Gevecht om de patient 3

Social Engineering

Wat is Social Engineering?

Naarmate computersystemen beter worden beveiligd, wordt het voor een kwaadwillende moeilijker toegang tot die systemen te krijgen. De zogenaamde 'hackers' moeten steeds creatiever worden om op technische wijze toegang te krijgen tot uw systeem. Er zijn er ook die een alternatieve weg bewandelen; ze vragen gewoon uw hulp. Dat is social engineering.

Voorbeelden uit de praktijk
Eén bekende methode van 'Social Engineering' is het versturen van ongevraagde e-mail die een code bevat waarmee u - door middel van dubbelklikken - toestemming geeft om opdrachten op uw systeem uit te voeren. Hiermee is het mogelijk dat u zonder het te beseffen toegang tot uw systeem geeft. Er komen ook steeds meer websites die gebruik maken van een vergelijkbare methode: door te klikken op bepaalde delen van de site worden ongemerkt bijvoorbeeld inloggegevens verstuurd. Een andere methode die de laatste tijd veel gezien wordt, is het zogenaamde 'phishing'. Hierbij wordt een bekende site nagebootst om u te verleiden uw gebruikersnaam en wachtwoord in te toetsen. Potentiële slachtoffers worden vrijwel altijd "gelokt" met een e-mail. De laatste tijd zijn de voorbeelden hiervan legio (ABN, ING, Postbank, maar ook vele shopping- en andere sites). Nog een mooi voorbeeld is het achterlaten van een USB-stick op de parkeerplaats. U neemt hem mee omdat het 'zonde' is om te laten liggen, maar, belangrijker nog, u bent nieuwsgierig naar wat er op staat. Nadat u de stick in uw werkstation heeft gestoken, treft u een map met een heleboel foto's aan. Terwijl u deze bekijkt worden in de achtergrond één of meerdere programma's uitgevoerd die een hacker toegang kunnen geven tot uw bedrijfsnetwerk.

Het wordt persoonlijk
Met 'Social Engineering' komen de hackers echter nog dichter naar u toe: ze gaan u persoonlijk benaderen! Dit kan via de telefoon gebeuren (hackers willen toch anoniem blijven): "Goedemiddag, u spreekt met IT support. We hebben een probleempje met ons wachtwoordenbestand. Kunt u aangeven welk wachtwoord u op dit moment gebruikt?" Met een dergelijk telefoontje, vaak nog iets geraffineerder, wordt u verleid uw login-gegevens prijs te geven. Waarschijnlijk trapt u er niet in? Dat zeggen namelijk de meeste mensen die ernaar worden gevraagd. Maar de praktijk wijst helaas uit dat veel mensen er wel in trappen. Psychologisch gezien liggen hier een aantal redenen aan ten grondslag:

• de meeste mensen zijn goed van vertrouwen;
• de meeste mensen zijn beleefd en hulpvaardig;
• de meeste mensen zijn nieuwsgierig;
• het telefoontje komt onverwacht en u bent er niet op voorbereid.

Fysieke beveiliging
Gelukkig is veel informatie niet via het internet te krijgen. U moet op de afdeling zijn om in te loggen of om papieren dossiers te kunnen raadplegen. Dan zijn die login-gegevens zinloos voor de aanvaller. Toch laat de hacker (we blijven deze term maar even gebruiken voor iedereen die zonder uw toestemming toegang tot informatie probeert te krijgen) zich ook dan niet stoppen. Hij of zij kan telefonisch proberen u zover te krijgen de informatie aan hem of haar te geven. Hackers kunnen nóg een stapje verder gaan: ze komen u persoonlijk opzoeken! Nog nooit één gezien? Misschien was het wel degene die geisteren tegelijk met u het gebouw inging (weet u nog, dacht dat het om een collega ging en de deur dichtgooien is niet echt beleefd). Of misschien was het wel degene die u in de beveiligde afdeling liet omdat zij "haar pasje was vergeten". Gelooft u ons als we zeggen dat het een koud kunstje is om (bijna) overal te komen? We doen het - als onderzoek en altijd in opdracht - regelmatig. Eenmaal binnen is het meestal goed mogelijk een rustig plekje te vinden om dossiers in te kijken of op een vrije werkplek in te loggen met de eerder verkregen login-gegevens.

Wat zijn de gevolgen?
Wellicht denkt u dat het zo'n vaart niet zal lopen met dat 'insluipen'. Misschien. Maar wij hebben voldoende aanwijzingen om aan te nemen dat het wel degelijk gebeurt. Naar de motieven van deze hackers kunnen we alleen maar raden, maar te denken valt aan:

• winstbejag: persoonsgegevens kunnen in sommige gevallen veel geld waard zijn;
• wraak: hoe kun je beter iemand beschadigen dan door met diens medische gegevens te knoeien;
• nieuwsgierigheid of soms 'onderzoeksjournalistiek';
• spanning en sensatie.

Effectief kan dit voor u betekenen dat:

• gegevens worden ingezien;
• gegevens worden veranderd;
•  gegevens worden vernietigd.

Wat kunnen we tegen Social Engineering doen? Het belangrijkste dat u tegen 'Social Engineering' kunt doen is het verhogen van het bewustzijn van betrokkenen. Mensen kan geleerd worden welke situaties verdacht zijn en hoe zij daar mee om moeten gaan. Zorg dat ze voorbereid zijn als dat telefoontje komt of als die onbekende vraagt of u hem even binnenlaat. Tevens zorgt u voor voldoende technische maatregelen en een goede beveiligingsorganisatie. Seneca Risk & Security kan u helpen met advies over de inrichting van de beveiligingsorganisatie en de juiste beveiligingsmaatregelen. Daarnaast kunnen we uw mensen trainen om situaties zoals hierboven geschetst te herkennen en beleefd, vriendelijk en veilig af te handelen.
Stel ons uw vragen
Laat u vrijblijvend informeren door een van onze professionals door gebruik te maken van de onderstaande contactgegevens.

015-251 3700 (Tel)
srs@seneca.nl (E-mail)

• Organisatie
• SRS Informatiebeveiliging
• SPS Microsoft technologie
• SPS Unix technologie
• Diensten
• SRS: Informatiebeveiliging
• Techniek
• Kwetsbaarheidscan
• Penetratietesten
• Systeem Audit
• Security Baseline
• Mens
• Security Awareness
• Mysteryman op Locatie
• Mysteryman op Afstand
• Organisatie
• VTI
• Risk & Security Analyse
• Security Health Check (SHC)
• Beleidsadvies
• BCM & BCP
• Audit-ondersteuning
• IBF
• SPS: Microsoft technologie
• SPS Diensten: Unix technologie
• Opdrachtgevers
• Artikelen
• Continuiteits Management
• Awareness
• Social Engineering
• Nieuws & nieuwsbrief
• Nieuws
• Actueel nieuwsbericht
• Nieuwsbrief
• Nieuwsarchief

• Contact
• Disclaimer
• Uitgebreid zoeken
• Vacatures
• Home