Zo stuur je de meest overtuigende phishingmail naar Tweede Kamerleden

Het nieuwe seizoen van CYBERWAR laat zien hoe online oorlog, offline net zo verwoestend is. Dit is geen science fiction, maar keiharde realiteit. CYBERWAR gaat langs bij hackende drugskartels, onderzoekt CIA-dodenlijsten en legt overheidsspionage bloot. Klik hier voor meer info over CYBERWAR en kijk elke vrijdagavond om 21.00 uur naar VICELAND voor een nieuwe aflevering.

De Russische hack van de Democratische Partij in Amerika, waarover de eerste aflevering van CYBERWAR op VICELAND vandaag om 21.00 gaat, klinkt ver weg, maar dat is het niet. De methode waarmee hackers toegang kregen tot gigantische hoeveelheden prive-informatie is ongelooflijk simpel: via een phishingmail. En daar zijn Nederlandse politici ook vaak slachtoffer van.

Eerder dit jaar tweette Tweede Kamerlid Kees Verhoeven (D66) dat de computers aan het binnenhof besmet waren door ransomware: een virus dat computers en bestanden gijzelt. Ransomware kan zich op je pc installeren nadat je op een linkje hebt geklikt of een bestand hebt gedownload. Het gaat er dus gewoon om dat je als crimineel een bijzonder geloofwaardig mailtje tikt, waar een volksvertegenwoordiger wel op moet klikken.

Toch is het niet vreemd dat een van de Kamerleden erin is getrapt. Daar hoef je namelijk geen digibeet voor te zijn. Er zit een hele wetenschap achter het schrijven van een succesvolle phishingmail met hoge 'klikratio'. En die wetenschap richt zich op de zwakste schakel in de keten: de mens.

Het is in ieder geval zorgwekkend dat onze Tweede Kamer slachtoffer wordt. Als onze landsbestuurders niet meer bij hun spullen kunnen, kan de chaos niet lang uitblijven – de nachtmerrie van elke bestuurder met een uit de klauwen gegroeid verantwoordelijkheidsgevoel. Een risico waarbij de gemiddelde Hollandse regenbui of NS-vertraging gauw verbleekt.

Des te interessanter dus voor de puisterige hoodies van deze wereld om de Tweede Kamer te phishen. Maar hoe ziet een goed doordachte phishingmail aan de Tweede Kamer eruit? Waar kunnen onze volksvertegenwoordigers op letten de volgende keer dat ze een mailtje ontvangen?

Sijmen Ruwhof, security-expert, stuurt al jaren regelmatig phishingmails. Dat klinkt crimineler dan het is: hij doet dat in opdracht van bedrijven die hun personeel willen testen. Na jaren van spammen en phishen weet hij inmiddels welke mailtjes het beste werken. Hij wees me op zeven dingen om op te letten vanuit de plenaire zaal.

Waarom zou een Kamerlid ergens op klikken? Een goede phisher verplaatst zich in het hoofd van zijn slachtoffer. Een Kamerlid is doorgaans een ambitieus mens. Wellicht te porren voor een LinkedIn-verzoek van een minister of staatssecretaris. Wat als je als splinterpartijlid een LinkedIn-invite krijgt van, bijvoorbeeld de kersverse Minister van Financiën?

Wopke Hoekstra has added you on LinkedIn. Daaronder de grote blauwe button met 'Accepteer verzoek'. Het bloed stijgt naar het hoofd van het hardwerkende Kamerlid. Je kan Wopke toch niet laten zitten?!

"Hoe persoonlijker de mail, hoe hoger de klikratio," zegt Ruwhof. Iemands (voor)naam is cruciaal. Maar meer factoren spelen een rol. Kamerleden spreken Nederlands, kom dus niet met een Frans of Chinees mailtje aan. Met andere woorden: phish in je moedertaal.

Een phisher zoekt naar openbare informatie over het slachtoffer. Voor ons Kamerlid is dat makkelijk. Alles wat in de Kamer wordt behandeld is openbaar. Even grasduinen en hij heeft een haakje voor zijn mail. Kijk dus niet verbaasd op als de fake Wopke Hoekstra op de hoogte is van je laatste activiteiten.

"Wat extra van pas komt, wanneer je je voordoet als een bekende, is jargon," vertelt Ruwhof. Het is een bekend middel waaraan mensen herkennen of ze 'bij elkaar horen'. Laten Kamerleden nou over niets anders praten dan moties, stemmingen, stukken, Kamervragen en vragenuurtjes. Voor de oplettende phisher is dit een eitje.

Dag Harrie, ik zag je laatste motie over kinderopvang, heel interessant. Laten we daar eens over doorpraten. Groeten, Wopke.

Ja, Wopke is misschien een workaholic, maar een mailtje dat om 4:30 's nachts verstuurd wordt, is toch een beetje raar. Zéker als je je vermomt als PostNL of een incassobureau. Een goede phishingmail ontvang je dus gewoon tijdens kantooruren.

Of nog beter: tijdens de lunch. "De meeste mensen checken tijdens de lunch hun privémail. De afgelopen jaren heb ik gemerkt dat als ik mijn phishingmail op dat moment verstuur, de kans groter is dat hij achteloos wordt geopend," aldus Ruwhof. Waak er dus voor als je precies in de pauze na het Vragenuurtje een interessant mailtje binnenkrijgt.

Kamerleden leven van deadline naar deadline. Als uit de phishingmail geen urgentie blijkt, belandt hij onderop de stapel. De kans dat het Kamerlid er later nog op klikt, is heel klein.

Een goede phishingmail heeft haast. Misschien schrijft Wopke daarom wel:

Dag Harrie, ik probeerde je te bereiken, maar ben je nummer kwijt. Kun je me gauw accepteren? Moet je zsm spreken. Groeten, Wopke

Of het logisch is dat uitgerekend Wopke Hoekstra nummers kwijtraakt is onze Harrie al lang vergeten. Wopke moet hem nú spreken!

Iedereen is sneller geneigd om te klikken wanneer je ervoor beloond wordt. Vul nu deze vragenlijst in en win een gratis iPad! Geef toe, ook jij hebt wel eens zo'n gare lijst ingevuld in de hoop op onevenredig dure gadgets.

Het gemiddelde Kamerlid heeft allang een iPad, "dus belonen met geld of een product zal niet zo snel aanslaan. In dat geval zal het iets moeten zijn dat schade voorkomt," denkt Ruwhof.

Voor een politicus is de ergste schade doorgaans imagoschade. Stel dat iemand met kwade intenties jouw Twitter-account gebruikt voor een reeks flink politiek incorrecte tweets. Het is je grootste nachtmerrie, maar denk toch liever twee keer na als je de volgende mail krijgt:

U heeft tomjansen1993@hotmail.com geautoriseerd voor toegang tot uw Twitter-account. Klik hier om dit ongedaan te maken.

Er zijn 150 Kamerleden, maar één klik is genoeg om binnen te komen in het parlementaire systeem. Een goede phishingmail komt dus niet tegelijkertijd binnen op alle 150 e-mailadressen. Voor je het weet roept het ene Kamerlid naar het andere: "Wow, Wopke Hoektra nodigt mij uit op LinkedIn!" En de ander: "Hé, mij ook!"

Zodra een van hen de mail doorstuurt naar de beveiliging, is de phisher af.

Ruwhof: "De goede phisher neemt zijn tijd en kiest zijn slachtoffers nauwkeurig." Hij stuurt zijn eerste mails niet naar de Kamerleden met 'digitale veiligheid' in hun portefeuille.

Kamerleden zijn nauwkeurige, precieze mensen. Ze letten op details. Bij een slordigheidje valt je phishingmail gauw door de mand. "Als een mail er gelikt en verzorgd uitziet, bijvoorbeeld met foto's en logo's, dan klikken mensen sneller," zegt Ruwhof. Een mailtje mét LinkedIn-logo en de profielfoto van Hoekstra scoort dus beter dan een zonder.

Bijzonder is dat originele LinkedIn-mailtjes gebruik maken van plaatjes op het internet. Zo'n mail laat pas plaatjes zien als je aangeeft dat hij afbeeldingen mag weergeven. Een phishingmail wil direct geloofwaardig zijn, en stopt de plaatjes dus in de mail zelf om ze wél direct te tonen. Ruwhof: "Soms zien phishingmails er dus échter uit dan echte mails."

Kortom, het is nog niet zo makkelijk voor onze volksvertegenwoordigers. De ongeloofwaardige phishingmailtjes met spelfouten haal je er wel uit. Maar een goede phishingmail is tailor made en bedoeld om jou in een zwak moment te laten klikken. Het is dus hartstikke belangrijk dat men in Den Haag voortaan alert is op deze punten. Bij twijfel: klik niet, open geen bijlages en update je browser en plugins. Anders moet Kees Verhoeven blijven twitteren.