Wat is Social Engineering?

Wat is social engineering? Hoe werkt het? Voorbeelden en tips

 

Op deze pagina leggen we uit wat social engineering is, hoe cybercriminelen dit gebruiken en laten we aan de hand van aansprekende voorbeelden zien hoe Secura deze kwetsbaarheden in opdracht van de klant onderzoekt en wat de gevolgen kunnen zijn van een social engineering-aanval. Als laatste krijgt u tips mee hoe u veel voorkomende scenario’s zelf kunt herkennen en voorkomen.

Bij hacking of cybercrime wordt vaak direct gedacht aan uitbuiting van technische kwetsbaarheden. Technisch goed beveiligd zijn is echter slechts het begin van de bescherming van uw data. De mens is zonder twijfel de zwakste schakel in informatiebeveiliging en precies de reden waarom aanvallers zich richten op het beïnvloeden (en vervolgens uitbuiten) van menselijk gedrag.

We beschrijven de term social engineering algemeen (maar allesomvattend) als: “acties die een persoon beïnvloeden om handelingen te verrichten die, al dan niet, in diens eigen belang zijn”.

Toen het nog niet gebruikelijk was dat iedereen thuis een computer had, laat staan een verbinding met het internet, werd social engineering ook al toegepast. Niet zozeer via e-mail of het internet zoals we dat nu zien. Maar onder andere in de vorm van kettingbrieven of piramidespellen. Deze manipulatietechnieken worden nog steeds gebruikt, maar worden nu toegepast op het internet. Voorbeelden hiervan komen later aan bod. In de wereld van informatiebeveiliging zien we vandaag de dag aanvallen waarin de social engineer de identiteit van een persoon gebruikt en inspeelt op karaktereigenschappen van de mens om gevoelige informatie in handen te krijgen via het internet, per telefoon of in persoon. Er zijn een groot aantal veelvoorkomende scenario’s waarmee een social engineer kan werken.

Social engineering wordt niet alleen in de informatiebeveiliging, maar ook in het dagelijks leven toegepast. Waarschijnlijk zelfs in uw eigen omgeving: denk aan de overtuigingskracht van een autoverkoper of aan de manier waarop kinderen hun zin proberen krijgen. Dit artikel is gericht op hoe social engineering toegepast wordt in de informatiebeveiliging.

Phishing via e-mail

De meest bekende vorm van social engineering is phishing. Als voorbeeld nemen we een phishing-onderzoek waarbij we ons voordoen als een fotografe. Met dit scenario sturen we de medewerkers van een organisatie een phishing e-mail met de boodschap dat ze de laatste foto’s van het personeelsfeest nog niet hebben gezien. Via de link in de e-mail komen ze uit op de website van de fotografe waar de medewerkers een inlogformulier zien wat precies lijkt op het inlogformulier van die organisatie. Op de phishing-webserver zien we vervolgens de bedrijfsinloggegevens binnen komen. Deze gegevens geven ons vervolgens toegang tot e-mail, intranet en werkstations van de organisatie.

Phishing e-mails kunnen ook bijlagen met kwaadaardige code bevatten. Deze code zorgt ervoor dat bij het openen van de link of bijlage een verbinding wordt opgezet met de computer van de aanvaller. Wat opvalt is dat phishing e-mails steeds moeilijker te onderscheiden zijn van echte e-mails. Phishingaanvallen worden geloofwaardiger door een betere opmaak en de afname van spellings- en grammaticafouten.

Tip!
Kijk of een e-mail veel spellings- of grammaticafouten bevat. Klik niet zomaar op een link zonder eerst te controleren waar je naartoe gestuurd wordt. Dit laatste is te controleren door de muisaanwijzer op de link te plaatsen. In de linkeronderkant van het scherm verschijnt de URL. Vertrouwt u een e-mail of een bijlage niet? Meld dit dan bij het meldpunt in uw organisatie.

Phishing via de telefoon

Als mens helpen we graag anderen, zeker als ze hulp nodig hebben of we ze een dienst kunnen bewijzen: dat geeft ons een goed gevoel. Als voorbeeld nemen we hier een een telefonische phishing-aanval waarvoor we eerst op LinkedIn informatie hebben verzameld over medewerkers van de organisatie. Met de verzamelde namen en telefoonnummers in handen bellen we de organisatie op het algemene telefoonnummer.

De receptioniste schakeld door met de medewerkster die is getarget. We doen onszelf voor als Cindy van de helpdesk en we zeggen dat we hulp nodig hebben bij het herstarten. Dat lukt namelijk niet omdat de medewerkster nog wat onopgeslagen werk open heeft staan. Om ervoor te zorgen dat het onopgeslagen werk niet verloren gaat, hebben we de gebruikersnaam nodig zodat we de service voor haar kunnen afsluiten. De medewerkster heeft haast, maakt daarom graag gebruik van het aanbod en geeft de gebruikersnaam. Deze gebruikt ze ook voor toegang tot haar computer en e-mail.

Met deze informatie bellen we de echte helpdesk van de organisatie en doen we ons voor als de medewerkster. We zijn ons wachtwoord vergeten en vragen de helpdesk dit te wijzigen naar een tijdelijk wachtwoord. De helpdesk vraagt naar de gebruikersnaam en wijzigt het wachtwoord naar het standaardwachtwoord van de organisatie. Nu hebben we toegang tot de webmail van de medewerkster en andere externe diensten van de organisatie.

Tip!
Voordat je vertrouwelijke informatie via de telefoon deelt is het verstandig je gesprekspartner te verifiëren door de persoon - indien mogelijk - terug te bellen op het bij jou bekende telefoonnummer. Denk twee keer na voordat je informatie toevertrouwt aan een vreemde, ook als die vreemde een overtuigend verhaal heeft

Fysieke toegang

Het gebouw en de directe omgeving van een organisatie zijn een bron van informatie voor de social engineer. We kunnen een fysieke social engineering-aanval uitvoeren waarbij we eenvoudig het toegangssysteem kunnen omzeilen door achter medewerkers aan te lopen. Dit wordt ook wel tailgating genoemd. Eenmaal door de beveiligde deur zien medewerkers je als een vertrouwd persoon. Wanneer we ons voordoen als een medewerker van de IT-afdeling, krijgen we in eens toegang tot onafgesloten werkstations. Maar denk ook aan toegang tot openstaande archieven, documenten op bureaus, wachtwoorden op een post-it aan het beeldscherm, afvalbakken, et cetera. Bovendien kunnen we tijdens een social engineering-opdracht vaak onze laptop aansluiten op het interne netwerk van de klant, ongestoord het netwerk bekijken en zoeken naar kwetsbaarheden.En mochten we door een medewerker aangesproken worden, dan hebben we een goed verhaal achter de hand wat er in de meeste gevallen voor zorgt dat we ongestoord door kunnen gaan met de aanval.

Het fysieke voorkomen van de aanvaller kan bepalend zijn voor het succes van de social engineering-aanval. Dit laat het volgende voorbeeld zien. Het doel is om toegang op afstand te krijgen tot het werkstation en het netwerk van een organisatie. Een netjes geklede vrouw loopt naar de receptie van het kantoorgebouw met een (door haar) met koffie doordrenkt rapport in haar handen. Ze heeft een afspraak met het hoger management en heeft nu een nieuwe kopie van het rapport nodig. De receptionist gebruikt de USB-drive met het virus in diens werkstation dat vervolgens verbinding maakt met de computer van de aanvaller. Het voorkomen, de lichaamstaal en verbale vaardigheden van de vrouw hebben ervoor gezorgd dat de receptionist een uitzondering heeft gemaakt die grote gevolgen kan hebben.

Een datacenter is een afgesloten ruimte waartoe alleen onder bepaalde voorwaarden toegang wordt geboden. Dit is een obstakel tenzij een social engineer erin slaagt met zelfvertrouwen zich voor te doen als een persoon die daar hoort te zijn. Een veelgebruikt scenario is dan ook die als technisch monteur. Met een uitspraak bij de receptie als: “Ik heb vernomen dat de lift de laatste tijd een vreemd geluidje maakt?” en een clipboard in de hand is het geen probleem om het gebouw binnen te komen. Met de deur naar het datacenter op het oog, komt de social engineer met zelfvertrouwen binnen door simpelweg te wachten tot iemand de deur voor hem uit beleefdheid openhoudt.

Tip!
Zorg dat bezoekers niet onbegeleid door het gebouw kunnen bewegen. Verleen geen toegang aan personen die geen afspraak of contactpersoon hebben. Voorkom dat een aanvaller informatie kan stelen uit hardware- of papierafval met een datavernietigingsbeleid dat streng nageleefd wordt. Leg tevens een clean desk-beleid vast om te voorkomen dat informatie rondslingert en stel de regel dat onbekende hardware niet gebruikt mag worden op bedrijfshardware. Kies bij twijfel voor zekerheid.

Social engineering door de security consultant

Aanvallers zullen niet twijfelen om normen en waarden aan de kant te zetten wanneer ze er zelf voordeel uit kunnen halen. Bij een social engineering-onderzoek van Secura wordt een scenario vooraf afgestemd met de opdrachtgever waarbij een goede balans wordt gezocht tussen (verwachte) effectiviteit van de test en de belangen van de personen die het ‘doelwit’ zijn in de test.

Al deze scenario’s kosten voorbereiding en zullen niet altijd effectief zijn; het zijn slechts voorbeelden. Hoe kunt u toetsen of uw organisatie weerbaar is tegen social engineeringaanvallen? Secura kan voor u op maat gemaakte social engineering onderzoek uitvoeren waarbij we een realistische social engineering-aanval nabootsen. We bereiden de mogelijke aanvallen zorgvuldig voor waarbij we de scenario’s uitgebreid met u bespreken alvorens ze uit te voeren. We analyseren de resultaten en stellen hier een rapport over op.

Onderschat de gevolgen en de impact van een social engineering-aanval niet. Wees u ervan bewust wat dit voor de vertrouwelijke gegevens binnen uw organisatie kan betekenen. Laat het bewustzijnsniveau op het gebied van IT-beveiliging van uw organisatie onderzoeken en train uw organisatie door middel van bijvoorbeeld een periodieke security awareness training om social engineering te herkennen en te voorkomen door adequaat op te treden.

 




 

@Secura 2018
Webdesign Studio HB / webdevelopment Medusa