Zoek op trefwoord, naam of systeem:

Blog

  • 22
    april
    2016
    Tom Gordebeke, Technology Professional

    Social engineering als middel om vertrouwelijke informatie te vergaren

    Sinds de opkomst van cyber security, de grote media-aandacht wat het krijgt én mijn interesse in dit vakgebied krijg ik steeds vaker de vraag “Hoe hack je nu eigenlijk een computer?”. Om heel eerlijk te zijn heb ik daar geen antwoord op en ontbreekt mij ook die “hack” kennis. Wat ik wel altijd vertel is dat je niet goed technisch onderlegd hoeft te zijn om aan bepaalde informatie te komen, die je te zijner tijd weer door kunt verkopen op de zwarte markt.

    Maar hoe komen aanvallers nu eigenlijk binnen bij je bedrijf? Via de firewall? Via VPN? Via de website? Theoretisch is dit allemaal mogelijk. Echter, de kans is groot dat de volgende hack geen aanval op de techniek is, maar op de zwakste schakel in de computerbeveiliging: de mens. De beste exploits (stukjes kant-en-klare software) voor aanvallers zijn vaak niet de kwetsbaarheden in de software, maar de wandelende kwetsbaarheden binnen het gebouw: je personeel.

    Social Engineering wordt ook wel Social Hacking genoemd.

    Met andere woorden, een hacker die aan social engineering doet is een oplichter die gebruik maakt van bepaalde instincten van het doel (slachtoffer), middels vrij simpele technieken met een psychologische druk. Dit gebeurt onder andere door het onder druk zetten van het doel (slachtoffer), het intimideren of het overhalen van een doel (slachtoffer) door bijvoorbeeld bevriend te worden. Hierbij is het de bedoeling dat men voldoende informatie krijgt om uiteindelijk in te kunnen breken in een computer of informatiesysteem.

    Methodieken

    Social engineering kent een drietal top methodieken om aan de benodigde informatie te komen, namelijk:
    1.       Persoonlijk contact
    2.       E-mail
    3.       Zoeken (rondsnuffelen)

    1. Persoonlijk Contact (vishing)

    Een hacker probeert persoonlijk contact te leggen met het slachtoffer. Hij kan zich voordoen als een helpdeskmedewerker en de gebruiker opbellen met het verzoek diens gebruikersnaam en wachtwoord door te geven om een probleem op te lossen of de gebruiker te verleiden om software te installeren.

    Een voorbeeld van persoonlijk contact: de hacker probeert persoonlijk contact te leggen met het slachtoffer. Voorafgaand aan dit gesprek verzamelt de hacker gerelateerde informatie over het slachtoffer zodat hij een geloofwaardig en overtuigend verhaal kan vertellen. Vaak gebruikt men hiervoor zoekmachines waaronder Google en Bing, sociale netwerksites zoals Facebook, LinkedIn en Instagram en talloze andere informatiebronnen die vrij toegankelijk zijn op het internet. Dit is in de praktijk een simpele en zeer effectieve manier om bijvoorbeeld mailadressen en telefoonnummers te verzamelen.

    2. E-mail (phishing)

    De aanvaller stuurt een phisingmail met een interessante tekst. Bij dergelijke e-mails wordt de gebruiker verleid om op een authentiek ogende site vertrouwelijke gegevens op te geven. Denk bijvoorbeeld aan pincodes en bank- creditcardnummers, maar ook het Burgerservicenummer is zeer gewilde informatie.

    Enkele voorbeelden van phishing zijn: 

    Via LinkedIn: een hacker creëert een nep LinkedIn profiel om vervolgens bepaalde medewerkers van een organisatie te benaderen. Met behulp van zijn nepprofiel krijgt hij toegang tot medewerkers (connectie), functies, e-mail adressen, etc. Deze informatie stelt hem in staat om een nog effectievere fishing aanval (e-mail) te maken.

    Via een link in een e-mail: een slachtoffer ontvangt een mail van zijn bank. De mail bevat een valse link naar een valse website en door op die link te klikken raakt de computer geïnfecteerd met malware. De hacker krijgt toegang tot de computer, danwel het bedrijfsnetwerk om zo informatie te stelen.

    3. Zoeken (rondsnuffelen)

    Snuffelen in containers, prullenbakken, bij kopieer- en faxapparaten. Regelmatig blijven hier vertrouwelijke documenten liggen en worden er veel post-its, memo’s en aantekeningen met interessante informatie in prullenbakken weggegooid. Deze techniek wordt ook wel dumpster diving genoemd. Hiervoor moet een hacker wel eerst fysiek het gebouw zien in te komen. Maar ook dit blijkt in de praktijk vaak geen enkel probleem en is tailgating (meelopen/meerijden met andere medewerkers) een veelgebruikte methode om bij een bedrijf binnen te komen.

    Toen ik deze blog schreef, stond per toeval het programma “Undercover in Nederland” aan op de tv. In deze aflevering werd getest hoe makkelijk men zonder pasjes, middels tailgating, een legerbasis op konden komen. Dit bleek geen enkel probleem. Ze konden zelfs bij alle legervoertuigen en daarnaast zijn ze ook nog met een legervoertuig de basis afgereden. U zult zich afvragen of ze hier geen bewaking, camera’s, slagbomen en poortjes hebben. Jawel, dit is allemaal aanwezig.

    De Social Engineering Cyclus

    De “aanval”-cyclus bestaat uit vier opeenvolgende stappen.

    1. Onderzoeken
    2. Voorbereiden
    3. Wegsluizen
    4. Afsluiten

    Echter, er is een aantal factoren die de uiteindelijke cyclus bepaalt. Afhankelijk van de aard en het doel van de aanval kan de cyclus verschillende stappen of zelfs alle stappen meerdere keren herhalen totdat de aanvaller tevreden is met de behaalde resultaten.

    Wat kun je tegen social engineering doen?

    Natuurlijk is het verstandig om ook op technisch gebied in veiligheid te blijven investeren. Echter, bij social engineering hebben een firewall en een antiviruspakket geen enkele waarde meer. Eén van de simpelste dingen die je kunt doen om ervoor te zorgen dat je minder vatbaar bent, is het investeren in de bekwaamheid en bewustwording van je gebruikers. Wanneer gebruikers zich bewust zijn van de risico’s zullen zij hier meer aandacht aan besteden en zal men hier in de toekomst strakker op sturen.

    Tot slot

    Tenslotte nog wat cijfers (peildatum 2014) om het bewustzijn van bovenstaand verhaal te benadrukken. Deze percentages zullen in de toekomst alleen maar stijgen.

    • 90% van de mensen zullen hun naam spellen, zonder de identiteit van de beller te vragen.
    • 67% van de mensen zullen hun geboortedatum geven, zonder de identiteit van de beller te vragen.
    • 77% van de aanvallen betreffen phishing.
    • 63% van de datalekken komt voort uit interne bronnen.
    • 100% score bij fysieke inbraken (o.a. tailgating).

    Het goede nieuws: sinds 1 januari 2016 is de Wet Meldplicht Datalekken in werking getreden. Deze wet zorgt ervoor dat organisaties direct een melding moeten maken bij een ernstig datalek van persoonsgegevens. Een voordeel hiervan is dat de Wet Meldplicht Datalekken, in zeer korte tijd, binnen het bedrijfsleven voor een stukje bewustwording heeft gezorgd. Voor meer informatie over de Meldplicht Datalekken, zie de blog van collega Udo Karten.

    Twijfelt u of uw organisatie voldoende maatregelen heeft getroffen om de veiligheid van uw organisatie en haar data te waarborgen? Neem contact op ConoScenza en wij laten u graag zien waar u eventueel nog winst kunt behalen.

    Geraadpleegde bronnen:

mm

Auteur: Tom Gordebeke,

Trefwoorden: Internet Security

Email Tom Gordebeke

Lees alle blogberichten van Tom Gordebeke

Deel dit bericht

Geen reacties

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *