Onderzoeksvraag & doelstelling
Deze deelvraag onderzoekt hoe publiek beschikbare informatie (OSINT) gebruikt kan worden om een realistische phishingcampagne op te zetten binnen een organisatiecontext. De centrale vragen zijn:
- Hoe vertaal je OSINT-informatie naar een geloofwaardig phishingscenario?
- Welke technieken en infrastructuur zijn nodig om de e-mail technisch betrouwbaar af te leveren?
- Hoe borg je de juridische en ethische randvoorwaarden?
Gebruik van OSINT bij het opstellen van de phishingmail
Op basis van openbare bronnen is vastgesteld dat Bodegro hoogstwaarschijnlijk gebruikmaakt van een intern intranet. Dit was een cruciale aanname bij het opstellen van een geloofwaardige phishingmail. De onderbouwing kwam uit twee OSINT-bronnen:
- Toepassing van Test-Driven Development (TDD): Uit de bedrijfsinformatie blijkt dat Bodegro nachtelijke automatische tests uitvoert. Dit vereist een buildserver binnen een intern netwerk.
- LabTrain is ontworpen voor intranetgebruik: De productpagina beschrijft een beheerinterface via intranet/internet. Dit impliceert dat de organisatie zelf een intranetomgeving onderhoudt.
Deze informatie is terug te vinden op de publieke website: bodegro.com/labtrain-interface.
Door in de phishingmail te verwijzen naar een zogenaamd intranetadres (intranet.bodegro.com), werd ingespeeld op bestaande verwachtingen en infrastructuur binnen de organisatie. Deze vorm van contextuele geloofwaardigheid is een krachtige toepassing van OSINT in social engineering.
Opgestelde phishingmail: paaseitjesactie
De volgende mail is opgesteld en verstuurd in het kader van dit onderzoek. De toon is bewust informeel en vriendelijk gehouden om wantrouwen te minimaliseren.
From: ines.denouden@bodegro.org Ik was helemaal vergeten om tijdens de standup te vertellen dat jullie allemaal een zakje paaseitjes krijgen van Bodegro! Je kan via het intranet je favoriete smaak aangeven. Dan zorg ik dat je voor het paasweekend een zakje paaseitjes op je werkplek hebt liggen. https://intranet.bodegro.com/paasactie.htm Doe het wel voor 25 maart, want dan moet ik de bestelling definitief maken. Alvast fijn weekend! Groetjes, Inés Verzonden vanaf mijn iPhone
Technische uitvoering van de campagne
Voor deze campagne zijn de volgende technische stappen uitgevoerd:
- Registratie van het domein
bodegro.orgom visueel opbodegro.comte lijken - Opzetten van een SMTP-server via IONOS voor betrouwbare aflevering
- Configuratie van SPF, DKIM en DMARC om spamfilters te omzeilen
- Gebruik van unieke trackinglinks per ontvanger om klikgedrag te meten
- Landingspagina op
intranet.bodegro.combevatte een onschuldig formulier (smaak paaseitjes)
De technische infrastructuur is ontworpen volgens AVG-richtlijnen: geen verwerking van bijzondere persoonsgegevens en volledige anonimisering van klikdata.
Ethische afwegingen
Hoewel gepersonaliseerde phishingmails op basis van OSINT waren voorbereid, is na overleg met de FG en de directie besloten om deze niet te verzenden. De generieke paaseitjesmail had al het gewenste bewustwordingseffect. De keuze om niet verder te gaan werd gemaakt op basis van:
- Proportionaliteit: geen onnodige inbreuk op de privacy
- Effectiviteit: het doel (bewustwording) was al bereikt
- Vertrouwen: medewerkers werden achteraf volledig geïnformeerd