In dit artikel heb ik het over het risico om gehacked te worden via… “uw oplaadkabel of een USB-oplaadpunt!” Say what?! Specifieke sectoren worden geviseerd. Je leest het hier…
Smartphone heeft honger
Uw smartphone of tablet heeft nog maar weinig batterij en je hebt de oplaadkabel thuis gelaten. Het kan toch geen kwaad om er een te lenen van een medepassagier in de vertreklounge van de luchthaven of bij de receptie van je hotel, nietwaar? Of je hebt je kabel bij, en gebruikt een USB-laadpunt in bijv. de luchthaven? Niets mis mee? Helaas, je kon al tweemaal zijn gehacked.
De eigen oplader of kabel heb je niet altijd bij of binnen handbereik. Net om die reden tref je op heel wat luchthavens USB-laadpunten waar je je laadkabel kan inpluggen.
Praktisch, gratis makkelijk,… gevaarlijk!
Mijn advies: nooit publieke USB-laadpunten gebruiken!
Publieke USB-stroom laadpunten
De USB-stroom laadpunten in luchthavens zijn heus niet zo onschuldig als ze lijken. Cybercriminelen kunnen deze USB-verbindingen aanpassen om malware op uw telefoon te installeren of gegevens te downloaden zonder uw medeweten.
Wat is malware? Malware is elke software die gebruikt wordt om computersystemen te verstoren, gevoelige informatie te verzamelen of toegang te krijgen tot private computersystemen. Het woord is een samentrekking van het Engelse malicious software. Malware veronderstelt kwaad opzet.
“Uw mobiel toestel aansluiten op een openbare USB-poort is als het vinden van een tandenborstel en die in je mond stoppen. Je hebt geen idee waar dat ding is geweest”, zegt Caleb Barlow, Vice President van X-Force Threat Intelligence bij IBM Security. En vergeet niet dat die USB-poort gegevens kan doorgeven… want dat is nu eenmaal wat USB-poorten doen.
Het is veel veiliger om uw eigen vertrouwde lader mee te nemen en deze in een stopcontact te steken of, als alternatief, een draagbare powerbank mee te nemen om uw telefoon op te laden als je weinig stroom hebt.
Juice-Jack Defender
Heb je toch de noodzaak om openbare USB-poorten te gebruiken? Dan raad ik je aan om een Juice-Jack Defender te kopen (+/- 10 EUR).
Dat is een klein tussenstukje dat je vooraan de oplaadkabel kunt plaatsen en alle gegevens blokkeert, waardoor de kabel geen data doorgeeft, maar wel stroom.
USB-oplaadstations op de luchthaven zijn handig maar kunnen een risico vormen voor uw persoonlijke gegevens.
Oplaadkabels… deel je niet
Waar je ook beter afblijft, zijn technische accessoires die klaarblijkelijk door andere reizigers zijn achtergelaten. Een eenvoudig (bijv.) Apple laadsnoer, gevonden in de hal van het hotel, de hotelkamer, een vergaderzaal… ‘mooi meegenomen’ zou je denken. Niet dus.
Als ik iemand op de luchthaven wil targetten, ga ik het publieke USB-laadstation niet onopgemerkt kunnen demonteren om het aan te passen. Wat ik wel perfect kan doen, is naast de target gaan zitten en “per ongeluk” een laadkabel in het USB-laadstation laten steken.
Maar in die laadkabel zit een extra chip die malware gebruikt, dus het laadt je telefoon op, en in één moeite ben ik nu de eigenaar van je computer.
Je neemt een soortgelijk risico als je een oude USB-stick gebruikt die je in het rond ziet liggen. Veel bedrijven verbieden terecht het gebruik van USB-opslagapparaten omdat ze potentieel gevaarlijk zijn.
Wil ik een bedrijf targetten, koop ik een honderdtal USB-sticks (die malware meekrijgen) en laat ik ze achter op plaatsen waarvan ik weet dat medewerkers er vertoeven. Gegarandeerd dat één van hen zal worden aangesloten op een laptop van het bedrijf.
Of hackers sturen u een oplaadkabel als relatiegeschenk. Die kabel draagt het logo van een klant of leverancier waar het bedrijf mee werkt; dan lijkt het heus niet vreemd dat je dat krijgt. Bedrijven vermelden vaak klanten op hun website. Anders is er social engineering om de nodige info te bekomen.
Lees ook: Over Social Engineering en Deepfake-spionnen op LinkedIn
DEF CON Hacking Conference
Op het jaarlijkse DEF CON Hacking Conference in Las Vegas demonstreerde een hacker (genaamd ‘MG’) het gevaar van een aangepaste iPhone-lightningkabel.
Door die kabel aan te sluiten op een Mac-computer, kreeg MG op afstand toegang tot het IP-adres van de kabel en nam de controle van de Mac over. Nadien kon MG, op afstand, de geïmplanteerde malware “killen” waardoor elk spoor ervan werd uitgewist. De ondernemende hacker had een voorraad zogenaamde “O.MG-kabels” die hij voor 200 dollar per stuk verkocht.
DEF CON is een van de grootste hacker-conferenties ter wereld en vindt plaats in Las Vegas. In 1993 opgericht door hacker Jeff Moss (bekend als The Dark Tangent). De conferentie duurt drie dagen en bestaat uit lezingen, workshops, ontmoetingen en wedstrijden.
Nog niet op grote schaal
Nu ja, kwaadaardige oplaadkabels zijn op dit moment geen wijdverbreide bedreiging.
Vooral omdat dit soort aanvallen niet echt goed schaalbaar zijn. Dus wanneer het je overkomt, zal het een gerichte aanval geweest zijn en dan ben je nog niet thuis.
Maar het feit dat we nog geen wijdverbreide aanval hebben gezien, betekent niet dat we het niet zullen zien, want de techniek die ik beschreef werkt wel degelijk.
De technologie is erg klein en goedkoop. Het is zo klein en makkelijk verwerkt, dat het lijkt op een gewone kabel. Deze dingen worden alleen maar goedkoper om te produceren en het is niet iets wat de gemiddelde consument meteen als risico gaat ervaren.
Wat de USB-laadpunten betreft, heb ik al weet van reëele cases.
Technische hygiëne
Voorzichtig zijn met wat je op je apparaten aansluit is gewoon een goede technische hygiëne. Denk er net zo over na als over het openen van e-mailbijlagen of het delen van wachtwoorden. In een computercontext is het delen van kabels net als het delen van uw wachtwoord, want in beide gevallen geef je de toegang tot uw netwerk weg.
Veel reizigers weten dat de receptie van het hotel in een handomdraai een lade met oplaadkabels heeft die door de gasten zijn achtergelaten. Geen kabel bij? Laat u niet verleiden. Ben je je valies met kledij kwijtgespeeld en zit je zonder ondergoed; dan ga je toch ondergoed kopen, en niet lenen.
Niet overdreven
Hoewel deze voorzorgsmaatregelen overdreven lijken voor de gemiddelde reiziger, is het toch slim voorzichtig om te gaan met openbare USB-centrales en laadkabels van derden.
Lees ook: China volgt schoolkinderen via smartwatch. Die technologie zit ook hier…
Een groeiend aantal hackers (vaak in dienst van een land) heeft het gemunt op reizigers, aldus nieuw onderzoek van IBM Security. De USB-laadpunten zijn geliefkoosd terrein.
En sinds cyberhackers hebben ontdekt hoe ze oplaadkabels kunnen implanteren met malware die op afstand apparaten en computers kan kapen, is dat een niet te onderschatten risico. Zeker wanneer je werkzaam bent in een data-gevoelige omgeving.
Specifieke sectoren geviseerd
De IBM X-Force Threat Intelligence Index van 2019 laat zien dat de financiële en verzekeringssector al drie jaar op rij de meest getroffen sector is, met 19% van alle aanvallen en incidenten in 2018.
Ik weet dat een zeer groot deel van mijn lezersbestand actief is in de bank- en verzekeringssector in België en Nederland; dus lieve lezers, wees waakzaam!
Transportsector
Volgens datzelfde X-Force rapport, is de transportsector een prioritair doelwit geworden voor cybercriminelen als de nu op een na meest aangevallen sector (13%).
De transportsector bestaat uit transportdiensten, omvat luchtvaartmaatschappijen, bus- en spoorvervoer en vervoer over water.
In 2017 stond de transportsector nog op plaats 10. Sinds januari 2018 zijn 566 miljoen records uit de reis- en transportsector gelekt of in gevaar gebracht door openbaar gemelde inbreuken. En dan zijn er nog de datalekken die niet gemeld of (nog) niet ontdekt zijn.
In elk geval, een gewaarschuwd mens telt voor twee.
Zet alvast op uw boodschappenlijst, een degelijke powerbank en een Juice-Jack Defender. Dan zit je voortaan rustig op je vlucht te wachten.
Steven Dupont
#WhatsNext is een Technologie- en Innovatieblog in mensentaal. Op de hoogte blijven? Volg ons op:
#WhatsNext: Innovatie, Kunst en Design 
3 reacties