Ius mentis Homepage | Categorieën | Lijst A-Z | Willekeurig artikel | Herpubliceren? | Over deze site | Blog | Contact
 

Sociale virusaanvallen

Computers worden tegenwoordig haast standaard uitgerust met een virusscanner. Het wordt voor een virus dus steeds lastiger om zich op de ouderwetse manier te verspreiden. Wat wel steeds populairder wordt, is het gebruik maken van de gebruiker in plaats van diens computer om een virus door te geven.

Inhoudsopgave

Virussoorten

Klassieke virussen

Computervirussen zijn al tientallen jaren oud. Virussen verspreiden zich door een kopie van zichzelf vast te plakken aan programma's of bestanden die vervolgens door een gebruiker worden geopend. De nieuwe kopie kan zichzelf dan tijdens dat uitvoeren weer verder verspreiden. Dit werkt prima, zolang de gebruiker maar regelmatig die besmette programma's uitvoert en geen viruschecks uitvoert. Lees verder in Besmet! Computervirussen en Trojaanse paarden.

Nieuwe trend: sociale virussen

Helaas voor de virussen zijn gebruikers de laatste jaren juist meer viruschecks uit gaan voeren, waardoor het aantal besmettingen teruggedrongen wordt. Ook worden er tegenwoordig minder programma's zomaar uitgewisseld, waardoor de kans op besmetting afneemt. De grote software-sites checken alle bestanden op virussen, en vaak worden downloads ook nog eens automatisch geverifieerd. En juist vanwege de kans op virussen worden bestanden op onbekende sites veel minder gedownload en zomaar geinstalleerd.

Ofwel, de meeste gebruikers zijn inmiddels verstandig genoeg om geen bestanden van vreemden aan te nemen en niet zomaar iets te installeren. Virusmakers hebben zich dit ook gerealiseerd en zoeken dan ook naar nieuwe manieren om virussen te verspreiden. Een van de meest succesvolle: e-mail van een kennis.

Automatie

E-mailprogramma's zijn voorzien van steeds meer mogelijkheden om automatisch dingen te kunnen doen. Zo kan een ander programma nu volautomatisch een mailtje laten versturen. En dat is handig voor virussen.

Traditioneel zijn e-mailprogramma's niets bijzonders. Ze kunnen mail ophalen bij een server en opslaan in folders, en een gebruiker kan nog antwoorden typen en verzenden ook. Handig voor dagelijks gebruik, maar niet als er geautomatiseerd mailtjes moeten worden verstuurd. Hiervoor zijn diverse technieken ontwikkeld, waaronder de Mail API (MAPI) van Microsoft.

Een API is een verzameling standaardfuncties die vanuit andere programma's kunnen worden aangeroepen. MAPI bevat bijvoorbeeld een functie voor het versturen van een bericht met een zekere inhoud naar een bepaald e-mail adres, of het opvragen van een adres uit het adresboek. Zo kan bijvoorbeeld een webbrowser bij het klikken op een 'mailto' link eenvoudigweg de gebruiker een mailtje laten versturen, zonder dat de webbrowser zelf alle code moet bevatten om mail te kunnen versturen.

De meest uitgebreide MAPI functies zitten in Microsoft Outlook, wat tevens het meest geinstalleerde mailprogramma is. Het is bijzonder eenvoudig om Outlook geheel geautomatiseerd alles te laten doen, zelfs vanuit Visual Basic. En het oplettende lezertje voelt hem al aankomen: dat is dus precies wat een virus nodig heeft.

Sociale virusverspreiding

Door gebruik te maken van de automatiseringsfuncties in e-mail, kan een virus zichzelf verspreiden in een legitiem uitziende mail. Omdat mensen denken dat deze van een kennis komt, zullen zij snel geneigd zijn deze te openen zonder eerst te controleren op virussen.

Social engineering - inbreken via de mens

De truc die een dergelijk virus toepast is gebaseerd op het idee dat mensen sneller iets vertrouwen dat van een bekende komt, dan iets dat van een vreemdeling afkomstig is. Deze truc staat bekend onder de naam "social engineering". Dit is een tak van sport die grofweg neerkomt op inbreken langs de menselijke kant, in plaats van langs de technische kant.

Een simpel voorbeeldje: neem een grote doos en loop naar de personeelsingang van een winkel. Grote kans dat er iemand de deur voor je opendoet, omdat je anders die grote, zware doos neer moet zetten om je sleutel te pakken. Hierbij maak je dus gebruik van de menselijke gedachte dat niemand zomaar met een grote doos naar de personeelsingang loopt, en zo iemand "dus" te vertrouwen is.

Ook een leuke truc is een helpdesk opbellen, doen alsof je een zekere gebruiker bent en je wachtwoord vergeten bent. Hoe moeilijk is het om die helpdesker zo ver te krijgen dat hij het verandert in iets wat jij bedenkt?

Social engineering voor virussen

Virussen kunnen ook van deze trucs gebruik maken. Hiervoor maken zij gebruik van diverse standaardfaciliteiten in Windows. Hierboven is al uitgelegd hoe een virus geheel automatisch een mailtje kan versturen naar een gegeven e-mail adres. Een virus is natuurlijk wel nog steeds een stuk code, dat aan een programma of een databestand vast moet zitten. Dat bestand kan echter -ook weer geheel automatisch- als bijlage (attachment) mee worden gestuurd met dat mailtje. Maar waarom zou de gebruiker nu dat attachment openen? Ook hier komt de social engineering weer te hulp.

Zoek een bestand en besmet het

Windows heeft een standaard map genaamd "Mijn Documenten", waarin standaard alle databestanden die de gebruiker maakt worden neergezet. Ook wordt bijgehouden welke bestanden recentelijk nog zijn gewijzigd of aangemaakt. Deze zijn te zien in het "Documenten" submenu in het Startmenu. Een virus kan nu een willekeurig bestand uit "Mijn Documenten" of uit het "Documenten" submenu uitkiezen, en een besmette kopie meesturen als attachment.

Mail dit iedereen in het adresboek

Het adresboek in Outlook is ook automatisch uit te lezen. Het is dus mogelijk voor een virus om iedereen in iemands adresboek geheel automatisch een mailtje te sturen met daarbij een besmette kopie van een bestand uit "Mijn Documenten" als attachment. Maar waarom zou die ontvanger dit attachment nu openen en zichzelf besmetten?

Simpel. Een mailtje afkomstig van je moeder (hoi mam!) zal toch geen virussen bevatten, want zoiets zou je moeder toch nooit doen? En dat is nu precies de redenering waar het virus op hoopt. Het mailtje is immers verzonden door het virus, en openen van de bijlage infecteert het systeem van de ontvanger.

Kies een verleidelijk onderwerp

Een verleidelijk onderwerp is ook een geliefde truc. Het bekende Kournikova-virus maakte hiervan gebruik. Met de belofte van een foto van de bekende tennisster Anna Kournikova werden veel mensen verleid om een bijlage te openen, waardoor hun systeem besmet werd.

Natuurlijk valt het een gebruiker snel op als openen van een bijlage alleen maar leidt tot formatteren van de harddisk. Vandaar dat de meeste virussen zich zo onopvallend mogelijk gedragen. Het Sircam virus, bijvoorbeeld, stuurt een besmet bestand uit de "Mijn documenten" map als bijlage. Wie deze bijlage opent, activeert het virus. Het eerste dat het virus doet, is het alsnog openen van het 'echte' bestand, zodat de gebruiker denkt dat alles normaal functioneert.

Camoufleer de bestandsnaam

Aan een bijlage is niet altijd te zien of het gaat om een databestand of een programma. Standaard verbergt Windows de extensie van een bijlage. Virussen spelen hierop in door de naam van de bijlage te voorzien van iets als ".doc" zodat het lijkt of het bestand een Word-document met extensie .doc is. De echte bestandsnaam kan echter best "bestand.doc.exe" zijn (een programma dus), en bij openen wordt het programma dan uitgevoerd.

En zelfs al is de bijlage echt een databestand, dan nog kan het besmet zijn met een macrovirus dat actief wordt bij het openen van het bestand. Het is dus verstandig om zulke bestanden te openen met een speciale viewer die geen macro's uit kan voeren.

Conclusie

Virussen zijn nog steeds net zo actief als vroeger, en ze zijn nog slimmer geworden ook. Een goede virusscanner en regelmatige updates daarvoor zijn essentieel voor een goede technische beveiliging. Echter, een regelmatige upgrade van de gebruiker is minstens zo belangrijk. Open dus nooit zomaar een attachment, ook niet als het van een bekende afkomstig is. Klik niet op links die je ongevraagd toegemaild worden. En niet te vergeten: vertel de afzender dat hij zomaar een bijlage stuurde, zodat hij weet dat zijn systeem besmet is - of zodat hij weet dat dat niet verstandig is.

Gerelateerde artikelen

Gespecialiseerd advies nodig?

Heeft u na het lezen van dit artikel nog vragen, of zit u met een juridisch probleem waar u advies over wilt? Neem dan contact op met ICT-jurist Arnoud Engelfriet, auteur van dit artikel.

© Arnoud Engelfriet. Dit werk mag vrij worden verspreid en gepubliceerd zoals bepaald in de licentievoorwaarden.

Laatste wijziging:
6 november 2018