SlideShare a Scribd company logo

Factsheet social engineering

Rob van Hees
Rob van Hees

Facsheet over social engineering

Education
1 of 7
Download to read offline
Factsheet Social Engineering ©Rob van Hees 2010 Wat houdt social engineering in, welke verschijningsvormen kennen we en hoe kan een organisatie of een individu zich er tegen beschermen.
Wat is social engineering Social engineering of people hacking is een aanduiding van een verzameling van technieken waarmee computercriminelen financieel gewin proberen te behalen, of schade aan te richten door allereerst de zwakste schakel in de computerbeveiliging te kraken, namelijk de mens. De social engineering technieken zijn erop gericht om gebruikers, door middel van manipulatie, bepaalde handelingen te laten verrichten, dan wel vertrouwelijke of geheime informatie te ontfutselen. In essentie is social engineering de kunst van het verleiden…maar dat is een romantische benadering. In werkelijkheid gaat het om bedrog (het met kwade opzet misleiden van iemand) en is social engineer de moderne benaming van een charlatan. Companies spend millions of dollars on firewalls and secure access devices, and it's money wasted because none of these measures address the weakest link in the security chain: the people who use, administer and operate computer systems. Kevin Mitnick Bedrog Bedrog is zo oud als de mensheid: het Trojaanse paard, Pallas Athene die zich vermomt als de koopman Mentes, Dilalah die Samson bespeelt om de reden van zijn kracht te ontdekken, Aesopus’s wolf in schaapkleren, etc. Het is dan ook niet meer dan logisch dat bedrog zijn intrede heeft gedaan in de wereld van computers. Internet en hacken Hoewel de geschiedenis van het internet begint met de introductie van Arpanet in 1969 begon de echte opmars pas na de overgang naar het TPC/IP protocol (1983). De publicatie van “Experiments with computer virus” door Dr. Frederick Cohen vormt een opmaat voor het eerste dos virus Boot/Brain in januari 1986, gevolgd door de Morris worm (1986) en de eerste phishing aanval op (AOL 1996). Spam ontstond al vrijwel direct na de introductie van internet. Over de auteur: Rob van Hees is procesmanager. In zijn werk heeft hij regelmatig te maken met security vraagstukken. Het is zeker niet zo dat alle hackers criminele of kwaadaardige bedoelingen hebben. Soms is het de hacker er meer om de kick van het inbreken zelf of het aantonen van zwaktes in de beveiliging te doen dan het daadwerkelijk aanbrengen van schade. Hacken is in Nederland echter strafbaar volgens de Wet Computercriminaliteit. Beveiligingsgedrag Nu de meeste bedrijven hun computers en netwerken steeds beter beveiligen, verleggen hackers hun focus van de techniek, naar de mens achter de computer: de zwakste schakel in de beveiliging. Immers het beveiligingsgedrag van de medewerkers laat nog veel te wensen over: ze herbruiken hun wachtwoorden en lenen login informatie uit aan collega’s, ze schrijven hun wachtwoorden op een de gele Post it blaadjes die ze plakken onder het toetsenbord, onder het scherm of in het pennenbakje. Ook verlaten ze de werkplek terwijl ze zijn ingelogd in applicaties. Om te kunnen werken aan een beter beveiligingsbewustzijn is het noodzakelijk om eerst de gevaren te kennen. Modus operandi Social engineers zijn doorgaans geen amateurs. Het zijn professionals die gebruik maken van de nieuwste inzichten in beïnvloedingspsychologie, zoals beschreven door bijvoorbeeld Robert Cialdini. Zijn boek
Influence: the psychology of persuasion legt de zwakheden en eigenaardigheden van de menselijke geest bloot. Technieken die social engineers toepassen, zijn gebaseerd op deze wetenschap. Gartner heeft vier fases in social engineering beschreven: 1 Information gathering Als voorbereiding verzamelt de hacker gedetailleerde informatie over het slachtoffer en diens omgeving om daarmee overtuigend en geloofwaardig over te komen. Hiervoor worden sociale netwerksites als Hyves, Facebook, Twitter en Linkedin gebruikt, alsmede zoekmachines. Deze informatie wordt bij voorkeur nog aangevuld met bedrijfsjargon, waarvoor de bedrijfswebsite kan worden geraadpleegd. Men noemt dit verzamelen ook wel footprinting. Het koste mij in een eenvoudig experiment nauwelijks een half uur om op deze wijze van een willekeurig bedrijf uitgebreide gegevens te verzamelen van twee collega’s (Linkedin, Facebook) waarvan er één op vakantie was (Twitter). 2 Developing relationship De social engineer of aanvaller bouwt aan een vertrouwensbasis. Dit gebeurt door het vertellen van gegevens die insider kennis veronderstellen en/of door gebruik te maken van humor. Soms worden in deze fase controlevragen gesteld zoals “ik hoorde van <naam> dat <andere naam> op vakantie is” om zo informatie te verifiëren. 3 Exploitation of relationship In deze fase gebruikt de aanvaller de relatie om informatie te onttrekken aan het slachtoffer. Het belangrijkste wapen dat de aanvaller gebruikt bij een dergelijke vraag is het ‘waarom’. Mensen zijn veel eerder geneigd om informatie te delen als er een goede reden voor is. 4 Execution to achieve objective Het uitvoeren van de uiteindelijke aanval. Gebruikte technieken Er zijn een aantal technieken voor social engineering te onderkennen, maar ze hebben één gemeenschappelijk kenmerk: de aanvaller doet zichzelf voor als iemand anders. Daarbij kan gebruikt worden gemaakt van menselijke ‘zwakheden’ zoals hulpvaardigheid, naïviteit, nieuwsgierigheid, angst, medelijden, hebzucht, etc. Persoonlijk contact In dit geval probeert de social engineer om persoonlijk (bijvoorbeeld telefonisch) contact te leggen met een slachtoffer om deze bepaalde handelingen te laten verrichten, of om zo informatie te verkrijgen. De hacker kan zich voordoen als medewerker van een servicedesk, of als een collega. Four simple techniques that can be used to get people to do what you want: (1) Confidence and control (2) Give something away (quid pro quo) (3) Use humor (4) Make a request and give a reason Brian Brushwood Dumpster diving De social engineer probeert vertrouwelijke informatie of hardware te verkrijgen door rond te snuffelen in vuilnisbakken of containers (buiten het bedrijf). Binnendringen Bedrijven blijken gemakkelijk binnen te dringen te zijn. Weet een social engineer binnen te dringen in een bedrijf dan kan er worden gezocht in papierbakken en op bureaus. Eenmaal binnen kunnen bovendien diverse technische hulpmiddelen worden ingezet, zoals voor het uitlezen van kopieermachines of het vastleggen van toetsaanslagen (key logging) en deze te versturen per e-mail.
Spying en eavesdropping Het bespioneren en afluisteren lijkt een ver van mijn bed show voor de doorsnee gebruiker, maar het meekijken over de schouder (shoulder surfing) is een van de eenvoudigste manieren om login informatie te verkrijgen. Fake e-mail Het gebruik van fake e-mail berichten is bijna net zo oud als het internet zelf. Ging het in het begin om zogenaamde hoaxes met een min of meer grappig karakter, ligt de nadruk nu op fraude. De ontvanger van de e-mail krijgt te horen dat een onbekend familielid is overleden, er een prijs is gewonnen, etc. maar moet eerst geld sturen. We spreken van advance fee fraud of voorschot fraude. Hoewel fake e-mails in de loop der jaren behoorlijk geëvolueerd zijn, is er toch een aantal universele kenmerken te onderkennen: de afzender van het bericht is onbekend bij de ontvanger, er wordt geld in het vooruitzicht gesteld, er wordt gevraagd een aanbetaling te doen of anders om bepaalde gegevens te verstrekken, er is sprake van een tijdslimiet, er wordt gevraagd om vertrouwelijkheid, de afzender verstrekt (valse) gegevens, documenten, titels en adressen om vertrouwen op te wekken. Whaling Een nieuwe truc van de social engineers is het zogenaamde whaling waarbij sociale netwerksites wordt misbruikt. Nadat ze een Facebook of Hyves account hacken versturen ze naar alle contacten een mail om geld te sturen (help ik zit in het buitenland, dringend geld nodig, want beroofd, etc.) De social engineer kijkt vooral naar mensen die regelmatig in het buitenland verblijven en veel ‘friends’ hebben. Vrienden gaan hierop in en storten geld. De benaming whaling komt van het vangen van een grote vis. ALLIED TRUST AGENCY Ref. Number: 539/356/1557 Batch Number: 841930152-BD67 Sir/Madam, We are pleased to inform you of the result of the Lottery Winners International programs held on the 9th February 2004. Your e-mail address attached to ticket number 278511465896-4872 with serial Number 3772-554 drew lucky numbers 5-14-18-23- 33-39 which consequently won in the 1st category, you have therefore been approved for a lump sum pay out of US$1,000,000 (One Million United States Dollars) CONGRATULATIONS!!! Due to some numbers and names, we ask that you keep your winning information confidential until you file for your claim. This is part of our security protocol to avoid double claiming and unwarranted abuse of this program by some participants. All participants were selected through a computer ballot system drawn from over 20,000 company and 30,000,000 individual email addresses and names from all over the World. This promotional program takes place every year.This lottery was promoted and sponsored by some eminent personalities who do not wish to declare their identity for security reasons. To file for your claim, please contact our fiducial Agent: Mr Mike Moore Email: alliedtrust@netscape.net Remember, all winning must be filed not later than 15th of March 2004 or when authentic proof is given for the delay of filing. Please note in order to avoid unnecessary delays and complications,remember to quote your reference number and batch numbers in all correspondence. Furthermore, should there be any change of address do inform our agent as soon as possible. Congratulations once more from our members of staff and thank you for being a Winner in our promotional program . Note: Anybody under the age of 18 is automatically disqualified. Sincerely yours, Mrs Silver Luc. Lottery Co-ordinator. Phishing Bij phishing wordt door middel van websites en fake e-mails geprobeerd om persoonlijke gegevens te verkrijgen. Een voorbeeld hiervan is het sturen van een mail die afkomstig lijkt te zijn van een populaire website (spoofbericht) zoals eBay. In deze mails wordt de ontvanger gevraagd om een link in te tikken of om bepaalde gegevens te versturen ter controle. Phishers proberen verkregen accounts uit op alle gangbare websites omdat ze weten dat mensen accounts hergebruiken.
Een meer geavanceerde vorm van phishing is het zogenaamde spear phishing. Deze vorm bedient zich van dezelfde technieken als phishing doch het doel van spear phishing is toegang te verkrijgen tot het volledige computersysteem van een bedrijf in plaats van de gegevens van een individu. Vishing is een andere vorm van social engineering via de telefoon, om persoonlijke en financiële informatie te verkrijgen. Daarbij wordt intensief gebruikt gemaakt van technologische snufjes zoals caller ID spoofing (methode om de ontvanger een ander nummer te laten zien dat het eigenlijke) wat redelijk eenvoudig is via voice over IP (VoIP), De benaming Vishing is een samenvoeging van “voice" and “phishing”. Scareware De zogenaamde scareware, ook wel rogue software genoemd is de laatste tijd erg in opmars op het internet. Volgens McAfee, de Amerikaanse beveiligingsfirma, zijn er dagelijks één miljoen mensen het slachtoffer van scareware. Scareware, vaak in de verschijningsvorm van pop ups die de gebruiker vertellen dat diens computer is geïnfecteerd of te langzaam is, bieden een oplossing die er uitziet als een betrouwbaar product. Het blijkt een wolf in schaapskleren te zijn… Als een gebruiker tegen betaling deze niet functionerende software installeert kost dat niet alleen geld, maar wordt de computer tevens opengesteld voor aanvallen. Denk aan identiteitsfraude of de installatie van andere malware. Één aanbieder van nep virusscanners, het Oekraïense Innovative Marketing is, zo toonde McAfee onlangs aan, zo succesvol dat ze 600 mensen in dienst hebben, vanuit echte kantoren werken, call centers gebruiken en jaarlijks 120 miljoen euro verdienen. Een andere naam voor het verschijnsel waarbij gebruik wordt gemaakt van schadelijke advertenties, is malvertising (malicious advertising). Non-delivery of merchandise Bij deze vorm van social engineering doet de verkoper zich voor als een partij die iets wil verkopen of een dienst kan leveren doch na betaling laat de verkoper niets meer van zich horen. Het probleem is dat het verzuimen om bestelde (en betaalde) spullen te leveren volgens de wet geen diefstal is. Diefstal betekent namelijk dat een ander zichzelf iets wederrechtelijk toe-eigent. Daarvan is geen sprake als de verkoper vrijwillig geld heeft afgestaan. Er is dan weliswaar sprake van wanprestatie en contractbreuk, maar dat valt onder het civiel recht en wordt beschouwd als een conflict tussen burgers onderling, waarvoor niet per definitie aangifte kan worden gedaan bij de politie. Dit betekent in concreto dat de koper zijn recht moet halen via een civiele procedure. Dat is duur, omslachtig, en zelden kostendekkend. Een variant op de fake sales, is de verkoop van fake goederen: nep medicijnen, nep iPhones, etc. Nog een variant is de Paypal chargeback scam. Hierbij wordt betaald voor goederen of diensten en wanneer de leverancier de producten heeft geleverd vraagt de koper het geld terug via Paypal door te beweren dat de leverancier nooit geleverd heeft.
Soul theft De term soul theft is een knipoog naar de tijd dat inboorlingen uit verre landen dachten dat hun ziel werd gestolen als er een foto van hen werd genomen. In de virtuele wereld betekent soul theft dat een foto van een persoon wordt gebruikt door een ander. Bijvoorbeeld om een nep profiel op een netwerksite op te bouwen. Met behulp van deze de foto wordt getracht het vertrouwen van andere mensen te wekken. Zo kan een volwassene zich voordoen als veel jonger, om op deze wijze tieners te benaderen. Een andere vorm van soul theft is het (her)gebruiken van foto’s van knappe vrouwen, op sites voor buitenlandse bruiden. Deze ‘bruiden’ zijn zogenaamd op zoek naar een huwelijkskandidaat (uiterlijk en geld niet belangrijk). Mannen worden verleid tot gratis inschrijving en vervolgens tot betaalde berichtuitwisseling en het opsturen van geld voor vliegtickets. Gevolgen De gevolgen van social engineering aanvallen kunnen aanzienlijk zijn: Is de aanval gericht op bedrijven of organisaties dan bestaat de mogelijkheid van negatieve berichtgeving en imagoschade, concurrentieverlies, financiële schade tot aan faillissement toe. Is de aanval gericht op individuele personen dan bestaat de kans op financiële schade, imago schade, identiteitsfraude, gebroken hart, verkrachting of zelfs het verlies van een baan. Een grafiek uit het internet crime report 2009 van de FBI, geeft de explosief stijgende kosten van internetmisdaad weer. Wat kan een bedrijf er tegen doen? De belangrijkste te nemen maatregel tegen social engineering is het creëren van beveiligingsbewustzijn (security awareness) om daarmee het menselijk gedrag te veranderen. Eindgebruikers dienen bewust te worden van het belang van informatiebeveiliging. Wachtwoorden en login accounts zijn strikt persoonlijk. Daarnaast moeten ze continue worden getraind in het herkennen en melden van social engineering. Zinnen als “Hallo met <naam> van de servicedesk, je computer is besmet met een virus, kan je mij jouw wachtwoord geven?”, “Heb je deze video gezien? Druk op deze link”, “hallo, ik ben <naam>, de vertegenwoordiger van <firma> en ik kom voor <naam medewerker>”, “Iemand is heimelijk verliefd op je, download deze applicatie om te zien wie het is”, etc. kunnen afkomstig zijn van social engineers. De awarenesstraining moet er toe leiden dan gebruikers bewuster met informatie omgaan en een gezonde achterdocht opbouwen (trust but verify). Is er sprake van twijfel dan zijn er een aantal tactieken, die kunnen worden toegepast: • Call back policy. Het lijkt eenvoudig maar terugbellen is uiterst effectief. Immers de social engineer wil boven alles anoniem blijven. • Vragen stellen (three questions rule) Weer een uiterst eenvoudige tactiek, duurt het geven van de antwoorden wat lang en vertoont de social engineer ontwijkend gedrag dan is het goed om achterdochtig te zijn. Stel dan een strikvraag. • Ruggespraak. Bij twijfel: overleg met collega’s of leidinggevende.
Kevin Mitnick (6 augustus 1963), alias Condor, is een levende legende in de wereld van hackers. Zijn geruchtmakende inbraken in ondermeer het Pentagon, Dell, Nokia, Sun, Compaq en Digital maakten dat hij door de FBI als een groot gevaar voor de samenleving werd gezien en leidden tot enkele controversiële veroordelingen. De film Takedown uit 2000 is losjes gebaseerd op zijn leven. De door hem gebruikte techniek om toegang te krijgen tot computersystemen, heet tegenwoordig Social Engineering. De sleutel tot de bescherming ligt weliswaar bij mensen, maar een organisatie kan met een aantal maatregelen zichzelf en zijn gebruikers aanvullend beschermen: • Het gebruiken van goede anti virus en anti phishing filters, deze voorkomen grotendeels dat gebruikers worden geconfronteerd met onveilig internet. • Het uitschakelen van de Windows autorun functie. • Het uitvoeren van regulier change management. Dit is veiliger omdat een social engineer zich niet kan beroepen op urgentie om een ad hoc te change te laten uitvoeren. • Het maken en actief uitdragen van informatie(classificatie)beleid, waarin wordt aangegeven hoe met (gevoelige) informatie om te gaan. • Het inzetten van papier shredders om papier standaard te versnipperen. • Het fysiek beveiligen van panden, gebruik van visitatie logboeken en het uitvoeren van antecedenten onderzoeken. • Het uitsluitend gebruik maken van telefoons met nummerherkenning. • Het op elke afdeling aanwijzen van een verantwoordelijke die onbekende personen aanspreekt en vraagt om de badge te laten zien. • Het zorgen voor een meldpunt beveiliging waar medewerkers incidenten kunnen melden en informatie kunnen inwinnen. Tenslotte heeft een bedrijf de mogelijkheid om externe bedrijven in te zetten om de beveiliging te testen. Professionals gebruiken bekende social engineering technieken om te kijken hoe het met het beveiligingsbewustzijn van de medewerkers van een bedrijf is gesteld (on-site vulnerability testing). Wat kan een burger er tegen doen? Voor burgers is vooral voorzichtigheid het motto. Val niet voor de ‘too nice to be true’ verhalen: • Loterijen keren geen geld uit zonder inleg. • Mooie buitenlandse vrouwen staan niet te wachten op een lelijke Nederlandse man die dertig jaar ouder is. • Niemand krijgt geld uit erfenissen van familieleden die generaties geleden geëmigreerd zijn. Die verhalen zijn inderdaad te mooi om waar te zijn. De do’s • Wees voorzichtig met geld sturen naar websites. Betaal achteraf of maak gebruik van een broker zoals Paypal die het geld kan terugvorderen van de verkoper. • Gebruik voor élk website account een ander e-mail adres of maak gebruik van een password manager. • Gebruik een niet eenvoudig te raden wachtwoord en verander dit regelmatig. Social engineering vormt een reële bedreiging voor zowel organisaties als burgers cominus et eminus. Doordat cybercrime enerzijds uiterst winstgevend is en er anderzijds de pakkans voor de daders klein is, neemt deze vorm van cybercrime de komende jaren naar verwachting exponentieel toe. Zorg dat u voorbereid bent! Voor meer informatie, zie de website: http://socengin.weebly.com/ Rob van Hees

Recommended

Loi keynote (pdf)
Loi keynote (pdf)Loi keynote (pdf)
Loi keynote (pdf)Jochen den Ouden
 
Hoe belangrijk is IT Security
Hoe belangrijk is IT SecurityHoe belangrijk is IT Security
Hoe belangrijk is IT SecurityBartista
 
Veilig op internet
Veilig op internetVeilig op internet
Veilig op internetRuud Van Oorschot
 
Middag powersessie Security
Middag powersessie SecurityMiddag powersessie Security
Middag powersessie SecurityCITE
 
Sebyde document phishing - trap er niet in
Sebyde document phishing - trap er niet inSebyde document phishing - trap er niet in
Sebyde document phishing - trap er niet inSebyde
 
Space Shelter! Webinar training #2 over phishing en cyber scams
Space Shelter! Webinar training #2 over phishing en cyber scamsSpace Shelter! Webinar training #2 over phishing en cyber scams
Space Shelter! Webinar training #2 over phishing en cyber scamsSOCIALware Benelux
 
Digitaal rechercheren versus_identiteitsfraude
Digitaal rechercheren versus_identiteitsfraudeDigitaal rechercheren versus_identiteitsfraude
Digitaal rechercheren versus_identiteitsfraudePaul Mulder
 
De beste virusscanner ben je zelf
De beste virusscanner ben je zelfDe beste virusscanner ben je zelf
De beste virusscanner ben je zelfDe Computerwacht
 

Recommended

Loi keynote (pdf)
Loi keynote (pdf)Loi keynote (pdf)
Loi keynote (pdf)Jochen den Ouden
 
Hoe belangrijk is IT Security
Hoe belangrijk is IT SecurityHoe belangrijk is IT Security
Hoe belangrijk is IT SecurityBartista
 
Veilig op internet
Veilig op internetVeilig op internet
Veilig op internetRuud Van Oorschot
 
Middag powersessie Security
Middag powersessie SecurityMiddag powersessie Security
Middag powersessie SecurityCITE
 
Sebyde document phishing - trap er niet in
Sebyde document phishing - trap er niet inSebyde document phishing - trap er niet in
Sebyde document phishing - trap er niet inSebyde
 
Space Shelter! Webinar training #2 over phishing en cyber scams
Space Shelter! Webinar training #2 over phishing en cyber scamsSpace Shelter! Webinar training #2 over phishing en cyber scams
Space Shelter! Webinar training #2 over phishing en cyber scamsSOCIALware Benelux
 
Digitaal rechercheren versus_identiteitsfraude
Digitaal rechercheren versus_identiteitsfraudeDigitaal rechercheren versus_identiteitsfraude
Digitaal rechercheren versus_identiteitsfraudePaul Mulder
 
De beste virusscanner ben je zelf
De beste virusscanner ben je zelfDe beste virusscanner ben je zelf
De beste virusscanner ben je zelfDe Computerwacht
 
Leaflet presentatie cybercrime
Leaflet presentatie cybercrimeLeaflet presentatie cybercrime
Leaflet presentatie cybercrimeSebyde
 
Digitale veiligheid
Digitale veiligheidDigitale veiligheid
Digitale veiligheidDr. Frank Stumpe
 
10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteit10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteitRoger Losekoot RADI®
 
IT Security Awareness - Veteris IT Services
IT Security Awareness - Veteris IT ServicesIT Security Awareness - Veteris IT Services
IT Security Awareness - Veteris IT ServicesJochen den Ouden
 
Zo Magazine.PDF
Zo Magazine.PDFZo Magazine.PDF
Zo Magazine.PDFChristophe P
 
Nieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurity
Nieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurityNieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurity
Nieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurityDerk Yntema
 
Digitale werkelijkheid: Feit? Fake? of Filter?
Digitale werkelijkheid: Feit? Fake? of Filter?Digitale werkelijkheid: Feit? Fake? of Filter?
Digitale werkelijkheid: Feit? Fake? of Filter?Jan de Waal
 
Social media als ingang voor cybercriminelen en wat je daar als digital marke...
Social media als ingang voor cybercriminelen en wat je daar als digital marke...Social media als ingang voor cybercriminelen en wat je daar als digital marke...
Social media als ingang voor cybercriminelen en wat je daar als digital marke...Dennis Koorn
 
Mandema partners cybercrime
Mandema partners cybercrimeMandema partners cybercrime
Mandema partners cybercrimeJohn van Hoften
 
180621 flevum executive - presentatie - cybercriminaliteit - veenman
180621 flevum executive - presentatie - cybercriminaliteit - veenman180621 flevum executive - presentatie - cybercriminaliteit - veenman
180621 flevum executive - presentatie - cybercriminaliteit - veenmanFlevum
 
Factsheet+Gebruik+tweefactorauthenticatie
Factsheet+Gebruik+tweefactorauthenticatieFactsheet+Gebruik+tweefactorauthenticatie
Factsheet+Gebruik+tweefactorauthenticatieWijnanda Benneker
 
Organisatieslachtofferschap van cybercrime
Organisatieslachtofferschap van cybercrime Organisatieslachtofferschap van cybercrime
Organisatieslachtofferschap van cybercrime Rick van der Kleij
 
Big data bigger problems
Big data bigger problems Big data bigger problems
Big data bigger problems mediawijsbe
 
2007-02-14 - Microsoft Executive Circle - Mobile Security
2007-02-14 - Microsoft Executive Circle - Mobile Security2007-02-14 - Microsoft Executive Circle - Mobile Security
2007-02-14 - Microsoft Executive Circle - Mobile SecurityJaap van Ekris
 
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...Xtandit_Marketing
 
Authenticatie
AuthenticatieAuthenticatie
AuthenticatieRichard Claassens CIPPE
 
5 Belangrijke Feiten Over Geavanceerde Bedreigingen
5 Belangrijke Feiten Over Geavanceerde Bedreigingen5 Belangrijke Feiten Over Geavanceerde Bedreigingen
5 Belangrijke Feiten Over Geavanceerde BedreigingenSymantec
 
T Grievson - HPE & MOTIV
T Grievson - HPE & MOTIVT Grievson - HPE & MOTIV
T Grievson - HPE & MOTIVTim Grieveson
 
HSB15 - Dr. Michel van Eeten - TU Delft
HSB15 - Dr. Michel van Eeten - TU DelftHSB15 - Dr. Michel van Eeten - TU Delft
HSB15 - Dr. Michel van Eeten - TU DelftSplend
 
Drie Simpele Stappen Tegen Identiteitsfraude
Drie Simpele Stappen Tegen IdentiteitsfraudeDrie Simpele Stappen Tegen Identiteitsfraude
Drie Simpele Stappen Tegen Identiteitsfraudesavelkoul
 

More Related Content

Similar to Factsheet social engineering

Leaflet presentatie cybercrime
Leaflet presentatie cybercrimeLeaflet presentatie cybercrime
Leaflet presentatie cybercrimeSebyde
 
10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteit10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteitRoger Losekoot RADI®
 
IT Security Awareness - Veteris IT Services
IT Security Awareness - Veteris IT ServicesIT Security Awareness - Veteris IT Services
IT Security Awareness - Veteris IT ServicesJochen den Ouden
 
Nieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurity
Nieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurityNieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurity
Nieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurityDerk Yntema
 
Digitale werkelijkheid: Feit? Fake? of Filter?
Digitale werkelijkheid: Feit? Fake? of Filter?Digitale werkelijkheid: Feit? Fake? of Filter?
Digitale werkelijkheid: Feit? Fake? of Filter?Jan de Waal
 
Social media als ingang voor cybercriminelen en wat je daar als digital marke...
Social media als ingang voor cybercriminelen en wat je daar als digital marke...Social media als ingang voor cybercriminelen en wat je daar als digital marke...
Social media als ingang voor cybercriminelen en wat je daar als digital marke...Dennis Koorn
 
Mandema partners cybercrime
Mandema partners cybercrimeMandema partners cybercrime
Mandema partners cybercrimeJohn van Hoften
 
180621 flevum executive - presentatie - cybercriminaliteit - veenman
180621 flevum executive - presentatie - cybercriminaliteit - veenman180621 flevum executive - presentatie - cybercriminaliteit - veenman
180621 flevum executive - presentatie - cybercriminaliteit - veenmanFlevum
 
Factsheet+Gebruik+tweefactorauthenticatie
Factsheet+Gebruik+tweefactorauthenticatieFactsheet+Gebruik+tweefactorauthenticatie
Factsheet+Gebruik+tweefactorauthenticatieWijnanda Benneker
 
Organisatieslachtofferschap van cybercrime
Organisatieslachtofferschap van cybercrime Organisatieslachtofferschap van cybercrime
Organisatieslachtofferschap van cybercrime Rick van der Kleij
 
Big data bigger problems
Big data bigger problems Big data bigger problems
Big data bigger problems mediawijsbe
 
2007-02-14 - Microsoft Executive Circle - Mobile Security
2007-02-14 - Microsoft Executive Circle - Mobile Security2007-02-14 - Microsoft Executive Circle - Mobile Security
2007-02-14 - Microsoft Executive Circle - Mobile SecurityJaap van Ekris
 
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...Xtandit_Marketing
 
5 Belangrijke Feiten Over Geavanceerde Bedreigingen
5 Belangrijke Feiten Over Geavanceerde Bedreigingen5 Belangrijke Feiten Over Geavanceerde Bedreigingen
5 Belangrijke Feiten Over Geavanceerde BedreigingenSymantec
 
T Grievson - HPE & MOTIV
T Grievson - HPE & MOTIVT Grievson - HPE & MOTIV
T Grievson - HPE & MOTIVTim Grieveson
 
HSB15 - Dr. Michel van Eeten - TU Delft
HSB15 - Dr. Michel van Eeten - TU DelftHSB15 - Dr. Michel van Eeten - TU Delft
HSB15 - Dr. Michel van Eeten - TU DelftSplend
 
Drie Simpele Stappen Tegen Identiteitsfraude
Drie Simpele Stappen Tegen IdentiteitsfraudeDrie Simpele Stappen Tegen Identiteitsfraude
Drie Simpele Stappen Tegen Identiteitsfraudesavelkoul
 

Similar to Factsheet social engineering (20)

Leaflet presentatie cybercrime
Leaflet presentatie cybercrimeLeaflet presentatie cybercrime
Leaflet presentatie cybercrime
 
Digitale veiligheid
Digitale veiligheidDigitale veiligheid
Digitale veiligheid
 
10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteit10 mogelijke gevolgen van cybercriminaliteit
10 mogelijke gevolgen van cybercriminaliteit
 
IT Security Awareness - Veteris IT Services
IT Security Awareness - Veteris IT ServicesIT Security Awareness - Veteris IT Services
IT Security Awareness - Veteris IT Services
 
Zo Magazine.PDF
Zo Magazine.PDFZo Magazine.PDF
Zo Magazine.PDF
 
Nieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurity
Nieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurityNieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurity
Nieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurity
 
Digitale werkelijkheid: Feit? Fake? of Filter?
Digitale werkelijkheid: Feit? Fake? of Filter?Digitale werkelijkheid: Feit? Fake? of Filter?
Digitale werkelijkheid: Feit? Fake? of Filter?
 
Social media als ingang voor cybercriminelen en wat je daar als digital marke...
Social media als ingang voor cybercriminelen en wat je daar als digital marke...Social media als ingang voor cybercriminelen en wat je daar als digital marke...
Social media als ingang voor cybercriminelen en wat je daar als digital marke...
 
Mandema partners cybercrime
Mandema partners cybercrimeMandema partners cybercrime
Mandema partners cybercrime
 
180621 flevum executive - presentatie - cybercriminaliteit - veenman
180621 flevum executive - presentatie - cybercriminaliteit - veenman180621 flevum executive - presentatie - cybercriminaliteit - veenman
180621 flevum executive - presentatie - cybercriminaliteit - veenman
 
Factsheet+Gebruik+tweefactorauthenticatie
Factsheet+Gebruik+tweefactorauthenticatieFactsheet+Gebruik+tweefactorauthenticatie
Factsheet+Gebruik+tweefactorauthenticatie
 
Organisatieslachtofferschap van cybercrime
Organisatieslachtofferschap van cybercrime Organisatieslachtofferschap van cybercrime
Organisatieslachtofferschap van cybercrime
 
Big data bigger problems
Big data bigger problems Big data bigger problems
Big data bigger problems
 
2007-02-14 - Microsoft Executive Circle - Mobile Security
2007-02-14 - Microsoft Executive Circle - Mobile Security2007-02-14 - Microsoft Executive Circle - Mobile Security
2007-02-14 - Microsoft Executive Circle - Mobile Security
 
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...
Gehackt, datalekken, diefstal en verlies van data, identiteitsroof, cybercrim...
 
Authenticatie
AuthenticatieAuthenticatie
Authenticatie
 
5 Belangrijke Feiten Over Geavanceerde Bedreigingen
5 Belangrijke Feiten Over Geavanceerde Bedreigingen5 Belangrijke Feiten Over Geavanceerde Bedreigingen
5 Belangrijke Feiten Over Geavanceerde Bedreigingen
 
T Grievson - HPE & MOTIV
T Grievson - HPE & MOTIVT Grievson - HPE & MOTIV
T Grievson - HPE & MOTIV
 
HSB15 - Dr. Michel van Eeten - TU Delft
HSB15 - Dr. Michel van Eeten - TU DelftHSB15 - Dr. Michel van Eeten - TU Delft
HSB15 - Dr. Michel van Eeten - TU Delft
 
Drie Simpele Stappen Tegen Identiteitsfraude
Drie Simpele Stappen Tegen IdentiteitsfraudeDrie Simpele Stappen Tegen Identiteitsfraude
Drie Simpele Stappen Tegen Identiteitsfraude
 

Factsheet social engineering

  • 1. Factsheet Social Engineering ©Rob van Hees 2010 Wat houdt social engineering in, welke verschijningsvormen kennen we en hoe kan een organisatie of een individu zich er tegen beschermen.
  • 2. Wat is social engineering Social engineering of people hacking is een aanduiding van een verzameling van technieken waarmee computercriminelen financieel gewin proberen te behalen, of schade aan te richten door allereerst de zwakste schakel in de computerbeveiliging te kraken, namelijk de mens. De social engineering technieken zijn erop gericht om gebruikers, door middel van manipulatie, bepaalde handelingen te laten verrichten, dan wel vertrouwelijke of geheime informatie te ontfutselen. In essentie is social engineering de kunst van het verleiden…maar dat is een romantische benadering. In werkelijkheid gaat het om bedrog (het met kwade opzet misleiden van iemand) en is social engineer de moderne benaming van een charlatan. Companies spend millions of dollars on firewalls and secure access devices, and it's money wasted because none of these measures address the weakest link in the security chain: the people who use, administer and operate computer systems. Kevin Mitnick Bedrog Bedrog is zo oud als de mensheid: het Trojaanse paard, Pallas Athene die zich vermomt als de koopman Mentes, Dilalah die Samson bespeelt om de reden van zijn kracht te ontdekken, Aesopus’s wolf in schaapkleren, etc. Het is dan ook niet meer dan logisch dat bedrog zijn intrede heeft gedaan in de wereld van computers. Internet en hacken Hoewel de geschiedenis van het internet begint met de introductie van Arpanet in 1969 begon de echte opmars pas na de overgang naar het TPC/IP protocol (1983). De publicatie van “Experiments with computer virus” door Dr. Frederick Cohen vormt een opmaat voor het eerste dos virus Boot/Brain in januari 1986, gevolgd door de Morris worm (1986) en de eerste phishing aanval op (AOL 1996). Spam ontstond al vrijwel direct na de introductie van internet. Over de auteur: Rob van Hees is procesmanager. In zijn werk heeft hij regelmatig te maken met security vraagstukken. Het is zeker niet zo dat alle hackers criminele of kwaadaardige bedoelingen hebben. Soms is het de hacker er meer om de kick van het inbreken zelf of het aantonen van zwaktes in de beveiliging te doen dan het daadwerkelijk aanbrengen van schade. Hacken is in Nederland echter strafbaar volgens de Wet Computercriminaliteit. Beveiligingsgedrag Nu de meeste bedrijven hun computers en netwerken steeds beter beveiligen, verleggen hackers hun focus van de techniek, naar de mens achter de computer: de zwakste schakel in de beveiliging. Immers het beveiligingsgedrag van de medewerkers laat nog veel te wensen over: ze herbruiken hun wachtwoorden en lenen login informatie uit aan collega’s, ze schrijven hun wachtwoorden op een de gele Post it blaadjes die ze plakken onder het toetsenbord, onder het scherm of in het pennenbakje. Ook verlaten ze de werkplek terwijl ze zijn ingelogd in applicaties. Om te kunnen werken aan een beter beveiligingsbewustzijn is het noodzakelijk om eerst de gevaren te kennen. Modus operandi Social engineers zijn doorgaans geen amateurs. Het zijn professionals die gebruik maken van de nieuwste inzichten in beïnvloedingspsychologie, zoals beschreven door bijvoorbeeld Robert Cialdini. Zijn boek
  • 3. Influence: the psychology of persuasion legt de zwakheden en eigenaardigheden van de menselijke geest bloot. Technieken die social engineers toepassen, zijn gebaseerd op deze wetenschap. Gartner heeft vier fases in social engineering beschreven: 1 Information gathering Als voorbereiding verzamelt de hacker gedetailleerde informatie over het slachtoffer en diens omgeving om daarmee overtuigend en geloofwaardig over te komen. Hiervoor worden sociale netwerksites als Hyves, Facebook, Twitter en Linkedin gebruikt, alsmede zoekmachines. Deze informatie wordt bij voorkeur nog aangevuld met bedrijfsjargon, waarvoor de bedrijfswebsite kan worden geraadpleegd. Men noemt dit verzamelen ook wel footprinting. Het koste mij in een eenvoudig experiment nauwelijks een half uur om op deze wijze van een willekeurig bedrijf uitgebreide gegevens te verzamelen van twee collega’s (Linkedin, Facebook) waarvan er één op vakantie was (Twitter). 2 Developing relationship De social engineer of aanvaller bouwt aan een vertrouwensbasis. Dit gebeurt door het vertellen van gegevens die insider kennis veronderstellen en/of door gebruik te maken van humor. Soms worden in deze fase controlevragen gesteld zoals “ik hoorde van <naam> dat <andere naam> op vakantie is” om zo informatie te verifiëren. 3 Exploitation of relationship In deze fase gebruikt de aanvaller de relatie om informatie te onttrekken aan het slachtoffer. Het belangrijkste wapen dat de aanvaller gebruikt bij een dergelijke vraag is het ‘waarom’. Mensen zijn veel eerder geneigd om informatie te delen als er een goede reden voor is. 4 Execution to achieve objective Het uitvoeren van de uiteindelijke aanval. Gebruikte technieken Er zijn een aantal technieken voor social engineering te onderkennen, maar ze hebben één gemeenschappelijk kenmerk: de aanvaller doet zichzelf voor als iemand anders. Daarbij kan gebruikt worden gemaakt van menselijke ‘zwakheden’ zoals hulpvaardigheid, naïviteit, nieuwsgierigheid, angst, medelijden, hebzucht, etc. Persoonlijk contact In dit geval probeert de social engineer om persoonlijk (bijvoorbeeld telefonisch) contact te leggen met een slachtoffer om deze bepaalde handelingen te laten verrichten, of om zo informatie te verkrijgen. De hacker kan zich voordoen als medewerker van een servicedesk, of als een collega. Four simple techniques that can be used to get people to do what you want: (1) Confidence and control (2) Give something away (quid pro quo) (3) Use humor (4) Make a request and give a reason Brian Brushwood Dumpster diving De social engineer probeert vertrouwelijke informatie of hardware te verkrijgen door rond te snuffelen in vuilnisbakken of containers (buiten het bedrijf). Binnendringen Bedrijven blijken gemakkelijk binnen te dringen te zijn. Weet een social engineer binnen te dringen in een bedrijf dan kan er worden gezocht in papierbakken en op bureaus. Eenmaal binnen kunnen bovendien diverse technische hulpmiddelen worden ingezet, zoals voor het uitlezen van kopieermachines of het vastleggen van toetsaanslagen (key logging) en deze te versturen per e-mail.
  • 4. Spying en eavesdropping Het bespioneren en afluisteren lijkt een ver van mijn bed show voor de doorsnee gebruiker, maar het meekijken over de schouder (shoulder surfing) is een van de eenvoudigste manieren om login informatie te verkrijgen. Fake e-mail Het gebruik van fake e-mail berichten is bijna net zo oud als het internet zelf. Ging het in het begin om zogenaamde hoaxes met een min of meer grappig karakter, ligt de nadruk nu op fraude. De ontvanger van de e-mail krijgt te horen dat een onbekend familielid is overleden, er een prijs is gewonnen, etc. maar moet eerst geld sturen. We spreken van advance fee fraud of voorschot fraude. Hoewel fake e-mails in de loop der jaren behoorlijk geëvolueerd zijn, is er toch een aantal universele kenmerken te onderkennen: de afzender van het bericht is onbekend bij de ontvanger, er wordt geld in het vooruitzicht gesteld, er wordt gevraagd een aanbetaling te doen of anders om bepaalde gegevens te verstrekken, er is sprake van een tijdslimiet, er wordt gevraagd om vertrouwelijkheid, de afzender verstrekt (valse) gegevens, documenten, titels en adressen om vertrouwen op te wekken. Whaling Een nieuwe truc van de social engineers is het zogenaamde whaling waarbij sociale netwerksites wordt misbruikt. Nadat ze een Facebook of Hyves account hacken versturen ze naar alle contacten een mail om geld te sturen (help ik zit in het buitenland, dringend geld nodig, want beroofd, etc.) De social engineer kijkt vooral naar mensen die regelmatig in het buitenland verblijven en veel ‘friends’ hebben. Vrienden gaan hierop in en storten geld. De benaming whaling komt van het vangen van een grote vis. ALLIED TRUST AGENCY Ref. Number: 539/356/1557 Batch Number: 841930152-BD67 Sir/Madam, We are pleased to inform you of the result of the Lottery Winners International programs held on the 9th February 2004. Your e-mail address attached to ticket number 278511465896-4872 with serial Number 3772-554 drew lucky numbers 5-14-18-23- 33-39 which consequently won in the 1st category, you have therefore been approved for a lump sum pay out of US$1,000,000 (One Million United States Dollars) CONGRATULATIONS!!! Due to some numbers and names, we ask that you keep your winning information confidential until you file for your claim. This is part of our security protocol to avoid double claiming and unwarranted abuse of this program by some participants. All participants were selected through a computer ballot system drawn from over 20,000 company and 30,000,000 individual email addresses and names from all over the World. This promotional program takes place every year.This lottery was promoted and sponsored by some eminent personalities who do not wish to declare their identity for security reasons. To file for your claim, please contact our fiducial Agent: Mr Mike Moore Email: alliedtrust@netscape.net Remember, all winning must be filed not later than 15th of March 2004 or when authentic proof is given for the delay of filing. Please note in order to avoid unnecessary delays and complications,remember to quote your reference number and batch numbers in all correspondence. Furthermore, should there be any change of address do inform our agent as soon as possible. Congratulations once more from our members of staff and thank you for being a Winner in our promotional program . Note: Anybody under the age of 18 is automatically disqualified. Sincerely yours, Mrs Silver Luc. Lottery Co-ordinator. Phishing Bij phishing wordt door middel van websites en fake e-mails geprobeerd om persoonlijke gegevens te verkrijgen. Een voorbeeld hiervan is het sturen van een mail die afkomstig lijkt te zijn van een populaire website (spoofbericht) zoals eBay. In deze mails wordt de ontvanger gevraagd om een link in te tikken of om bepaalde gegevens te versturen ter controle. Phishers proberen verkregen accounts uit op alle gangbare websites omdat ze weten dat mensen accounts hergebruiken.
  • 5. Een meer geavanceerde vorm van phishing is het zogenaamde spear phishing. Deze vorm bedient zich van dezelfde technieken als phishing doch het doel van spear phishing is toegang te verkrijgen tot het volledige computersysteem van een bedrijf in plaats van de gegevens van een individu. Vishing is een andere vorm van social engineering via de telefoon, om persoonlijke en financiële informatie te verkrijgen. Daarbij wordt intensief gebruikt gemaakt van technologische snufjes zoals caller ID spoofing (methode om de ontvanger een ander nummer te laten zien dat het eigenlijke) wat redelijk eenvoudig is via voice over IP (VoIP), De benaming Vishing is een samenvoeging van “voice" and “phishing”. Scareware De zogenaamde scareware, ook wel rogue software genoemd is de laatste tijd erg in opmars op het internet. Volgens McAfee, de Amerikaanse beveiligingsfirma, zijn er dagelijks één miljoen mensen het slachtoffer van scareware. Scareware, vaak in de verschijningsvorm van pop ups die de gebruiker vertellen dat diens computer is geïnfecteerd of te langzaam is, bieden een oplossing die er uitziet als een betrouwbaar product. Het blijkt een wolf in schaapskleren te zijn… Als een gebruiker tegen betaling deze niet functionerende software installeert kost dat niet alleen geld, maar wordt de computer tevens opengesteld voor aanvallen. Denk aan identiteitsfraude of de installatie van andere malware. Één aanbieder van nep virusscanners, het Oekraïense Innovative Marketing is, zo toonde McAfee onlangs aan, zo succesvol dat ze 600 mensen in dienst hebben, vanuit echte kantoren werken, call centers gebruiken en jaarlijks 120 miljoen euro verdienen. Een andere naam voor het verschijnsel waarbij gebruik wordt gemaakt van schadelijke advertenties, is malvertising (malicious advertising). Non-delivery of merchandise Bij deze vorm van social engineering doet de verkoper zich voor als een partij die iets wil verkopen of een dienst kan leveren doch na betaling laat de verkoper niets meer van zich horen. Het probleem is dat het verzuimen om bestelde (en betaalde) spullen te leveren volgens de wet geen diefstal is. Diefstal betekent namelijk dat een ander zichzelf iets wederrechtelijk toe-eigent. Daarvan is geen sprake als de verkoper vrijwillig geld heeft afgestaan. Er is dan weliswaar sprake van wanprestatie en contractbreuk, maar dat valt onder het civiel recht en wordt beschouwd als een conflict tussen burgers onderling, waarvoor niet per definitie aangifte kan worden gedaan bij de politie. Dit betekent in concreto dat de koper zijn recht moet halen via een civiele procedure. Dat is duur, omslachtig, en zelden kostendekkend. Een variant op de fake sales, is de verkoop van fake goederen: nep medicijnen, nep iPhones, etc. Nog een variant is de Paypal chargeback scam. Hierbij wordt betaald voor goederen of diensten en wanneer de leverancier de producten heeft geleverd vraagt de koper het geld terug via Paypal door te beweren dat de leverancier nooit geleverd heeft.
  • 6. Soul theft De term soul theft is een knipoog naar de tijd dat inboorlingen uit verre landen dachten dat hun ziel werd gestolen als er een foto van hen werd genomen. In de virtuele wereld betekent soul theft dat een foto van een persoon wordt gebruikt door een ander. Bijvoorbeeld om een nep profiel op een netwerksite op te bouwen. Met behulp van deze de foto wordt getracht het vertrouwen van andere mensen te wekken. Zo kan een volwassene zich voordoen als veel jonger, om op deze wijze tieners te benaderen. Een andere vorm van soul theft is het (her)gebruiken van foto’s van knappe vrouwen, op sites voor buitenlandse bruiden. Deze ‘bruiden’ zijn zogenaamd op zoek naar een huwelijkskandidaat (uiterlijk en geld niet belangrijk). Mannen worden verleid tot gratis inschrijving en vervolgens tot betaalde berichtuitwisseling en het opsturen van geld voor vliegtickets. Gevolgen De gevolgen van social engineering aanvallen kunnen aanzienlijk zijn: Is de aanval gericht op bedrijven of organisaties dan bestaat de mogelijkheid van negatieve berichtgeving en imagoschade, concurrentieverlies, financiële schade tot aan faillissement toe. Is de aanval gericht op individuele personen dan bestaat de kans op financiële schade, imago schade, identiteitsfraude, gebroken hart, verkrachting of zelfs het verlies van een baan. Een grafiek uit het internet crime report 2009 van de FBI, geeft de explosief stijgende kosten van internetmisdaad weer. Wat kan een bedrijf er tegen doen? De belangrijkste te nemen maatregel tegen social engineering is het creëren van beveiligingsbewustzijn (security awareness) om daarmee het menselijk gedrag te veranderen. Eindgebruikers dienen bewust te worden van het belang van informatiebeveiliging. Wachtwoorden en login accounts zijn strikt persoonlijk. Daarnaast moeten ze continue worden getraind in het herkennen en melden van social engineering. Zinnen als “Hallo met <naam> van de servicedesk, je computer is besmet met een virus, kan je mij jouw wachtwoord geven?”, “Heb je deze video gezien? Druk op deze link”, “hallo, ik ben <naam>, de vertegenwoordiger van <firma> en ik kom voor <naam medewerker>”, “Iemand is heimelijk verliefd op je, download deze applicatie om te zien wie het is”, etc. kunnen afkomstig zijn van social engineers. De awarenesstraining moet er toe leiden dan gebruikers bewuster met informatie omgaan en een gezonde achterdocht opbouwen (trust but verify). Is er sprake van twijfel dan zijn er een aantal tactieken, die kunnen worden toegepast: • Call back policy. Het lijkt eenvoudig maar terugbellen is uiterst effectief. Immers de social engineer wil boven alles anoniem blijven. • Vragen stellen (three questions rule) Weer een uiterst eenvoudige tactiek, duurt het geven van de antwoorden wat lang en vertoont de social engineer ontwijkend gedrag dan is het goed om achterdochtig te zijn. Stel dan een strikvraag. • Ruggespraak. Bij twijfel: overleg met collega’s of leidinggevende.
  • 7. Kevin Mitnick (6 augustus 1963), alias Condor, is een levende legende in de wereld van hackers. Zijn geruchtmakende inbraken in ondermeer het Pentagon, Dell, Nokia, Sun, Compaq en Digital maakten dat hij door de FBI als een groot gevaar voor de samenleving werd gezien en leidden tot enkele controversiële veroordelingen. De film Takedown uit 2000 is losjes gebaseerd op zijn leven. De door hem gebruikte techniek om toegang te krijgen tot computersystemen, heet tegenwoordig Social Engineering. De sleutel tot de bescherming ligt weliswaar bij mensen, maar een organisatie kan met een aantal maatregelen zichzelf en zijn gebruikers aanvullend beschermen: • Het gebruiken van goede anti virus en anti phishing filters, deze voorkomen grotendeels dat gebruikers worden geconfronteerd met onveilig internet. • Het uitschakelen van de Windows autorun functie. • Het uitvoeren van regulier change management. Dit is veiliger omdat een social engineer zich niet kan beroepen op urgentie om een ad hoc te change te laten uitvoeren. • Het maken en actief uitdragen van informatie(classificatie)beleid, waarin wordt aangegeven hoe met (gevoelige) informatie om te gaan. • Het inzetten van papier shredders om papier standaard te versnipperen. • Het fysiek beveiligen van panden, gebruik van visitatie logboeken en het uitvoeren van antecedenten onderzoeken. • Het uitsluitend gebruik maken van telefoons met nummerherkenning. • Het op elke afdeling aanwijzen van een verantwoordelijke die onbekende personen aanspreekt en vraagt om de badge te laten zien. • Het zorgen voor een meldpunt beveiliging waar medewerkers incidenten kunnen melden en informatie kunnen inwinnen. Tenslotte heeft een bedrijf de mogelijkheid om externe bedrijven in te zetten om de beveiliging te testen. Professionals gebruiken bekende social engineering technieken om te kijken hoe het met het beveiligingsbewustzijn van de medewerkers van een bedrijf is gesteld (on-site vulnerability testing). Wat kan een burger er tegen doen? Voor burgers is vooral voorzichtigheid het motto. Val niet voor de ‘too nice to be true’ verhalen: • Loterijen keren geen geld uit zonder inleg. • Mooie buitenlandse vrouwen staan niet te wachten op een lelijke Nederlandse man die dertig jaar ouder is. • Niemand krijgt geld uit erfenissen van familieleden die generaties geleden geëmigreerd zijn. Die verhalen zijn inderdaad te mooi om waar te zijn. De do’s • Wees voorzichtig met geld sturen naar websites. Betaal achteraf of maak gebruik van een broker zoals Paypal die het geld kan terugvorderen van de verkoper. • Gebruik voor élk website account een ander e-mail adres of maak gebruik van een password manager. • Gebruik een niet eenvoudig te raden wachtwoord en verander dit regelmatig. Social engineering vormt een reële bedreiging voor zowel organisaties als burgers cominus et eminus. Doordat cybercrime enerzijds uiterst winstgevend is en er anderzijds de pakkans voor de daders klein is, neemt deze vorm van cybercrime de komende jaren naar verwachting exponentieel toe. Zorg dat u voorbereid bent! Voor meer informatie, zie de website: http://socengin.weebly.com/ Rob van Hees