Iemand onder valse voorwendselen naar zijn wachtwoord vragen is vaak veel makkelijker dan die via hacking te achterhalen. Dit heet ook wel social engineering. Tijdens mijn werk krijg ik steeds vaker aanvragen voor complexe security-assessments waar social engineering onderdeel van is. Hiervoor worden vaak bedrijven ingehuurd die door middel van social engineering-campagnes de zwakste schakel in de beveilgingsketen testen, namelijk: de mens.
Over deze blogger
Darryl heeft meer dan 14 jaar ervaring in de IT-sector. Hij is momenteel werkzaam als Senior Security Consultant voor NCI Secured Intelligence, waar hij lid is van het GRC team. Hij is verder actief bij de Atlantic Canadian Information Security community, zowel als Board Member voor de Atlantic Security Conference (AtlSecCon) en als Lead Organizer voor Security B-Sides Cape Breton.
Eenvoudig gezegd is social engineering de kunst van het manipuleren van mensen, zodat ze vrijwillig vertrouwelijke informatie opgeven. Een veel voorkomende misvatting, zeker onder werknemers, is dat bedrijven die zich met social engineering bezighouden kwaadaardige bedoelingen hebben. Maar wees gerust, professionele social engineers zullen echt niet proberen om je Facebook-account te hacken om daarmee je diepste geheimen te achterhalen en deze door te spelen aan een werkgever. Hun voornaamste doel is het testen van de security awareness van het personeel. Het is namelijk veel makkelijker om iemand te verleiden om je het wachtwoord voor een systeem te geven, dan te proberen met hackpogingen op een systeem in te breken.
Social engineering-technieken
Een simpel voorbeeld. Een aanvaller loopt het bedrijfspand binnen het hangt een officieel ogende aankondiging op het prikbord, waarop staat dat het telefoonnummer van de helpdesk is veranderd. Als werknemers vervolgens voor hulp naar dit nummer bellen, vraagt de persoon aan de lijn hen naar hun wachtwoorden en loginnaam. De aanvaller krijgt hiermee toegang tot zowel bedrijfsinformatie als de privégegevens van de werknemer.
Een ander voorbeeld. Een aanvaller belt enkele willekeurige telefoonnummers in het bedrijf, en beweert van de helpdesk te zijn. Uiteindelijk zal hij bij iemand terecht komen die een legitiem probleem heeft. De aanvaller zal hem vervolgens helpen het probleem op te lossen en de gebruiker ondertussen instrueren om allerlei commando’s in te voeren die de aanvaller toegang geeft tot de computersystemen.
Nog een voorbeeld: een aanvaller zoekt een doelwit op een sociaal netwerk en begint een conversatie. Geleidelijk aan wint hij het vertrouwen van zijn doelwit en gebruik dit om gevoelige informatie te achterhalen.
Fysieke manipulatie
Naast deze vormen van telefonische en digitale manipulatie, zijn er ook directere methoden. Afhankelijk van de grootte van het bedrijf, kan een aanvaller zich vaak simpel fysiek toegang verschaffen tot een beveiligde afdeling. Met name als er onbeheerde elektronische systemen voor toegangscontrole worden gebruikt, kan dit uiterst eenvoudig zijn. Een aanvaller loopt simpelweg achter een persoon aan die rechtmatig toegang heeft. Zo’n werknemer zal de deur vaak zelfs voor hem openhouden, zeker als de aanvaller bijvoorbeeld een stapel documenten in zijn handen heeft en daar expliciet om vraagt. De werknemer zal dan vrijwel nooit de moeite doen om nog te vragen om identificatie.
Nog een voorbeeld, ten slotte. Een aanvaller laat een met malware geïnfecteerde usb-stick achter op voor de hand liggende locatie, zoals een toilet, lift, stoep of parkeerplaats. Vervolgens wacht hij tot een werknemer de stick in zijn computer steekt. Er is immers altijd wel een werknemer die zo’n usb-stick vindt en uit nieuwsgierigheid wil weten wat er op staat. Door de stick te gebruiken kan automatisch malware op de pc van de werknemer geïnstalleerd worden. Zo krijgt de aanvaller toegang tot de pc van zijn slachtoffer en misschien wel het hele interne bedrijfsnetwerk.
Al deze technieken hebben kwaadaardige bedoelingen, maar de schade voor een bedrijf is afhankelijk van de partij die ze gebruikt. Professionele social engineers zullen de informatie die ze vinden tijdens hun aanvallen nooit misbruiken. Hun werk vereist namelijk een grote mate van vertrouwen, die bovendien contractueel wordt vastgelegd. Hun onderzoeksresultaten worden gedocumenteerd en uiteindelijk gepresenteerd aan het management, zodat er vervolgens maatregelen genomen kunnen worden om soortgelijke aanvallen in de toekomst te voorkomen.
Reden voor zorgen?
Maak je geen zorgen als je ontdekt dat je werkgever heeft besloten om een security assessment met social engineering te laten uitvoeren. Op de lange termijn zullen de resultaten van dit soort onderzoeken helpen om zowel de security awareness van het bedrijf als van de werknemers te verbeteren. Beschouw het daarom als een oefening of test, de volgende keer dat je een telefoontje van de ‘helpdesk’ krijgt.
