2. Wat is social engineering
Social engineering of people hacking is
een aanduiding van een verzameling van
technieken waarmee computercriminelen
financieel gewin proberen te behalen, of
schade aan te richten door allereerst de
zwakste schakel in de computerbeveiliging
te kraken, namelijk de mens.
De social engineering technieken zijn erop
gericht om gebruikers, door middel van
manipulatie, bepaalde handelingen te
laten verrichten, dan wel vertrouwelijke of
geheime informatie te ontfutselen.
In essentie is social engineering de kunst
van het verleiden…maar dat is een
romantische benadering. In werkelijkheid
gaat het om bedrog (het met kwade opzet
misleiden van iemand) en is social
engineer de moderne benaming van een
charlatan.
Companies spend millions of dollars on
firewalls and secure access devices, and
it's money wasted because none of
these measures address the weakest
link in the security chain: the people who
use, administer and operate computer
systems.
Kevin Mitnick
Bedrog
Bedrog is zo oud als de mensheid: het
Trojaanse paard, Pallas Athene die zich
vermomt als de koopman Mentes, Dilalah
die Samson bespeelt om de reden van zijn
kracht te ontdekken, Aesopus’s wolf in
schaapkleren, etc. Het is dan ook niet
meer dan logisch dat bedrog zijn intrede
heeft gedaan in de wereld van computers.
Internet en hacken
Hoewel de geschiedenis van het internet
begint met de introductie van Arpanet in
1969 begon de echte opmars pas na de
overgang naar het TPC/IP protocol (1983).
De publicatie van “Experiments with
computer virus” door Dr. Frederick Cohen
vormt een opmaat voor het eerste dos
virus Boot/Brain in januari 1986, gevolgd
door de Morris worm (1986) en de eerste
phishing aanval op (AOL 1996). Spam
ontstond al vrijwel direct na de introductie
van internet.
Over de auteur:
Rob van Hees is
procesmanager.
In zijn werk heeft hij
regelmatig te maken
met security
vraagstukken.
Het is zeker niet zo dat alle hackers
criminele of kwaadaardige bedoelingen
hebben. Soms is het de hacker er meer om
de kick van het inbreken zelf of het
aantonen van zwaktes in de beveiliging te
doen dan het daadwerkelijk aanbrengen van
schade. Hacken is in Nederland echter
strafbaar volgens de Wet
Computercriminaliteit.
Beveiligingsgedrag
Nu de meeste bedrijven hun computers en
netwerken steeds beter beveiligen,
verleggen hackers hun focus van de
techniek, naar de mens achter de computer:
de zwakste schakel in de beveiliging.
Immers het beveiligingsgedrag van de
medewerkers laat nog veel te wensen over:
ze herbruiken hun wachtwoorden en lenen
login informatie uit aan collega’s, ze
schrijven hun wachtwoorden op een de gele
Post it blaadjes die ze plakken onder het
toetsenbord, onder het scherm of in het
pennenbakje. Ook verlaten ze de werkplek
terwijl ze zijn ingelogd in applicaties.
Om te kunnen werken aan een beter
beveiligingsbewustzijn is het noodzakelijk
om eerst de gevaren te kennen.
Modus operandi
Social engineers zijn doorgaans geen
amateurs. Het zijn professionals die gebruik
maken van de nieuwste inzichten in
beïnvloedingspsychologie, zoals beschreven
door bijvoorbeeld Robert Cialdini. Zijn boek
3. Influence: the psychology of persuasion
legt de zwakheden en eigenaardigheden
van de menselijke geest bloot. Technieken
die social engineers toepassen, zijn
gebaseerd op deze wetenschap.
Gartner heeft vier fases in social
engineering beschreven:
1 Information gathering
Als voorbereiding verzamelt de hacker
gedetailleerde informatie over het
slachtoffer en diens omgeving om
daarmee overtuigend en geloofwaardig
over te komen. Hiervoor worden sociale
netwerksites als Hyves, Facebook, Twitter
en Linkedin gebruikt, alsmede
zoekmachines. Deze informatie wordt bij
voorkeur nog aangevuld met
bedrijfsjargon, waarvoor de bedrijfswebsite
kan worden geraadpleegd. Men noemt dit
verzamelen ook wel footprinting.
Het koste mij in een eenvoudig experiment
nauwelijks een half uur om op deze wijze
van een willekeurig bedrijf uitgebreide
gegevens te verzamelen van twee
collega’s (Linkedin, Facebook) waarvan er
één op vakantie was (Twitter).
2 Developing relationship
De social engineer of aanvaller bouwt aan
een vertrouwensbasis. Dit gebeurt door
het vertellen van gegevens die insider
kennis veronderstellen en/of door gebruik
te maken van humor. Soms worden in
deze fase controlevragen gesteld zoals “ik
hoorde van <naam> dat <andere naam>
op vakantie is” om zo informatie te
verifiëren.
3 Exploitation of relationship
In deze fase gebruikt de aanvaller de
relatie om informatie te onttrekken aan het
slachtoffer. Het belangrijkste wapen dat de
aanvaller gebruikt bij een dergelijke vraag
is het ‘waarom’. Mensen zijn veel eerder
geneigd om informatie te delen als er een
goede reden voor is.
4 Execution to achieve objective
Het uitvoeren van de uiteindelijke aanval.
Gebruikte technieken
Er zijn een aantal technieken voor social
engineering te onderkennen, maar ze
hebben één gemeenschappelijk kenmerk:
de aanvaller doet zichzelf voor als iemand
anders. Daarbij kan gebruikt worden
gemaakt van menselijke ‘zwakheden’ zoals
hulpvaardigheid, naïviteit, nieuwsgierigheid,
angst, medelijden, hebzucht, etc.
Persoonlijk contact
In dit geval probeert de social engineer om
persoonlijk (bijvoorbeeld telefonisch) contact
te leggen met een slachtoffer om deze
bepaalde handelingen te laten verrichten, of
om zo informatie te verkrijgen. De hacker
kan zich voordoen als medewerker van een
servicedesk, of als een collega.
Four simple techniques that can be used
to get people to do what you want:
(1) Confidence and control
(2) Give something away
(quid pro quo)
(3) Use humor
(4) Make a request and give a reason
Brian Brushwood
Dumpster diving
De social engineer probeert vertrouwelijke
informatie of hardware te verkrijgen door
rond te snuffelen in vuilnisbakken of
containers (buiten het bedrijf).
Binnendringen
Bedrijven blijken gemakkelijk binnen te
dringen te zijn. Weet een social engineer
binnen te dringen in een bedrijf dan kan er
worden gezocht in papierbakken en op
bureaus. Eenmaal binnen kunnen
bovendien diverse technische hulpmiddelen
worden ingezet, zoals voor het uitlezen van
kopieermachines of het vastleggen van
toetsaanslagen (key logging) en deze te
versturen per e-mail.
4. Spying en eavesdropping
Het bespioneren en afluisteren lijkt een ver
van mijn bed show voor de doorsnee
gebruiker, maar het meekijken over de
schouder (shoulder surfing) is een van de
eenvoudigste manieren om login
informatie te verkrijgen.
Fake e-mail
Het gebruik van fake e-mail berichten is
bijna net zo oud als het internet zelf. Ging
het in het begin om zogenaamde hoaxes
met een min of meer grappig karakter, ligt
de nadruk nu op fraude.
De ontvanger van de e-mail krijgt te horen
dat een onbekend familielid is overleden,
er een prijs is gewonnen, etc. maar moet
eerst geld sturen. We spreken van
advance fee fraud of voorschot fraude.
Hoewel fake e-mails in de loop der jaren
behoorlijk geëvolueerd zijn, is er toch een
aantal universele kenmerken te
onderkennen: de afzender van het bericht
is onbekend bij de ontvanger, er wordt
geld in het vooruitzicht gesteld, er wordt
gevraagd een aanbetaling te doen of
anders om bepaalde gegevens te
verstrekken, er is sprake van een
tijdslimiet, er wordt gevraagd om
vertrouwelijkheid, de afzender verstrekt
(valse) gegevens, documenten, titels en
adressen om vertrouwen op te wekken.
Whaling
Een nieuwe truc van de social engineers is
het zogenaamde whaling waarbij sociale
netwerksites wordt misbruikt. Nadat ze
een Facebook of Hyves account hacken
versturen ze naar alle contacten een mail
om geld te sturen (help ik zit in het
buitenland, dringend geld nodig, want
beroofd, etc.) De social engineer kijkt
vooral naar mensen die regelmatig in het
buitenland verblijven en veel ‘friends’
hebben. Vrienden gaan hierop in en
storten geld. De benaming whaling komt
van het vangen van een grote vis.
ALLIED TRUST AGENCY
Ref. Number: 539/356/1557
Batch Number: 841930152-BD67
Sir/Madam,
We are pleased to inform you of the result of the
Lottery Winners International programs held on the
9th February 2004. Your e-mail address attached
to ticket number 278511465896-4872 with serial
Number 3772-554 drew lucky numbers 5-14-18-23-
33-39 which consequently won in the 1st category,
you have therefore been approved for a lump sum
pay out of US$1,000,000 (One Million United
States Dollars) CONGRATULATIONS!!!
Due to some numbers and names, we ask that you
keep your winning information confidential until you
file for your claim. This is part of our security
protocol to avoid double claiming and unwarranted
abuse of this program by some participants.
All participants were selected through a computer
ballot system drawn from over 20,000 company
and 30,000,000 individual email addresses and
names from all over the World. This promotional
program takes place every year.This lottery was
promoted and sponsored by some eminent
personalities who do not wish to declare their
identity for security reasons.
To file for your claim, please contact our fiducial
Agent:
Mr Mike Moore
Email: alliedtrust@netscape.net
Remember, all winning must be filed not later than
15th of March 2004 or when authentic proof is
given for the delay of filing. Please note in order to
avoid unnecessary delays and
complications,remember to quote your reference
number and batch numbers in all
correspondence.
Furthermore, should there be any change of
address do inform our agent as soon as possible.
Congratulations once more from our members of
staff and thank you for being a Winner in our
promotional program .
Note: Anybody under the age of 18 is automatically
disqualified.
Sincerely yours,
Mrs Silver Luc.
Lottery Co-ordinator.
Phishing
Bij phishing wordt door middel van websites
en fake e-mails geprobeerd om persoonlijke
gegevens te verkrijgen. Een voorbeeld
hiervan is het sturen van een mail die
afkomstig lijkt te zijn van een populaire
website (spoofbericht) zoals eBay. In deze
mails wordt de ontvanger gevraagd om een
link in te tikken of om bepaalde gegevens te
versturen ter controle. Phishers proberen
verkregen accounts uit op alle gangbare
websites omdat ze weten dat mensen
accounts hergebruiken.
5. Een meer geavanceerde vorm van
phishing is het zogenaamde spear
phishing. Deze vorm bedient zich van
dezelfde technieken als phishing doch het
doel van spear phishing is toegang te
verkrijgen tot het volledige
computersysteem van een bedrijf in plaats
van de gegevens van een individu.
Vishing is een andere vorm van social
engineering via de telefoon, om
persoonlijke en financiële informatie te
verkrijgen. Daarbij wordt intensief gebruikt
gemaakt van technologische snufjes zoals
caller ID spoofing (methode om de
ontvanger een ander nummer te laten zien
dat het eigenlijke) wat redelijk eenvoudig
is via voice over IP (VoIP), De benaming
Vishing is een samenvoeging van “voice"
and “phishing”.
Scareware
De zogenaamde scareware, ook wel
rogue software genoemd is de laatste tijd
erg in opmars op het internet. Volgens
McAfee, de Amerikaanse
beveiligingsfirma, zijn er dagelijks één
miljoen mensen het slachtoffer van
scareware.
Scareware, vaak in de verschijningsvorm
van pop ups die de gebruiker vertellen dat
diens computer is geïnfecteerd of te
langzaam is, bieden een oplossing die er
uitziet als een betrouwbaar product. Het
blijkt een wolf in schaapskleren te zijn…
Als een gebruiker tegen betaling deze niet
functionerende software installeert kost
dat niet alleen geld, maar wordt de
computer tevens opengesteld voor
aanvallen. Denk aan identiteitsfraude of de
installatie van andere malware.
Één aanbieder van nep virusscanners, het
Oekraïense Innovative Marketing is, zo
toonde McAfee onlangs aan, zo succesvol
dat ze 600 mensen in dienst hebben,
vanuit echte kantoren werken, call centers
gebruiken en jaarlijks 120 miljoen euro
verdienen.
Een andere naam voor het verschijnsel
waarbij gebruik wordt gemaakt van
schadelijke advertenties, is malvertising
(malicious advertising).
Non-delivery of merchandise
Bij deze vorm van social engineering doet
de verkoper zich voor als een partij die iets
wil verkopen of een dienst kan leveren doch
na betaling laat de verkoper niets meer van
zich horen.
Het probleem is dat het verzuimen om
bestelde (en betaalde) spullen te leveren
volgens de wet geen diefstal is. Diefstal
betekent namelijk dat een ander zichzelf iets
wederrechtelijk toe-eigent. Daarvan is geen
sprake als de verkoper vrijwillig geld heeft
afgestaan. Er is dan weliswaar sprake van
wanprestatie en contractbreuk, maar dat valt
onder het civiel recht en wordt beschouwd
als een conflict tussen burgers onderling,
waarvoor niet per definitie aangifte kan
worden gedaan bij de politie. Dit betekent in
concreto dat de koper zijn recht moet halen
via een civiele procedure. Dat is duur,
omslachtig, en zelden kostendekkend.
Een variant op de fake sales, is de verkoop
van fake goederen: nep medicijnen, nep
iPhones, etc. Nog een variant is de Paypal
chargeback scam. Hierbij wordt betaald voor
goederen of diensten en wanneer de
leverancier de producten heeft geleverd
vraagt de koper het geld terug via Paypal
door te beweren dat de leverancier nooit
geleverd heeft.
6. Soul theft
De term soul theft is een knipoog naar de
tijd dat inboorlingen uit verre landen
dachten dat hun ziel werd gestolen als er
een foto van hen werd genomen.
In de virtuele wereld betekent soul theft
dat een foto van een persoon wordt
gebruikt door een ander. Bijvoorbeeld om
een nep profiel op een netwerksite op te
bouwen. Met behulp van deze de foto
wordt getracht het vertrouwen van andere
mensen te wekken. Zo kan een
volwassene zich voordoen als veel jonger,
om op deze wijze tieners te benaderen.
Een andere vorm van soul theft is het
(her)gebruiken van foto’s van knappe
vrouwen, op sites voor buitenlandse
bruiden. Deze ‘bruiden’ zijn zogenaamd op
zoek naar een huwelijkskandidaat (uiterlijk
en geld niet belangrijk). Mannen worden
verleid tot gratis inschrijving en vervolgens
tot betaalde berichtuitwisseling en het
opsturen van geld voor vliegtickets.
Gevolgen
De gevolgen van social engineering
aanvallen kunnen aanzienlijk zijn:
Is de aanval gericht op bedrijven of
organisaties dan bestaat de mogelijkheid
van negatieve berichtgeving en
imagoschade, concurrentieverlies,
financiële schade tot aan faillissement toe.
Is de aanval gericht op individuele
personen dan bestaat de kans op
financiële schade, imago schade,
identiteitsfraude, gebroken hart,
verkrachting of zelfs het verlies van een
baan.
Een grafiek uit het internet crime report
2009 van de FBI, geeft de explosief
stijgende kosten van internetmisdaad
weer.
Wat kan een bedrijf er tegen doen?
De belangrijkste te nemen maatregel tegen
social engineering is het creëren van
beveiligingsbewustzijn (security awareness)
om daarmee het menselijk gedrag te
veranderen.
Eindgebruikers dienen bewust te worden
van het belang van informatiebeveiliging.
Wachtwoorden en login accounts zijn strikt
persoonlijk. Daarnaast moeten ze continue
worden getraind in het herkennen en
melden van social engineering.
Zinnen als “Hallo met <naam> van de
servicedesk, je computer is besmet met een
virus, kan je mij jouw wachtwoord geven?”,
“Heb je deze video gezien? Druk op deze
link”, “hallo, ik ben <naam>, de
vertegenwoordiger van <firma> en ik kom
voor <naam medewerker>”, “Iemand is
heimelijk verliefd op je, download deze
applicatie om te zien wie het is”, etc. kunnen
afkomstig zijn van social engineers.
De awarenesstraining moet er toe leiden
dan gebruikers bewuster met informatie
omgaan en een gezonde achterdocht
opbouwen (trust but verify).
Is er sprake van twijfel dan zijn er een aantal
tactieken, die kunnen worden toegepast:
• Call back policy. Het lijkt eenvoudig
maar terugbellen is uiterst effectief.
Immers de social engineer wil boven
alles anoniem blijven.
• Vragen stellen (three questions rule)
Weer een uiterst eenvoudige tactiek,
duurt het geven van de antwoorden wat
lang en vertoont de social engineer
ontwijkend gedrag dan is het goed om
achterdochtig te zijn. Stel dan een
strikvraag.
• Ruggespraak. Bij twijfel: overleg met
collega’s of leidinggevende.
7. Kevin Mitnick (6 augustus 1963), alias
Condor, is een levende legende in de
wereld van hackers.
Zijn geruchtmakende inbraken in
ondermeer het Pentagon, Dell, Nokia,
Sun, Compaq en Digital maakten dat hij
door de FBI als een groot gevaar voor
de samenleving werd gezien en leidden
tot enkele controversiële veroordelingen.
De film Takedown uit 2000 is losjes
gebaseerd op zijn leven.
De door hem gebruikte techniek om
toegang te krijgen tot
computersystemen, heet tegenwoordig
Social Engineering.
De sleutel tot de bescherming ligt
weliswaar bij mensen, maar een
organisatie kan met een aantal
maatregelen zichzelf en zijn gebruikers
aanvullend beschermen:
• Het gebruiken van goede anti virus en
anti phishing filters, deze voorkomen
grotendeels dat gebruikers worden
geconfronteerd met onveilig internet.
• Het uitschakelen van de Windows
autorun functie.
• Het uitvoeren van regulier change
management. Dit is veiliger omdat een
social engineer zich niet kan beroepen
op urgentie om een ad hoc te change
te laten uitvoeren.
• Het maken en actief uitdragen van
informatie(classificatie)beleid, waarin
wordt aangegeven hoe met (gevoelige)
informatie om te gaan.
• Het inzetten van papier shredders om
papier standaard te versnipperen.
• Het fysiek beveiligen van panden,
gebruik van visitatie logboeken en het
uitvoeren van antecedenten
onderzoeken.
• Het uitsluitend gebruik maken van
telefoons met nummerherkenning.
• Het op elke afdeling aanwijzen van
een verantwoordelijke die onbekende
personen aanspreekt en vraagt om de
badge te laten zien.
• Het zorgen voor een meldpunt
beveiliging waar medewerkers
incidenten kunnen melden en
informatie kunnen inwinnen.
Tenslotte heeft een bedrijf de mogelijkheid
om externe bedrijven in te zetten om de
beveiliging te testen. Professionals
gebruiken bekende social engineering
technieken om te kijken hoe het met het
beveiligingsbewustzijn van de medewerkers
van een bedrijf is gesteld (on-site
vulnerability testing).
Wat kan een burger er tegen doen?
Voor burgers is vooral voorzichtigheid het
motto. Val niet voor de ‘too nice to be true’
verhalen:
• Loterijen keren geen geld uit zonder
inleg.
• Mooie buitenlandse vrouwen staan niet
te wachten op een lelijke Nederlandse
man die dertig jaar ouder is.
• Niemand krijgt geld uit erfenissen van
familieleden die generaties geleden
geëmigreerd zijn.
Die verhalen zijn inderdaad te mooi om waar
te zijn.
De do’s
• Wees voorzichtig met geld sturen naar
websites. Betaal achteraf of maak
gebruik van een broker zoals Paypal die
het geld kan terugvorderen van de
verkoper.
• Gebruik voor élk website account een
ander e-mail adres of maak gebruik van
een password manager.
• Gebruik een niet eenvoudig te raden
wachtwoord en verander dit regelmatig.
Social engineering vormt een reële
bedreiging voor zowel organisaties als
burgers cominus et eminus. Doordat
cybercrime enerzijds uiterst winstgevend is
en er anderzijds de pakkans voor de daders
klein is, neemt deze vorm van cybercrime de
komende jaren naar verwachting
exponentieel toe. Zorg dat u voorbereid
bent!
Voor meer informatie, zie de website:
http://socengin.weebly.com/
Rob van Hees