Bij elke Nederlandse top 100-organisatie is het relatief eenvoudig om gegevens boven water te krijgen. Een aanval midden in de week na lunchtijd blijkt bovendien het meest effectief te zijn. Dit blijft uit de Social Engineering Challenge waarin ict-dienstverlener Sogeti dertig hackers bereid vond om informatie te vergaren bij bedrijven.
Sogeti riep hackers op om in competitieverband willekeurige organisaties uit de Nederlandse top 100 te 'social engineeren'. Het doel van de Sogeti Social Engineering Challenge is Nederlandse organisaties bewuster te maken van de kwetsbaarheden ten gevolge van het menselijke gedrag van hun medewerkers. De verkregen informatie bestaat onder andere uit welk type software wordt gebruikt, of it wordt geleverd en zo ja, aan welk bedrijf, welke browsers worden gebruikt, wat de naam is van het draadloos netwerk, welk bedrijf de archiefvernietiging doet en wie de cateraar van de organisatie is.
'Dit lijkt onschuldige informatie maar door wat vernuft zijn hackers in staat achterhaalde informatie in te zetten om bijvoorbeeld de volledige regie van het bedrijfsnetwerk over te nemen', zegt Marinus Kuivenhoven, senior security expert bij Sogeti. 'Organisaties zijn zich bewust van de noodzaak hun informatietechnologie goed te beveiligen. Echter, 'het beveiligen van de rol van de mens' krijgt nu nog onvoldoende aandacht. Social engineering helpt organisaties om inzicht te krijgen in zwakheden van processen en medewerkers bewuster te maken van hun verantwoordelijkheden.'
Aanpak
Om de challenge niet te beïnvloeden, zijn organisaties vooraf niet ingelicht. De wedstrijd is zo opgezet dat deze binnen de kaders van de wet valt. Het doel is dan ook niet organisaties lastig te vallen of in een kwaad daglicht te zetten, maar juist een beeld te krijgen van de effectiviteit van social engineering-aanvallen, en deze kennis te delen. Nadat deelnemers zich hadden geregistreerd, kregen ze een door Sogeti willekeurig geselecteerd Nederlands top 100-bedrijf toegewezen. Vervolgens werd deelnemers gevraagd bedrijfsinformatie uit publieke bronnen op te halen, waarbij het in deze fase niet was toegestaan om actief contact te zoeken met de desbetreffende organisaties.
Deze informatie gebruiken hackers om een goede 'pretext' te vormen. Dat is een geloofwaardig scenario om een effectieve aanval te doen. De meest gebruikte zoekmethode voor deze pretext was Google met 52 procent, gevolgd door Monsterboard en bedrijfswebsites. Social media werden opvallend weinig gebruikt. Wellicht doordat het doelwit een organisatie betreft en daarmee dus een collectief en geen individu is.
Bellers die zich voordoen als student of onderzoeker, blijken zeer succesvol te zijn in het verkrijgen van relevante informatie. Of anders gezegd, medewerkers van top 100-organisaties zijn boven verwachting behulpzaam voor hackers. Een opvallend resultaat is ook dat veel informatie kan worden achterhaald uit media die organisaties zelf publiceren. Bijvoorbeeld via vacatureteksten wordt achterhaald welke software wordt gebruikt.
Rol van social engineering
Social engineering is het manipuleren van een slachtoffer om gevoel en werkelijkheid zo uit elkaar te trekken dat het slachtoffer vrijwillig een actie uitvoert of informatie vrijgeeft. Dit doet de social engineer door een rol aan te nemen en deze binnen een scenario te gebruiken waar de kans het grootst is dat het slachtoffer vertrouwt dat de actie gegrond is. Social engineering wordt gebruikt bij aanvallen op informatiesystemen omdat de mens in een proces vaak de zwakste schakel is.
Deze manier van veiligheid doorbreken kan via elk menselijk contact, zoals bellen of een fysiek gesprek. Indirect contact met technieken zoals phishing, scamming of social media worden ook ingezet. Net zoals andere kwetsbaarheden in informatiesystemen kan social engineering worden toegepast in combinatie met andere aanvalstechnieken.
Dus… er is zojuist bewezen dat de mens fouten maakt… Oh hee waar heb ik dat toch eerder gezien/gelezen/meegemaakt/gedaan ?!!?!
Misschien is het beter het om het probleem bij de bron aan te pakken; namelijk
‘Assumption is the mother of all f***ups’.
Zolang we dat niet vergeten kan er ook niets misgaan.
Wat een stigmatiserend titel en plaatje bij dit artikel.
Social engineering heeft weinig met hacken te maken.
Echte hackers (Wikipedia ?) werken niet in opdracht maar voor persoonlijke uitdaging.
Een bedrijf als Sogeti zal zich niet inlaten met crackers omdat dan de grenzen van de wet wel erg dichtbij zullen komen.
“Social engineering heeft weinig met hacken te maken.” Doh!
Social engineering weinig te maken met hacken? Het is juist de! manier om te hacken voor de iets mindere techneuten onder ons. Lees het verhaal van Kevin Metnick maar eens en zeg dan nog eens dat het niets met hacken te maken heeft.
Beste Theo en Gerrit, om het voor jullie dan toch maar duidelijk te maken (al heb ik dat impliciet al gedaan)
Ik maak (zoals het hoort) onderscheid tussen lui die werkelijk zelf iets presteren en voor wie hacken inhoud dat ze zelf een bepaalde technologie onder controlle krijgen om daarmee iets moois te ontwikkelen.
Een aardig recent voorbeeld is het toepassen van DVBT-dongles voor diverse aardige SDR toepassingen.
Dit heeft niets met social engineering te maken maar met het verrijken van eigen kennis door gedegen en tijdrovend onderzoek.
Waar jullie het steeds over hebben zijn crackers en scriptkiddies.
Lui die naar een tiepmiep bellen om een wachtwoord te achterhalen,
of lui die wat standaard rommel van het internet downloaden om websites te verzieken… en zichzelf vervolgens hacker noemen maar tot geen enkele prestatie in staat zijn.
Minder op tweakers rondhangen en je tijd nuttiger besteden is het credo !
Het wordt natuurlijk erg verwarrend als de een de moderne media taal hanteert en de ander refereert naar de originele Jargon file.
‘Cracking’ heeft veel met Social Engineering te maken. Kevin Mitnick is er destijds beroemd mee geworden.
Ik kan social engineering ook niet los zien van hacking. Geavanceerde hacks, zoals die werden uitgevoerd door Mitnick, hebben denk ik juist elementen van social engineering in zich. Een hacker die social engineering toepast, verlaat volgens mij juist het pad van de standaard scripts en de crackers. Veelal effectiever dan op zoek te gaan naar een nieuwe exploit.
Het onderzoek van Sogeti komt een beetje over als bangmakerij. En wat nu? Alle personeelsleden verbieden contact te hebben met de buitenwereld? En, zijn ze op basis van deze informatie ook werkelijk binnen geweest? Het is daarmee moeilijk in te schatten wat de echte waarde van het onderzoek is.
Het is duidelijk dat bedrijven blijvend moeten investeren in een veilige organisatiecultuur. Een cultuur, waar elke medewerker zich ervan bewust is dat valse telefoontjes zich kunnen voordoen en waar men zich houdt aan een aantal basis principes. Bijv. nooit je wachtwoord delen.
Het is bijna te simpel voor woorden, wissel je wachtwoord niet uit. Maar krijg het maar eens voor elkaar, een veilige bedrijfscultuur.