead heeft gehad in dit onderzoek. Er waren ook militair getarget. Dus dan is het ook logisch toch dat zij een grote rol erin spelen. Ja, zeker. Dat doet de AIVD ook wel. Het is tegenwoordig natuurlijk steeds meer samen. En samen omdat de dreiging enorm groot is natuurlijk, dat je ook steeds meer gezamenlijke onderzoeken ziet. Maar op een gegeven moment is dus iemand heeft gemerkt, goh, er is iets in de hand op mijn telefoon. Of die is die link gekregen. Want het is een phishing. Je krijgt een berichtje opeens van Signal Supports of zo,

zag ik zo'n screenshot er voorbij komen. Maar die is wijs genoeg gegaan om dat te melden. En hoe kan je dan als, nou als dat bij de diensten inderdaad aankomt, hoe zou je daar dan verder onderzoek kunnen doen wie er allemaal getarget zijn en wie er gepakt zijn? Ik heb nog niet zo snel ingelezen, maar is het, staat ook in het rapport dat iemand zich gemeld heeft bij de diensten? Het moet ergens beginnen. Of denk jij dat we zo mee zitten te kijken weer over die schouders van de Russen dat we het zagen doen? Ja, we hebben een naam hoogte houden. Dus het is, even kijken.

Ik denk dus, je hebt twee manieren. Dat is het, je hebt het vanuit victim base. Dus een aanvaller begint ergens bij een acteur, dan infrastructuur en dan vervolgens het slachtoffer, de victim. Ja, je kunt het twee manieren doen. Je kunt ergens in blue space, dus bij een slachtoffer die zich meldt of een bedrijf dat zegt nee er gebeuren gekke dingen op deze account. Je kunt ergens tussen de aanvaller en de verdediger inzitten of van een partnerdienst of van een samenwerkende organisatie of je zit zelf ergens in de buurt van infrastructuur. Kun je natuurlijk ook aanvallen langs zien komen. Zo kun je ook wat spotten natuurlijk.

Ja, en je kunt natuurlijk helemaal in het topje zitten en dan kun je ook meekijken. Dus je kunt op verschillende plaatsen in de keten, kun je zo'n aanval detecteren. En hier staat volgens mij niks in hoe het dan specifiek gedetecteerd is. Wat wel snel. En deze is in het midden vrij complex, right? Want de signal encryptie is natuurlijk geprezen om de end to end en dat je daar eigenlijk niks in kan afsnoepen. Als dat zeg je rijdt, wel iets over waar dan meegekeken moet zijn. Ja, maar goed. Of een lelijke server waar iemand op inlogt ofzo, à la shinyhunters, ergens iets heeft verzameld, een aantal accounts of iets.

Ja, ja. Of is dat heel lelijk? Ja, of het is gewoon heel simpel en verschillende groepen mensen hebben zich gemeld uiteindelijk dat er rare dingen met hun signal account gebeurt. Die is misschien ook al waarschijnlijk. En dat er helemaal niet zo upstream, zeg maar, meegekeken is. Oké, maar die komt nu naar buiten. We hadden ook al gezien dat de Duitsers in 6 februari al aan het waarschuwen waren. We zijn een dikke maand verder. Waarom wachten wij zo lang? Ik zie er wel meer in, hoor. Dus die Duitsers, die hebben een aantal dingen weggelaten,

bijvoorbeeld aan wie dit gatribueerd is. Natuurlijk credits voor de Duitsers, hartstikke knap dat ze dit hebben gedaan. Met hun 26 inlichtingorganisaties dit weten naar buiten te brengen. Hartstikke knap. Maar je ziet, dit is wel wat gedetailleerder. Hier zit net iets meer, zoals dat dan vaak genoemd wordt, handelingsperspectief in. Wat moet je nou doen? Er zijn ook een paar tips in die niet in de Duitse rapportage zitten. En het is de TTP, de techniek, tool of procedure, is hier ook wel echt wat beter of wat meer tekst aangewijd om dit uit te leggen. Waar de Duitsers gewoon 2 a 4 tjes hebben, zit net iets langer.

Het past wel echt in dat trend van low tech aanvallen, die we continu nu zien. Natuurlijk die telco die laatste van de beurt was. Je hoeft niet eens meer een hacker te zijn om leuke dingen te doen. Je kunt gewoon een beetje klautloop loslaten en dan gebeurt er wat. Ja, het is dus wel stom. Deze trend is wel echt veel significant wat je noemt. Dus het gaat niet meer over die hele high equity malware die gebouwd wordt. Iedereen die dit zit, als de grote jongens en meisjes, zoals de Russen, Chinezen en grote crime groepering dit gaan gebruiken.

Dit gaat natuurlijk ook iedereen en zo'n moer op de hele wereld inspireren om dit soort aanvallen uit te voeren. Precies. Ik vind het wel heel fijn dat we in Europa hier een beetje aandacht voor proberen te vragen. Dit inspireert andere zeker. Zullen wij dan ook maar gewoon in die rol even springen en heel snel gaan uitleggen waar mensen op moeten letten en wat ze kunnen instellen? Misschien nog van tevoren Marco? Ja, sure. Dus ten eerste en we kunnen het niet vaak genoeg zeggen, deel je geheimen niet. Je PIN code, je verificatie code.

Dus er is echt geen enkele reden waarom iemand ook maar ooit een legitime use case heeft voor jouw geheimen. Hooguitje DigiDigit, machtigingscode voor de financiële adviseur. Dat is ongeveer waar het op houdt met de delen van je geheimen. En QR code, mag ik die nou nooit meer scannen? Als je een QR code krijgt, dan moet je even dubbel checken van wie je die krijgt. Dan krijg je gewoon van een willekeurig nummer wat je niet in je contactenlijst hebt staan een QR code om te scannen. Dan kun je jou vragen, is dit nou het beste idee ooit? Dan mag je meer een hotel inchecken. Ik zie vaak een QR code aan de muur hangen met de wifi gegevens.

Dat vind ik toch wel honderd. Ja, oké. Dan kun je die gebruik niet doen. Maar jij zou dat niet doen? Ik doe dat niet. Ik maak sowieso geen gebruik van hotel wifi over het algemeen. In ieder geval binnen Europa niet. Ik heb daarvoor gewoon 5G abonnementen. We moeten er eventjes weer denken. Maar uiteindelijk, dus je kunt dat gewoon scannen. Kijk, vaak herken je de signal QR code. Zou dat dan dat signal icoontje, dat berichten wolkje, dat staat dan in die QR code? Ja, dat kan wel faken natuurlijk. Dat is hier allemaal faken. Maar ja, ook hier is er een beetje een threat model. Uiteindelijk als een enkele signal open springt op het moment dat je een QR code scant,

dan moet je jou vragen, waar ben ik bij bezig? Ja, ja. Wat je ook nog kunt doen is je registratie vergrendeling aanzetten of Registration Lock als je je telefoon in het Engels hebt. En dat betekent eigenlijk dat je pincode nodig is om nog op een ander device te registreren met jouw telefoonnummer of account. En als je dat aan hebt staan, dan gaat hij eens in dezelfde tijd verifiëren of je je pincode al weet. Want je gebruikt hem zelf. Al het is alleen maar op en voor een nieuw device nodig. Ja, inderdaad. En check ook af en toe even in je account instellingen.

In de signal heb je linked devices, oftewel je gekoppelde apparaten. Want we kijken daar misschien niet zo vaak in, maar daarin zie je precies welke apparaat je allemaal vertrouwd hebt met jouw berichtjes. En als daar dus ook in een keer een ander apparaat tussen staat, dan kun je die aanklikken en dan kun je zeggen, joh, doe deze even weggooien, niet meer vertrouwen. Ontkoppelen. Eigenlijk moet je misschien maar gewoon helemaal nooit andere apparaten vertrouwen. Ik heb het nu net om te testen eventjes op mijn desktop gezet, maar ik heb me er altijd daarvan weggebleven. Ik vind een desktop heeft gewoon, je werkplek heeft veel meer aanversvekt

dan je telefoon in het algemeen voor mijn revol. Ja, ik deel die mening wel. En ik maak hier ook wel een beetje gebruikers afweging dat ik denk, ja, oké, maar hoeveel bespreek ik nou op signal? Hoe erg is dat? Ja, ja, oké. Ja, ik snap ook vanuit gebruik dat mensen het wel willen, maar daarom controleer gewoon af en toe even wat je allemaal vertrouwd hebt. En je kunt ook nog even, de andere advies wat ook in het rapport staat, is check even de groepen waar je in zit. Van, joh, zitten daar dubbele leden in. Als er iemand Klaars heet en hij denkt, Klaars met twee vieren in plaats van Aashoff, met weet ik voor wat een katalootje erachter,

dan kan dat duiden op wat verdachte leden die in de groep in een keer zijn opgepopt. En als je het nou denkt, ja verdikke, die ik met mijn pincode heb ik misschien weggegeven, ik weet het niet zeker, verander hem. Want kijk, het is al te laat, je berichten zijn out there. Maar als de aanvallen jouw pincode wijzigt, dan ben je potentie toevang tot je account kwijt, je signal account. En signal heeft geen centrale regie, dus dan ben je hem gewoon kwijt. Kwijt kwijt. Ergens in de cloud leeft je account door, je kan er zelf niet meer bij, maar die aanvallen wel. En die kan zich nog steeds voordoen alsof hij jou is.

Met al jouw vrienden praten. De mensen aan de andere kant merken niet eens dat jij het niet bent. Behalve dan misschien dat die Russen misschien wat minder goed Nederlands praten of zo. Haha. Hebben ze trouwens, even een tussendoor vraagje, zitten er gewoon Nederlanders aan de verkeerde kant in Moskou te werken daar voor diensten? Net zoals wij, de diensten hebben allerlei vertalers, Defensie heeft allerlei vertalers in dienst die native speakers zijn. Dus elke dienst over de hele wereld heeft cultuur specialisten binnen om het targetgebied te bestuderen. Dus natuurlijk zitten de native speaking mensen aan de andere kant ook van de lijn.

Hoe groot die sectie is. En anders doen ze gewoon met vertal botsen. Ja, dat is een basisoptie die je ook gebruikt. Maar er zitten natuurlijk ook mensen die meer talen spreken. Dat is binnen diensten heel gebruikelijk en wordt heel erg gepromood. Je leert andere talen, want dat maakt natuurlijk gewoon je draagvlak groter. En anders zoek je gewoon een 17-jarige haafhoogscholier in Nederland die voor jou die prachtjes gaat zitten typen. Die zijn altijd wel erg te vinden. Voor 200 dollar.

Ja precies, ja. Nice, oké. Maar wat is nou de takeaway? Is het heel erg wat hier nu gebeurd is? Ja, kijk het is natuurlijk echt best wel erg als mensen... In signal wordt natuurlijk best wel wat besproken. Mensen beschouwen het als veilig. Ik heb vaker meegemaakt dat mensen zeggen nee, kom we gaan switchen even naar signal want dan kunnen we wel bepaalde zaken bespreken. Dat doe ik zelf ook. Ik maak er soms ook een bepaalde afweging in. En ja, als je dus daar dan toegang tot kwijtraakt of anderen kunnen meelezen. Ja, wie weet wat er dan allemaal op straat komt te liggen. Dus dat is best wel erg.

Tegelijkertijd, de aanvalsvector is niks nieuws. Het is de zoveelste vorm van hetzelfde. Dus qua techniek is het niet zo boeiend. Om maar even zo te zeggen. En nog even heel kort. Als je nu zelf denkt, ik ben misschien ook al gepakt. Hoe kan je dat nu zien in je eigen signal omgeving? Ja, wat we dus net ook al... Dus dan kom je uit bij je gekoppelde apparaten. Je linked devices, die kun je bekijken. Die moet je checken. Die moet je checken. Je groepen even dubbel checken. Als je denkt van nou deze groep, dan ben ik een beetje spichtergroep.

Of daar extra mensen zitten. Check even een keer dat iedereen in Swede is, dat die zegt wat hij heeft. En dat zijn eigenlijk de grootste dingen die je kan doen. Oké. Nou goed, dan dank jullie wel dat je heel snel even de tijd had om deze extra podcast op te nemen. En dat gaan we vaker doen, als er wat moois gebeurt. Dus dank allemaal voor het luisteren. En we zien jullie reacties als je toegemoet. Lata! Bye, hoi!