Hackles op school met 'Vosboek'
Datum: 25 september 2019 | Categorie: Gastlessen | 3 minuten

Zoals eerder geschreven in deze blog geef ik wel eens gastlessen. Nu is de ‘Capture the Flag’ een tof voorbeeld om kids (technisch) uit te dagen. Naast deze puzzeltjes is het natuurlijk ook belangrijk om aandacht te besteden aan social engineering. Vandaar Vosboek!

Vosboek? Vosboek is een sociaal platform dat het levenslicht heeft gezien tijdens de laatste Summer School. Aangezien de jongste kids misschien te jong waren voor caesar ciphers, konden ze met Vosboek leren social engineeren. Nu lijkt dat misschien onwenselijk om ze dit aan te leren, maar eigenlijk denk ik dat dit juist heel goed is. Vosboek is dus een sociaal platform met verschillende gebruikers. Deze gebruikers hebben allemaal een wachtwoord dat gemakkelijk te raden is. Door meer over ze te weten te komen, bijvoorbeeld door foto’s te bekijken of berichten te lezen, kunnen ze dit wachtwoord raden. Het uiteindelijke leerdoel hiervan was dus een wachtwoord te kiezen dat niet gemakkelijk te raden is. Doordat kids zelf konden ervaren hoe gemakkelijk het is om vervolgens met een makkelijk wachtwoord in te loggen, denken ze de volgende keer vast wel twee keer na als ze een wachtwoord moeten verzinnen. Of als ze bepaalde informatie op internet zetten!

Nu kon het tijdens de Summer School vanwege gezette tijden heel tof gedaan worden met voice phishing. Verschillende collega’s zaten in het gebouw achter een telefoon welke ze konden bereiken via bellen, SMS of WhatsApp. Wilden ze het lievelingseten weten van de gebruiker op Vosboek, dan konden ze het nummer bellen en met een goed verhaal naar het lievelingseten vragen. De collega’s waren goed geinstrueerd wanneer ze wel of niet informatie prijs mochten geven. Belt iemand je op en vraagt naar je wachtwoord? Natuurlijk geef je dat dan niet Happy.

Dit vaker doen is lastig, want een berg collega’s iedere keer bereid vinden om met een telefoon klaar te zitten (met prepaidkaartjes), zal je werk ook niet bepaald bevorderen. Daarom nu een versie die thuis ook gespeeld kan worden. Hieronder een overzicht en uitleg over hoe Vosboek werkt.

Het overzichtsscherm

Op het landingsscherm zie je een overzicht van gebruikers op Vosboek. Deze gebruikers hebben ieder een eigen gebruikersnaam (naam achter het user-icoontje) en een wachtwoord. Door op de naam of afbeelding te klikken, ga je naar het profiel van deze gebruiker. In dit voorbeeld gaan we naar het profiel van Nathalie.

Het profiel

Zo ziet het profiel van Nathalie eruit. Je kunt hier haar laatste berichten lezen, meer over haar hobby’s en favoriete sporten en haar foto’s bekijken. Vanuit hier kun je haar wachtwoord raden. Je kunt bijvoorbeeld een hobby proberen als wachtwoord. Soms heb je alleen te weinig aanwijzingen om een goed wachtwoord te bedenken. In dat geval zul je contact op moeten nemen met de gebruiker om meer te weten te komen. Op dat moment kan dat via email. Het emailadres staat onder de profielfoto. De emails komen op dit moment nog bij mij uit en zullen handmatig worden beantwoord, maar een chatbot is onderweg.

Inloggen

Denk je dat je het wachtwoord hebt geraden? Dan kun je proberen in te loggen. Gebruik dus de gebruikersnaam die achter de profielnaam staat en het wachtwoord dat je in gedachten hebt.

Het overzicht
Voorbeeldchallenge

Heb je het wachtwoord goed geraden? Gefeliciteerd! Je komt dan uit op de profielpagina van degene die je net hebt ‘gehackt’! Nu heb je een extra functionaliteit, namelijk het plaatsen van berichten. Plaats een berichtje met je teamnaam op het profiel en alle fame is voor jou!


Wil je dit nou ook gebruiken voor bij een gastles? Op https://vosboek.hackchallenges.nl kun je naar dit sociale platform met 8 gebruikers.