Artikel

Social Engineering - Het hoeft helemaal geen hacker te zijn!

Bij beveiliging, dus ook bij informatiebeveiliging, wordt veel aandacht besteed aan het bedenken, ontwikkelen en implementeren van de juiste beveiligingsmaatregelen en oplossingen. Veelal gaat de aandacht uit naar technische oplossingen en het voorkomen dat deze ‘gekraakt’ worden. Maar wat als een kwaadwillende, zelfs zonder ook maar één beveiligingsmaatregel te trotseren of systeem te kraken, toch uw bedrijfskritische informatie weet te bemachtigen? Dit fenomeen heet Social Engineering, waarin misschien wel de zwakste schakel van beveiliging centraal staat: de mens.

Iemand belt naar een afdeling binnen uw bedrijf. Deze persoon zegt dat hij van een bekend bedrijf X is en dat hij de audit aan het voorbereiden is, welke volgende maand in uw bedrijf gehouden wordt via zijn bedrijf. Het zou alleen maar gaan om wat ondersteunende dingetjes. De grote gesprekken vinden uiteraard elders en met andere mensen plaats. De medewerker die dit telefoontje aanneemt, geeft een aantal namen en telefoonnummers van collega’s door die deze aanvullende vragen en dingetjes zouden kunnen afhandelen, mocht dat dan nodig zijn. Een paar weken later belt hij weer, nu naar één van de medewerkers die eerder zijn opgegeven. Hij gebruikt hetzelfde verhaal, maar nu stelt hij een paar concrete vragen. Deze medewerker vindt het wat vreemd, dus verifieert hij bij degene die zijn naam zou hebben doorgegeven of dit wel klopt. “Jawel, dat klopt, daar is een paar weken geleden ook al over gebeld.” De medewerker beantwoordt daarop enkele vragen en mailt een paar documenten ter ondersteuning naar deze persoon die zegt de audit te gaan doen. Deze persoon werkt echter helemaal niet voor dat bekende bedrijf X en er stond ook geen audit gepland. Of misschien zelfs wel en haakte deze persoon daar heel slim op in. Hoe zou hij dat soort informatie dan verkregen hebben? Mogelijk heeft hij deze informatie door middel van social engineering verkregen en werkt hij voor één van uw concurrenten, de pers of wellicht zelfs voor de onderwereld.

Containerbegrip

Social engineering is een soort containerbegrip: het is de term die gebruikt wordt voor een verzameling aan technieken en methoden waarmee een kwaadwillende zich om tal van beveiligingsmaatregelen heen werkt via de personen die zich bevinden in de organisatie waar deze aanvaller iets wenst te halen, brengen of veroorzaken. Social engineering werkt met behulp van telefoon, mail, internet, persoonlijk contact, het plunderen van afvalcontainers, insluipen en ga zo maar door, óm beveiliging heen, door gebruik te maken van de zwakste schakel: de mens. Of beter: de mens en diens vertrouwen, diens behoefte geen néé te verkopen, diens ontzag voor autoriteit en diens behoefte conflictvermijdend te handelen. Er wordt gemanipuleerd, gelogen en gebouwd aan een grotere leugen, waarbij de contactmomenten tussen de social engineer en het ‘slachtoffer’ samenhangen en elkaar steeds meer (lijken te) bevestigen. Maar ook het inmiddels wat bekendere ‘phishing’ en de methode waarmee bepaalde computervirussen en Trojaanse paarden hun slachtoffer proberen te overtuigen een interessante en onschuldige applicatie te zijn, vallen onder social engineering.

Vaak wordt het - naar mijn idee ten onrechte - enkel als één van de middelen in de gereedschapskist van een snode hacker bestempeld. De hacker die via een soort babbeltruc inloggegevens van een firewall achterhaalt, waarmee hij vervolgens rustig verder hackt. Deze benadering is wat gedateerd: tegenwoordig mogen we de social engineer vooral vrezen in situaties waar hij dat hele hacken achterwege kan laten. Waarom inloggen op een firewall als je via datzelfde social engineering net zo ongrijpbaar op afstand, die stap óók door iemand anders kan laten uitvoeren? Ben je uit op een bepaald document, of bepaalde wetenschap, of zelfs een specifiek (waardevol) object? Dan kun je via deze technieken rustig het gehele traject tot en met de diefstal uitvoeren. Echter, een social engineer die bovengemiddeld handig is met ICT heeft een voordeel. Hij zal zich in de aanloop naar de grote klapper - het einddoel - immers graag voordoen als iemand van de ICT-afdeling. Want een bekende methode van de social engineer is om iemand wijs te maken dat er een probleem is, en om dat vervolgens zogenaamd op te lossen. Onderweg wordt dan wat informatie verzameld: namen van mensen, programma’s, servers, maar ook jargon en bekende problemen binnen de organisatie. (Centralisatie van facilitaire zaken zoals een ICT servicedesk, maar bijvoorbeeld ook een HRM-afdeling maakt een organisatie direct kwetsbaarder voor social engineering.)

Het probleem voor uw organisatie is dat social engineering vrijwel onzichtbaar is. Het zal niet snel opduiken in uw incidentenregistratie. Want “er belde iemand met een vage vraag” of “een functioneel beheerder belde om te vragen of onze afdeling ook last had van de netwerkstoring, maar dat was niet het geval”, wordt niet als incident ervaren. Terwijl al die kleine gesprekjes, opdrachten, verzoekjes en ga zo maar door gezamenlijk een aanval (kunnen) zijn. Aan het eind van de rit mailt iemand een document met bedrijfsgeheimen naar een vermeend externe auditor en is de klus klaar. En later roepen we dan weer dat de meeste informatiebeveiligingsincidenten door mensen binnen de eigen organisatie veroorzaakt worden. Ja, dat zou best eens kunnen…

Verdediging: basisbeveiligingsniveau, verificatie en vooral beveiligingsbewustzijn

De verdediging tegen social engineering is eigenlijk maar één woord: beveiligingsbewustzijn. Dus: awareness campagnes, terugkerend en voortbordurend. Nieuwe medewerkers brengt u op niveau met eveneens een awareness-sessie in de routine van het inwerken.

Maar enkel werken aan beveiligingsbewustzijn is niet voldoende. Uiteraard is dat op een geheel andere manier benaderd tamelijk nutteloos als er geen deugdelijk basisbeveiligingsniveau is. De zaken goed geregeld hebben conform best practices en bewezen normenkaders en dergelijke is ook noodzakelijk. Anders gaat de social engineer gewoon zelf het gebouw binnen (als er geen toegangscontrole is en de accounts en applicaties voor iedereen toegankelijk zijn op elke werkplek). Dan hoeft de social engineer nauwelijks meer te ‘social engineeren’.

Het samenspel tussen een basisbeveiligingsniveau en beveiligingsbewustzijn levert als het goed is alerte medewerkers op, die het nut van de beveiligingsmaatregelen onderschrijven en naleven. Deze medewerkers durven ook te twijfelen en daarop volgend te verifiëren.

Social engineering is risicoarm en spotgoedkoop. De symptomen gaan op in de ruis van de organisatie; hoe groter de organisatie, hoe minder het zal opvallen. Een goede methode om bij hoog en laag in uw organisatie social engineering als reële dreiging neer te zetten, is het inhuren van een beveiligingsbedrijf wat voor u aantoont wat een dergelijke aanval(ler) bij u zou kunnen bewerkstelligen. U zult verbaasd zijn. Wanneer de resultaten van deze ingehuurde social engineer in een campagne gegoten worden, kunt u vrijwel iedereen in de organisatie bereiken. De casuïstiek uit eigen keuken is de meest overtuigende die er is.

Herkennen en tegenwerken?

Gerichter verdedigen kan natuurlijk ook: het herkennen van een vermoedelijke aanval door een medewerker, die vervolgens niet meer meewerkt (zich niet laat ‘social engineeren’) en mogelijk zelfs bijdraagt aan het tenminste afschrikken en op z’n gunstigst het ontmaskeren van de social engineer.(Helaas zal die waarschijnlijk veilig van achter een afgeschermd telefoonnummer vaststellen dat hij maar beter niet met dit slachtoffer kan doorgaan, maar beter na een weekje een willekeurig ander slachtoffer uit een andere hoek van het bedrijf kan kiezen).

U zou om gerichter te verdedigen weet moeten hebben van de volgende kenmerken:

  • Er wordt gezaaid en geoogst.
  • Er wordt de schijn gewekt dat met een insider, collega, aanzienlijke klant of wat voor betrokken partij dan ook gecommuniceerd wordt. Dit wordt hoofdzakelijk gedaan door de eerder geoogste ‘insider-information’ te recyclen.
  • Men is via het één uit op het ander. Denk hierbij aan het vragen om een - zogenaamd naar de verkeerde afdeling - gefaxt document intern door te faxen naar een andere afdeling zodat het op een intern document gaat lijken.
  • Hulpeloos of autoriteit. Denk hierbij in het eerste geval aan een social engineer die zich voordoet als iemand die in de problemen zit, die nieuw is op de werkvloer of in de cliëntele zit. Deze persoon wordt bijna altijd geholpen. Zelfs wanneer de social engineer maar een klein beetje hulp krijgt, heeft hij al enorme winst. De informatie is doorgaans altijd te hergebruiken.

In (telefoon)trainingen die u mogelijk al aan medewerkers geeft, zou u bovengenoemde kenmerken kunnen veralgemeniseren en uitleggen als de volgende signalen om een mogelijke aanval te herkennen:

  • De beller heeft een ongebruikelijk verzoek.
  • De beller beroept zich op autoriteit, of op de autoriteit van een hoger geplaatste functionaris in uw organisatie (die er waarschijnlijk net die dag niet is).
  • De beller benadrukt urgentie en de negatieve consequenties indien niet wordt meegewerkt.
  • De beller weigert een terugbelnummer op te geven.
  • De beller noemt allerlei namen van mensen in uw organisatie.
  • De beller is complimenteus, of flirt zelfs.
  • De beller wordt wat ongemakkelijk als hij zelf ondervraagd wordt.

Praktische, goede eigenschappen

Er zijn naast het bekend maken van het bestaan van social engineering en het zorgen voor een goede basisbeveiliging en awareness, ook nog wel een paar praktische tips te geven die het de social engineer moeilijker maken. De eerst genoemde tip is misschien wel de belangrijkste en tevens moeilijkst realiseerbare, daarna worden ze gemakkelijker:

  • PKI - Wanneer u met certificaten werkt in uw e-mailprogramma, kunt u het mogelijk maken dat er vertrouwd kan worden op de echtheid van afzenders, en dat onderschepte mails door Boris Boef niet gelezen kunnen worden. Daar gaat een social engineer een stuk lastiger tussen zitten (spoofen).
  • Telefoons met nummerherkenning - Veel looptoestellen zullen een display hebben waarop het nummer van een beller wordt weergegeven, maar vaak staan op de bureaus oude toestellen zonder zo’n schermpje. Zorg dat alle telefoons een display hebben met nummerherkenning. U ziet dan meteen of nummerweergave uitgeschakeld is bij de beller en u kunt beter verifiëren wie u belt en waar hij vandaan belt.
  • Eigen telefoonnummer in beeld? - Wanneer uw organisatie ervoor gekozen heeft het eigen nummer niet zichtbaar in beeld te laten verschijnen bij degene die u opbelt, dan geldt dat ook voor uw HRM- of uw ICT-afdeling. Vaak wordt hiervoor gekozen om de medewerkers te dwingen het aangewezen contactpunt te benaderen, en niet de individuele medewerkers. Deze keuze maakt het voor de social engineer makkelijker om zich voor te doen als iemand van binnen uw organisatie.
  • Terugbellen - Verifiëren door terug te bellen naar iemand die iets van uw organisatie (medewerker) vraagt, is één van de meest efficiënte methoden van bestrijding van social engineering. Vraag een terugbelnummer aan degene die u aan de telefoon heeft. Dat nummer moet van binnen de organisatie zijn waarvoor de persoon zegt te werken. Aan een 06-nummer hebben we in deze niets. Zoek via bijvoorbeeld Internet het algemene nummer van de organisatie op. Vervolgens belt u dat nummer en laat u zich doorverbinden naar de persoon in kwestie.
  • Vragen stellen - Inhoudelijke vragen over de materie stellen (zonder zelf iets weg te geven) is ook een goed afweermechanisme. Niet in de laatste plaats omdat uw eventuele vermoeden met een oplichter te maken te hebben hierdoor bevestigd of weggenomen kan worden (u kunt natuurlijk ook daadwerkelijk met een legitiem verzoek van een legitiem persoon te maken hebben). Wanneer de persoon zich echter op overdreven hulpeloosheid of juist op autoriteit (al dan niet van een wat moeilijk te benaderen leidinggevende) begint te beroepen, of ontwijkend gedrag gaat vertonen, is het tijd om luidruchtiger te twijfelen. Controleer het beweerde; u hoeft niet bang te zijn dat uw leidinggevende het u ten nadele aanrekent wanneer u iets verifieert. Hij of zij waardeert dit bijzonder: of deze dat nou laat merken of niet.
  • Bij twijfel: gooi het in de groep - Een social engineer liegt u iets voor. De leugens zijn doorgaans vrij gemakkelijk te ontzenuwen, zolang u maar niet uw navraag bij de door de social engineer opgegeven referentie doet. Stap naar een leidinggevende, uw beveiligingsfunctionaris of -als het iets ICT-matigs betreft- naar uw applicatiebeheerder of helpdesk.
  • Melden - Ten slotte: de kracht van social engineering zit hem onder meer in het feit dat het onzichtbaar is. De kleine voorvalletjes die u wellicht meemaakt met een dergelijke aanvaller, lijken vaak te futiel om ergens te melden. Toch is het aan te bevelen kleinere verdachte situaties of voorvallen te melden bij uw (informatie)beveiligingsfunctionaris, security-officer of leidinggevende.

Ondanks alle waarschuwingen en maatregelen die zijn beschreven in dit artikel, zal het nog lang duren voordat een organisatie op basis van de genoemde symptomen een social engineering aanval zal herkennen. Maar, zó vaak komt het ook weer niet voor, toch?

Categorie:   
Auteur(s)
afbeelding van jasperlangedijk
Jasper Langedijk
www.socialengineer.nl - Informatiebeveiligingsfunctionaris

Jasper Langedijk is werkzaam als informatiebeveiligingsfunctionaris. Lees op zijn website meer over social engineering:

Nieuwe reactie inzenden

De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.
Indien het niet lukt om een reactie te plaatsen, stuur dan uw reactie naar redactie@xr-magazine.nl.
Alle inzendingen dienen correct, professioneel en beschaafd te zijn. IP-adressen worden gelogd, maar niet gepubliceerd. De redactie van XR Magazine behoudt zich het recht voor om anonieme reacties (niet op naam) of zonder geldig e-mailadres, te verwijderen zonder kennisgeving. Ook reacties waarin commerciële uitingen worden gedaan en/of commerciële producten en diensten worden aangeboden worden door de redactie verwijderd of ontdaan van commerciële uitingen zonder kennisgeving.