Twee jonge leden van de beruchte hackersgroep Scattered Spider hebben bekend dat zij in 2024 het Londense openbaar vervoer platlegden. Geen geavanceerde zero-day, geen onkraakbare malware: twee tieners brachten een van de grootste vervoersorganisaties van Europa in de problemen met manipulatie en gestolen inloggegevens. Dat zou elke bestuurder aan het denken moeten zetten, ook hier.
Wie bekende wat
Thalha Jubair (20) uit Londen en Owen Flowers (18) uit Walsall bekenden schuld voor de aanval op Transport for London (TfL) tussen eind augustus en begin september 2024. Beiden pleitten aanvankelijk onschuldig, maar wijzigden hun pleidooi op de eerste zittingsdag bij Woolwich Crown Court. De aanklacht is zwaar: samenspanning tot onbevoegde computerhandelingen met risico op ernstige schade, een feit waar in het Verenigd Koninkrijk levenslang op staat. De uitspraak volgt op 16 juli.
De aanval raakte het Oyster-terugbetalingssysteem, legde klantendiensten plat en leidde tot diefstal van klantgegevens. De teller van ongeveer 29 miljoen pond aan verlies en herstelkosten maakt duidelijk hoe duur zo'n inbraak wordt. Tekenend voor de aard ervan: alle 28.000 TfL-medewerkers moesten fysiek naar kantoor komen om hun wachtwoord opnieuw in te stellen, omdat op afstand niemand nog een identiteit met zekerheid kon vaststellen.
Geen technisch hoogstandje, maar manipulatie
Scattered Spider staat niet bekend om verfijnde exploits, maar om het manipuleren van mensen. De groep belt zich via social engineering naar binnen, vaak door zich voor te doen als een medewerker en zo bij een servicedesk een wachtwoordreset of het opnieuw instellen van multifactor-authenticatie af te dwingen. Dezelfde aanpak legde eerder de Amerikaanse casino's MGM en Caesars plat. Dat TfL uiteindelijk tienduizenden wachtwoorden handmatig en in persoon moest resetten, laat precies zien waar het misging: bij de identiteitsverificatie, niet bij een firewall.
Jubair kreeg een extra aanklacht omdat hij weigerde de wachtwoorden van zijn in beslag genomen apparaten af te geven. Flowers werd daarnaast in verband gebracht met inbraken bij de Amerikaanse zorgorganisaties SSM Health en Sutter Health en overtrad tweemaal zijn borgtochtvoorwaarden. Paul Foster van de National Crime Agency noemde het een aanval die miljoenen ponden schade toebracht aan een cruciaal onderdeel van de Britse vitale infrastructuur.
Wat dit betekent voor jouw bedrijf
De les is ongemakkelijk: je grootste kwetsbaarheid zit zelden in je software, maar in de mens die onder druk een uitzondering maakt. Een helpdeskmedewerker die snel even een wachtwoord reset voor een 'collega' aan de telefoon is precies het gaatje dat deze groep zoekt. Elke organisatie met een interne of uitbestede servicedesk is daarmee een doelwit, ongeacht omvang.
De verdediging is bewust saai: strikte identiteitsverificatie voordat iemand een wachtwoord of MFA reset, een tweede factor die niet telefonisch te omzeilen is, en heldere afspraken over wie wat mag autoriseren. Hoe je dat soort controles concreet inricht, staat in de vijf basislagen cybersecurity die je zelf kunt nalopen: geen dure tooling, maar procedures en discipline. Twee tieners hadden genoeg aan een telefoon en een overtuigend verhaal. Jouw tegenmaatregel hoeft niet ingewikkelder te zijn dan consequent 'nee, eerst verifiëren' durven zeggen, juist als het ongelegen komt.
Veelgestelde vragen
Veilige processen, niet alleen tools
Ik help bedrijven hun software en processen zo in te richten dat een telefoontje naar de helpdesk geen achterdeur wordt: van meedenken over identiteitsverificatie tot het bouwen en automatiseren van veilige, waar mogelijk self-hosted workflows.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
