HackTheBank Logo
nl
Terug naar het programma

Uitgelichte track

Human Factor: diepgaand

Geen exploit nodig, alleen een overtuigend verhaal. Human Factor is waar je leert een systeem te breken door zijn mensen te breken.

Elk slot heeft een sleutel. Elke sleutel heeft een persoon. In Human Factor volg je het geldspoor van Bits n Bites naar Banco Maximus, een bank die zichzelf profileert als een security-paranoide fintech, maar zijn vertrouwen legt bij zijn medewerkers. Je aanvalsoppervlak is geen code, het zijn gewoonten, ambities en het fundamentele menselijke verlangen om behulpzaam te zijn. Je voert open-source verkenning uit, bouwt doelwitdossiers op, maakt op maat gemaakte lokmiddelen en voert een volledige social-engineering campagne uit die klassieke pretexting combineert met moderne technieken zoals supply chain-analyse en AI prompt injection.

Waarom het ertoe doet

De Twitter-hack van 2020, waarbij aanvallers medewerkers via telefoongesprekken social-engineerden om admintoegang te krijgen tot accounts van Barack Obama, Elon Musk en Joe Biden, was geen codekwetsbaarheid. Het was een mensenkwetsbaarheid. Geen firewall, geen WAF, geen SIEM stopte het. In 2018 werd het event-stream npm-package gecompromitteerd met een gerichte backdoor die miljoenen installaties bereikte voordat iemand het opmerkte. Vandaag introduceren AI-aangedreven e-mailassistenten een nieuw aanvalsoppervlak: prompt injection-payloads verstopt in gewoon ogende berichten die het model verleiden data te lekken die het was ontworpen te beschermen. Social engineering blijft de meest gebruikte initiele toegangsvector bij echte breaches juist omdat het elke technische controle omzeilt. Human Factor combineert OSINT, supply chain-analyse, document-weaponisatie en AI prompt injection in een enkele campagne, want zo werken moderne aanvallen daadwerkelijk. Begrijpen hoe aanvallers vertrouwen opbouwen en misbruiken over al deze oppervlakken is niet langer optioneel voor developers. Het is het verschil tussen een team dat code shipt en een team dat security shipt.

Wat je gaat oefenen

De missie is Banco Maximus, een doelwit dat gelooft dat zijn technische stack het ondoordringbaar maakt. Dat klopt niet. Jouw taak is een recruiter te worden, een collega, een stem die ze willen vertrouwen.

Je begint met open-source intelligence: de website van Banco Maximus scrapen voor de organisatiestructuur, namen van medewerkers extraheren uit PDF-metadata, en drie doelwitten profileren via GitHub, Mastodon, DeviantArt en Medium. Zodra je dossiers compleet zijn, stel je een outreach-campagne van drie berichten op die een AI-jury beoordeelt op psychologische effectiviteit, en kies je vervolgens welke medewerker je aanvalt.

Mike is het technische pad. Je analyseert een kwaadaardig npm-package verstopt in een software bill of materials, bouwt een overtuigende phishing-lokaas en oogst CI/CD-pipelinetokens. Aisha is het weaponisatiepad. Je bouwt een macro-enabled document dat URLDownloadToFile chaint met WinExec, stelt het pretext op dat haar overtuigt om macro's in te schakelen, en implementeert vervolgens hybride AES-256- en RSA-encryptie om de geexfiltreerde data te vergrendelen. Koen is de long game. Je maakt geo-tracking links verstopt achter Calendly-uitnodigingen, kruist IP-geolocatie met bekende kantoorlocaties, en stelt prompt injection op verstopt in 1px witte tekst die een AI-e-mailassistent kaapt om credentials te lekken.

Elk pad eindigt met een keuze die test hoe ver je bereid bent een operatie door te zetten. Drie paden, twee eindes elk, zes uitkomsten in totaal.

Challenges

Drie doelwitten. Drie paden. Zes eindes.

Bouw een volledige social engineering-campagne van OSINT tot uitvoering. Elk pad gebruikt andere echte technieken, en elk pad eindigt met een keuze die de uitkomst verandert.

16 challenges3 vertakkende paden6 mogelijke eindes

Scrape de website van Banco Maximus voor de organisatiestructuur, extraheer namen van medewerkers uit PDF-metadata met tools zoals exiftool, en bouw dossiers op door GitHub-repos, Mastodon-posts, DeviantArt-portfolio's en Medium-artikelen te kruisen. Zo brengen echte red teams een doelwit in kaart voordat er een enkele e-mail is verstuurd.

Analyseer een software bill of materials, identificeer een kwaadaardig npm-package verstopt in de dependency-boom, en traceer de redirect-infrastructuur. Oogst vervolgens CI/CD job-tokens uit de pipeline van de gecompromitteerde developer. Geinspireerd door de supply chain-aanvallen op event-stream (2018) en ua-parser-js (2021) die miljoenen downloads troffen.

Bouw een macro-enabled document dat URLDownloadToFile en WinExec aanroept bij openen. Stel het social engineering-pretext op dat je doelwit overtuigt om macro's in te schakelen. Implementeer vervolgens hybride AES-256- en RSA-encryptie voor de geexfiltreerde data, hetzelfde key management-schema dat moderne ransomware-families zoals LockBit en Conti gebruiken.

Maak geo-tracking links verstopt achter Calendly-uitnodigingen met diensten zoals Grabify. Kruis IP-geolocatie met bekende kantoorlocaties. Stel vervolgens een prompt injection-payload op verstopt in 1px witte tekst in een zakelijke e-mail die een AI-e-mailassistent manipuleert om credentials te lekken naar een mailbox onder controle van de aanvaller. Dit is de bleeding edge van social engineering.

OSINT & Doelwitprofilering

Aanvalsketen

OSINT verkenning

Scrape de website van Banco Maximus voor de organisatiestructuur, extraheer namen van medewerkers uit PDF-metadata die het bedrijf vergat te scrubben, en profileer drie doelwitten.

Outreach campagne

Stel een outreach-strategie van drie berichten op voor psychologische effectiviteit. Elk bericht moet persoonlijke details uit je dossiers gebruiken om het doelwit te haken met een droombaanaanbod dat ze niet kunnen negeren.

Kies je doelwit

Selecteer een van drie medewerkers: Mike (technisch, supply chain-compromittering), Aisha (document-weaponisatie en encryptie van ransomware-niveau), of Koen (long-game social engineering met AI prompt injection). Elk pad gebruikt fundamenteel andere aanvalstechnieken.

Voer de aanval uit

Een van de doelwitten vereist het maken van geo-tracking links verstopt achter uitnodigingen, het kruisen van IP-geolocatie met kantoorlocaties, en het opstellen van prompt injection verstopt in 1px witte tekst die een AI-e-mailassistent kaapt.

Laatste keuze

Elk pad vertakt zich in twee eindes, zes in totaal. Crash een CI/CD-pipeline of kijk toe vanuit de schaduw. Vergrendel bestanden met encryptie of eis losgeld. Lek data publiekelijk of werf een insider. Hoe ver je gaat is aan jou.

OWASP Top 10 (2025) dekking

A03Software Supply Chain Failures
  • Analyseer een software bill of materials om een kwaadaardig npm-package met ingebedde redirect-infrastructuur te identificeren, vergelijkbaar met aanvallen zoals event-stream (2018) en ua-parser-js (2021).
  • Oogst CI/CD job-tokens uit de pipelineconfiguratie van een gecompromitteerde developer om persistente toegang tot het buildsysteem te krijgen.
A05Injection
  • Bouw macro-gebaseerde payloads die URLDownloadToFile en WinExec aanroepen om remote binaries te downloaden en uit te voeren wanneer een doelwit een geladen document opent.
  • Stel prompt injection-payloads op verstopt in 1px witte tekst die AI-aangedreven e-mailassistenten manipuleren om credentials en persoonlijke data door te sturen naar een mailbox onder controle van de aanvaller.
A06Insecure Design
  • Extraheer namen en functies van medewerkers uit PDF-metadata die de organisatie vergat te scrubben voor publicatie.
  • Maak geo-tracking links verstopt achter legitieme Calendly-uitnodigingen en kruis IP-geolocatie met bekende kantoorlocaties om de fysieke omgeving van een doelwit in kaart te brengen.