
Ben ik weer, pislink, tot de oogballen gevuld met valse hoop van nepprofeten die mij bergen met goud hadden beloofd. Vorige week was mijn pensoendag. Dat is mij door de neus geboord, ik zit weer op kantoor, ik moet werken. Geen goud maar blik, roestig blik. Mijn kantoorgenoot kijkt mij aan en begint met een vraag, ik kijk op, hij slikt zijn vraag in. Het is zo’n dag.
Dit is wel een hele slechte inleiding om spoofing uit te leggen, mijn versie van human spoofing. Ik doe mij voor als iemand anders, iemand die valse hoop adoreert en graag zo snel mogelijk rijk wil worden. Niets is minder waar, ik heb lol in wat ik doe, ga met een lach op mijn gezicht naar kantoor. Maar had ik mijn kantoor genoot toch even bij de neus. “Gespoofed knuppel!” De verwarring op zijn gezicht is nog nooit zo groot geweest. Je moet wel een beetje gek zijn om met security bezig te zijn…
Maar even zonder gekheid, jezelf spoofen da’s gewoon heel dom en een ook wel een suf voorbeeld. Ik wil het hebben over vervelende mannetjes en vrouwtjes, die op de digitale snelweg net doen alsof ze iemand anders zijn, dat doen ze bijvoorbeeld met email, en daar wil ik het eerst over hebben, email spoofing.
Verkleedfeestje op het internet
Kan jij je laatste of eerste spam mailtje nog herinneren? Die kwam vast niet van greedisgood@showmethemoney.com met het onderwerp: ik kom je oplichten. Die spammert deed zich waarschijnlijk voor als iemand anders.
Waarom kan dit?
Ergens in de jaren ’60, da’s in de tijd van de Beatles, Elvis en the Who, de wie? Ja, die. Zo lang geleden is email uitgevonden. David H. Crocker heeft daarna op 13 augustus in 1982 RFC#822 geschreven: “Standaard for the format of ARPA Internet Tekst Messages”, tevens het jaar dat het anthem van Spoofers werd gepubliceerd door Drukwerk – Je loog tegen mij. In deze RFC gaat hoofdstuk 8 gaat over security.
Maar, hoe dan? als ik die link RFC#822 aanklik zie ik geen hoofdstuk 8; exactly my point. Dat was destijds niet meegenomen, en het achteraf er in kliederen, da’s best lastig. Jup, een blast from the past.
Fast forward naar 2020
In de jaren 60 hadden ze behoorlijke gekke ideeën over de toekomst, de meeste mensen waren bang dat iedereen ge-nuked zou worden door die de warmongers uit de USA en anders wel door de rooie rakkers uit de USSR. Een ander idee was dat robots ieder zijn werk over zouden nemen en we door over populatie onder glazen bollen moeten leven op de bodem van de zee en in de Sahara, mede ook door de fall-out. Allemaal onzin, we houden elkaar voor de gek met e-mails, dat is pas vooruitgang; email-foppers. Leg dat maar eens uit in de jaren 60. In 2020 sturen we elkaar berichten via elektronische apparaten met valse beloftes om iemand ertoe aan te zetten om geld aan je te geven. Je ziet de verbouwereerde blik al, die Elvis luisterende vetkuiven en lui met verlopen hippie kapsels; “maar daar trapt toch niemand in?” “Hoe dan?” “Waarom?”
De moreel ethische verloedering
We doen alles voor geld, kinderen op de basisschool willen miljonair worden van beroep. Idolen zijn niet meer, Madonna en ABBA komen uit hetzelfde tijdperk als de T-rex. Jeff Bezos, de man van $113.000.000.000 en expert in het niet betalen van belasting of Donald Trump, ook zo’n flappie die zo leuk ‘meedoet’, dat zijn de heren op het wereldtoneel van vandaag. Heerlijk even zeiken, en wat rolt er nou beter van de tong dan moreel ethische verloedering, ik begin langzaam de ouwe zak te worden die ik vroeger zo verachte, de vroeger was alles beter types. Maar goed, wat is er gebeurd met “Who dies rich, dies disgraced”? Tegenwoordig kent niemand Andrew Cernegie, de man die in 1901 $300.000.000 ontving voor zijn bedrijf Carnegie steel en daarmee jarenlang meer kapitaal had dan Rockefeller. Hij was tegen het uitzuigen van andere mensen in andere werelddelen, heel sjiek noemen we dat imperialisme, nog steeds sport nummer 1 van de USA, maar wij, den zunnige ‘Ollandertjes konden er vroeger ook wat van. Carnegie zette verschillende programma’s op, een met onder anderen 660 bibliotheken. In 1919 overleed hij en had hij bijna zijn gehele kapitaal weggegeven. Wat een held, een echte, geen self proclaimed hero, geen flapdrol. Van vroeger weer naar vandaag, het gaat simpelweg om geld, geld zorgt voor debiel gedrag, de politiek faciliteert met een neo-liberlistische inslag, zuigen en ikke ikke ikke gedachtengoed heersen, zonder geld ben je niets, we groeien ermee op, de Hiltons, nep gangstertjes op straat, dure kleren, weinig inhoud. Meer is beter en ethiek is een barrière om veel geld binnen te harken, vraag onze gebroeders van Goldman Sachs maar, de moderne tegenhangers van Andrew Carnegie. Losers die winstmaximalisatie stellen boven alles. Maar goed, dit verhaal ging ooit over spoofing, terug naar spoofing. Vervang de bovenstaande tekst met: Email is een oude uitvinding die niet gemaakt is met security in gedachten en je bent er ook zonder moreel ethische verloederingen.
Wat is een email eigenlijk?
Om email te versturen/ontvangen hebben we allemaal een programmatje, de een gebruikt Outlook, de andere Apple Mail en een andere Hotmail, Gmail of een andere online email provider. Deze programma’s en online diensten praten met elkaar via SMPT, simple mail transport protecol. Niet veel anders dan een generieke afspraak dat in het veld ontvanger de ontvanger staat, dus leest iedereen het op dezelfde manier. De Enveloppe bevat precies wat je ervan verwacht, van wie komt het en naar wie gaat het toe:
From: megaspammert@getrichquick.com
To: emil@borgesi.us
Zodra ik post ontvang van megaspammert, dan gooi ik het weg, soms doet je email programma dit zelf al, net zoals de postbode op een brievenbus met een NEE NEE sticker geen reclame aflevert, een analoog spamfilter voor fysieke mail. Nu komen we direct bij het nadeel van email ten opzichte van een echte brief, de afzender die jij ziet komt niet van de enveloppe, maar uit de header. De header bevat de volgende informatie:
Onze brave burger email programma’s die zetten de data in de enveloppe keurig in de header, niets aan de hand dus. Emil is Emil en Henk is Henk. Conform de gemaakte afspraken uit de jaren 60 en geüpdatet in de jaren 80, zien we de details uit de header in ons emailprogrammatje. En daar heb je megaspammert, onze ikke-ikke-ikke-rijk-lul die niet leuk mee wil doen, en de boel wil ondermijnen voor persoonlijk financieel gewin, dus:
From: megaspammert@getrichquick.com
To: emil@borgesi.us
Is ineens:
From: Staatslotterij
en zodra je muis erop zet, krijg je de enveloppe informatie: megaspammert@getrichquick.com
To: emil@borgesi.us
Spammers manipuleren de header om de werkelijke afzender niet direct zichtbaar te maken. Daarom zie je soms een afzender naam van een bekend bedrijf met een bedenkelijk email adres eronder wat niets met het bedrijf of instantie te maken kan hebben. Een manipulatie van het afzender veld. We gaan het nu een stap opvoeren. We gaan ‘reply to’ ook aanpassen. Dus:
From: megaspammert@getrichquick.com
To: emil@borgesi.us
Antwoord aan: megaspammert@getrichquick.com
Je emailprogramma laat zien:
From: Staatslotterij
To: emil@borgesi.us
Antwoord aan: winnaars
De inhoud laat zich raden, je denkt dat je gewonnen hebt, er komt een gevoel van euforie opborrelen, is dit je dag? Je wil dat het waar is. Helaas communiceer je met iemand die je wil bedonderen. Je eigen fantasie kan wel invullen hoe die communicatie eindigt.
Zelf doen?
Denk je eens in wat je zelf met deze ongein kan doen. Mensen manipuleren en aanzetten tot acties. Stel je voor, je e-mailt de buurman die denkt dat hij met zijn vrouw aan het emaillen is, en je doet hetzelfde met de buurvrouw, beide antwoorden aan jou. Met andere woorden, mocht je je vervelen kan je je eigen real life soapserie beginnen in de straat, je hebt alleen maar wat emailadressen nodig, en die kan je gewoon vragen, social enginering. Je begrijpt dat dit niet uiteraard niet mag en de consequenties hiervan groot kunnen zijn voor jezelf en de slachtoffers. En op deze wijze is informatie over een bedrijfsovername, verkoop van een waardevol stuk kunst of de vakantie van de CEO ineens gevoelige informatie die tegen je gebruikt kan en zal worden. Meestal zelf nog op het web gezet, zo zie je dat informatie erg time-sensitive kan zijn. Een beetje bewustwording kan veel doen.
En hoe moeilijk is het om dit in het echt te doen?
Net zo moeilijk als een email versturen. De pro’s versturen meestal niet 1 email maar duizenden tegelijk, hier hebben ze een simple email servertje voor die je op elke straathoek kan huren of zelf in elkaar knutselt. Een email lijstje en een tooltje die simpelweg niet de informatie uit de enveloppe overneemt maar je het zelf in laat vullen is alles. Dus eigenlijk krijg je er gewoon een paar invulvelden bij. Kinderspel. Automatisering verzorgt de verzending en invulling, en je pompt zo 200.000 email per minuut de wereld in. NEE NEE stickers hebben we lak aan. Of als je het geschopt hebt tot ‘whale’ een CEO, CFO of persoon die bij machte is om gelden over te maken in naam van een organisatie krijg je misschien nog wel eens echt persoonlijke aandacht. Zit je in deze positie, dan is een beetje kritische omgaan met informatie wel wenselijk.
Dat was het?
Nee, spoofing kan op veel meer dingen toegepast worden, denk aan je IP-adres op het internet, je kan laten zien dat je uit een ander land komt. Of je kan ergens op inloggen omdat je binnen een geautoriseerde ip-range valt, whitelisting omzeild. Telefoonnummers kan je ook spoofen. Je netwerkkaart heeft ook een identifier, MAC-adres spoofing noemen ze dat. Je kan DNS-server spoofing toepassen en zo mensen naar andere websites doorsturen. Textbericht spoofing, GPS spoofing, ik ben echt hier hoor, of niet?, ARP spoofing om gegevens te ontvangen die niet voor jou bedoeld zijn, bestands-extensie spoofing om je iets te laten installeren, gezicht spoofing om je telefoon te unlocken. Genoeg spoofing, maar geen is er echt waterdicht, dus er is er niet een die je niet had kunnen voorkomen. Stel je jezelf dus bloot aan risico’s, dan neem je maatregelen, zo die je de gordel om in de auto, en doe je de achterdeur op slot als je gaat slapen. Maar heel simpel, gewoon niet doet wat een onbekende tegen je zegt, via email, sms of telefoon dan heb je de meeste al voorkomen.
Leuk, allemaal verkleedpartijtjes om je om de tuin te leiden of om iets te laten lijken wat het niet is. Lachen dat spoofen. Prachtig, list en bedrog, stiekem smullen we ervan. Templatation island is er een mooi voorbeeld van, misleiding en oplichting met emoties, dingen anders laten lijken dan ze zijn. Allemaal prima, als je er maar niet instinkt. Deceptie op het intetnet doet meestal ook pijn in de portemonnaie.
Wat kan je eraan doen?
Altijd even kijken wie de afzender is, als het Veronica/SBS6 is kan je gewoon naar de volgende zender zappen, die is makkelijk te omzeilen. Is het een e-mail, en denkt jij dat je wat moet gaan doen, zoals geld overmaken, op bijlages drukken, of links aanklikken, muis op de afzender. Vooral als de tekenen er zijn, check het. Tekenen zijn slechte spellink, inconsistent gebruik van grammatica. Rare of vreemde structuren zin en opgebouwen texten van die email of andere bron. Dat leest niet altijd makkelijk, een mooi herkenningspunt. En uiteraard de ‘too good to be true‘ zaken, eerst even valideren. Valideren is beter dan bezeren.
En uiteraard je gezond verstand gebruiken, dat werkt ook prima. Neem even afstand van de situatie, en denk er eens over na als een buitenstaander. Klinkt erg dom hé, geld overmaken naar iemand die je nog nooit gesproken hebt. Zo zag ik in het verleden nog vaak mensen op social media links delen naar een boodschappen-bon van €500. In welk universum denk je dat iemand je €500 gaat geven voor het delen van een bericht op Facebook, of het aanklikken van een linkje?
Linke soep
Tijdens deze crisis zitten mensen thuis, ook de scammers zitten thuis, die denken allerhande nieuwe producten uit, en dat kunnen ze snel, want er zijn geen wetten, normen, morele en ethische barrières, het is doen, en binnen harken. Het misbruik van bekende mensen voor een bitcoin fraude uit mijn vorige post is een mooi voorbeeld van grensoverschrijdend gedrag in reclame. Maar spoofing?
Hoe dan?
Stel, iemand heeft een lijstje, dat kan zo simpel zijn als email, naam en telefoonnummer. De persoon zoekt wat extra gegevens op van je, maakt niet zoveel uit wat, je adres, geboortedatum, verzin het maar, en belt je, met een gespoofde nummer van de bank. Verdachte activiteit op je bankrekening. Ter validatie, is dit uw geboortedatum? Of adres? Oh ooooww; wat je eraan doen? Snel je saldo veiligstellen, maak het gewoon allemaal over naar de scammer, klinkt op deze manier heel suf, maar mensen doen het, het telefoonnummer klopt, de andere kant heeft wat persoonlijke gegevens…. en ze zijn om…
Hilarisch
Die gegevens heb jezelf overal ingestampt, facebook, websites voor 5% korting op een gadget, domme horoscoop spelletjes die je je toekomst gaan voorspellen, compatibiliteits-testjes met je geheime liefde, allemaal informatie-harvesters die je gegevens opslaan. Bij een data lek zijn er een paar handige mensen die alles aan elkaar koppelen, data verrijken, en voor je het weet is er iemand met een lijst van 20.000 email adressen met wachtwoorden, geb. datum, tel.nr en mogelijk andere gegevens. Klinkt allemaal heel creepy en simpel, en dat is het ook. (Google: Combolist. Dat is een lijst met email adres en wachtwoord). Maar laten we verder gaan, dit is ook het algemeen geaccepteerde bedrijfsmodel van Google, facebook, twitter en alle andere social media platformen minus de manipulatie dan. De basis is data, data is geld waard. Dit verkopen ze, je geboortedatum is een factor in gericht adverteren, doelgroep bepaling. Jij bent als Persoon ook deel van de inmiddels 7P’s in de marketingmix. Leuk als een van die organisaties een beveiligingslek krijgt, denk dus even na voordat je dingen in gaat voeren op het internet, er is geen weg terug het is en blijft daar voor heel lang. Databases lossen niet op in thin air. En voordat je het weet ben jij de Target market en heb je je eerste Promotion te pakken in een goed uitgedacht Proces om je op smart wijze geld uit de zak te kloppen.
Bang?
Begin je al bang te worden? Terecht, de wereld zit vol met vervelende figuren die je geld afhandig willen maken, daarom doe je snachts je achterdeur ook op slot. Maar het leuke van internet is dat jij en ik elke dag gratis informatie leveren om het makkelijker te maken voor oplichters.
Waar ga je heen op vakantie, ohhh leuk, ja, kijk er naar uit, we gaan volgende week heerlijk 3 weekjes weg.
Je zal niet de eerste zijn die in afwezigheid een verhuiswagen voor de deur krijgt. Dan heb je helemaal niets meer…..niets…… alles weg. Kan je weer naar de IKEA. Joepie!
Bewust
Het magische woord is bewust, wat doe je wanneer en wat vul je waar in en wie kan wat zien? CIA, Confidentiality, Integrity en Availability, de magische driehoek van security of BIV, beschikbaarheid, integriteit en vertrouwelijkheid.
HULK SMASH!
Is het veel moeite om je nieuwe alter-ego: Dr. Bruce Banner aan te maken? Denk aan: profbrucebanner@hotmail.com en dit email adres te gebruiken voor alle onzin op het internet. Maar ook voor alle organisaties waarvan je weet dat ze security niet op de agenda hebben staan. Zelfgemaakte goedkope web winkeltjes van de lokale bloemist bijvoorbeeld, tikkende persoonsgegevens tijdbommen, daar kan je beter geen persoonsgegevens invullen. Vul lekker overal je alter ego in, Bruce Banner, geb. datum 01.01.1980 etc. Mocht er ooit iets fout gaan, buiten jou om dan heeft je ‘echte’ adres er geen last van, het adres wat je gebruikt voor je bankieren, spotify, LinkedIn etc. Maar het leukste is je kan spammers beantwoorden met:
Maak mij niet boos, ik ben niet de leukste als ik boos ben. Vr.gr, Bruce Banner.
Gebruik je fantasie voor je alter ego, en ga lekker los. Spiderman ambities? Bills Gate? Trumpie-Trump, Dirty Hairy, verzin het maar… Het is een verkleedfeestje op het internet, en wij doen toch ook mee?
Je kan ook 3 adressen aanmaken:
Dat was een korte introductie in spoofing. Het mag duidelijk zijn dat jezelf voordoen als iemand anders niet echt een uitdaging is. Heb je twijfels bij een email, sms, binnenkomend telefoontje? Bel zelf de organisatie/persoon en vraag het na. Dit hoeft niet altijd, maar doe het wel voordat je geld over gaat maken, ook naar je zoon, die net een nieuw telefoon nummer heeft. Op links gaat drukken, of prijzengeld gaat incasseren. Bel even. Kleine moeite, veel zekerheid.
En als je gebeld wordt, kan je ook gewoon kijken hoelang je ze zelf voor de gek kan houden. “Hellllo, tis ies Microsoft, ai ave important massage for joe”. “Fantastique, I have special message for youuuu tooo! Sapperdeflap, une baguette.“, kan je je fake-Frans accent ook oefenen zonder schaamte.
Tot slot
Niet vergeten, mensen met verkleed-kleren aan geen geld geven, er zijn uitzonderingen, maar daar gaan we nu niet op in. Vergeet het bovenstaande verhaal en vertel je ouders / vrienden, en iedereen die het maar wil horen:
Heb je twijfels bij een email, sms, binnenkomend telefoontje? Bel zelf de organisatie/persoon en vraag het na. Dit hoeft niet altijd, maar doe het wel voordat je geld over gaat maken, ook naar je zoon, die net een nieuw telefoon nummer heeft. Gestrest op links gaat drukken, prijzengeld gaat incasseren of een nalatenschap accepteert. Bel even. Kleine moeite, veel zekerheid.
Stay safe!
ps. heb je een leuke scam ontvangen, stuur hem door naar mij: emil@borgesi.us
Burgemeester J.G. Legroweg 45A
9761TA, Eelde
KVK: 55675506
BTW: NL001397319B58