Woensdag 28/09/2022

Internetcriminaliteit

Deze valse femme fatale stal de Google-accounts van 38 journalisten en activisten

Een foto van de Facebookpagina van 'Safeena Malik'. Beeld Amnesty International
Een foto van de Facebookpagina van 'Safeena Malik'.Beeld Amnesty International

Amnesty International heeft een grootschalige phishingcampagne blootgelegd waarbij meer dan dertig journalisten, activisten en campagneleiders benaderd werden om gevoelige informatie te bemachtigen. Dat meldt de mensenrechtenorganisatie in een nieuw rapport. De slachtoffers werkten allen op een of andere manier rond arbeidsrechten in Qatar en Nepal.

JC

Centraal in de hackingoperatie stond Safeena Malik. Sociale media tonen een knappe millennial met een universitair diploma en een akoestische gitaar. Maar ondanks geloofwaardige Twitter- en Facebookaccounts en een goed gespijsd LinkedIn-profiel met meer dan vijfhonderd connecties, is Malik niet echt. Ze is niet meer dan een nauwkeurig uitgewerkte truc die slachtoffers in de val moet doen lopen.

De mensen achter Malik hebben vorig jaar op grote schaal geprobeerd in te breken in de gmail-accounts van journalisten, arbeids- en mensenrechtenactivisten met een focus op Qatar. In veel gevallen was de aanval succesvol. Maar wat vooral beangstigend is, is het oog voor detail, de volharding en de toewijding van de cybercriminelen.

De slachtoffers kregen telkens een e-mail van Malik. 'Ik doe onderzoek naar mensenhandel. Kan u mij hierbij helpen? Ik wil mijn onderzoek met u delen', luidde het bijvoorbeeld in een mail van 29 augustus. Slachtoffers werden gevraagd om een document op Google Drive te bekijken. Als ze op de link klikten, werden ze automatisch doorverwezen naar een loginscherm dat bijna identiek was aan dat van Google. Op elk detail was gelet: zo was de neppagina zelfs geprogrammeerd om de profielfoto van het slachtoffer te tonen.

Nadat ze hun e-mailadres en paswoord ingaven, werden de slachtoffers doorgestuurd naar een echt Google Drive-document. Maar intussen hadden de hackers wel hun logingegevens.

"De aanvallers hielden zich letterlijk maandenlang bezig met hun doelwitten", zegt cybersecurity-onderzoeker Claudio Guarnieri van Amnesty International aan Forbes. "Wat deze campagne ook onderscheidt, is de aandacht voor details om ervoor te zorgen dat de aanval zo geloofwaardig mogelijk is. Alleen een getraind oog zou in staat zijn om de subtiele verschillen met echte Google-diensten op te merken."

Link naar Qatar

Elk doelwit werd verleid met een hapklare brok interessante informatie. Zo kreeg het in Brussel gevestigde Internationaal Vakverbond (ITUC) een onderzoek naar de geldfondsen van terreurorganisatie IS voorgeschoteld. Vorig jaar beloofde Malik materiaal over de arbeidsrechten in Qatar aan een onderzoeksjournalist die werkte rond de mensonwaardige omstandigheden waarin migranten werkten bij de bouw van de stadions voor de Wereldbeker Voetbal in 2020.

Maar sommige slachtoffers werden achterdochtig en verwittigden Amnesty International, dat een onderzoek instelde. Tegen eind 2016 was het duidelijk dat Safeena Malik niet bestond.

Wie er achter de aanvallen zit, is nog niet duidelijk. Wel vond Amnesty een link naar Qatar. Sommige van de hackers logden immers in op de gestolen accounts vanaf een IP-adres dat gelinkt kon worden aan Ooredoo, een internetprovider met hoofdkantoor in Doha. De Qatarese regering heeft elke betrokkenheid ontkend. Amnesty benadrukt dat het geen bewijzen kan leveren. "Maar het feit dat de campagne specifiek mensen viseerde die bezig waren met mensenrechten in Qatar, doet ons geloven dat het mogelijk om een door de staat gesteunde organisatie gaat", klinkt het in het rapport.

38 slachtoffers

In twee jaar tijd probeerde 'Malik' de logingegevens van 38 slachtoffers te stelen, zo staat nog in het rapport. De namen worden door Amnesty geheim gehouden, alleen ITUC stond toe met naam genoemd te worden omdat de aanval bij het vakverbond niet succesvol was.

"Deze persona probeerde midden 2016 sporadisch contact te leggen met een van onze personeelsleden", zegt een woordvoerder van ITUC aan Forbes. "Het leek ons een klassieke poging tot phishing, vergelijkbaar met trolling- en hackingacties waar we eerder al mee te maken kregen." De ITUC heeft de behandeling van buitenlandse arbeiders in Qatar openlijk aan de kaak gesteld en heeft zelfs opgeroepen de Wereldbeker elders te organiseren.

Meer over

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234