CYBER SECURITY.
CYBER SECURITY.
Preventie
Inzicht
Cyberlab

Social engineering

14 november, 2019

Undercover bij de klant.

Het klinkt een beetje als een spannende thriller over spionage en undercoverwerk en soms voelt het ook zo: de social engineering pentest. Voor IP4Sure praat ik mezelf regelmatig bij de bedrijven van klanten naar binnen om in kaart te brengen waar de toegangsbeveiliging verbeterd kan worden en op welke gebieden het personeel training nodig heeft om digitale inbraak te voorkomen. Dat kan op allerlei verschillende manieren en ik zal in dit blog een tipje van de sluier oplichten.

Door: Tom Heesmans, Ethisch Hacker

Wat is social engineering?

Social engineering is een methode waarbij een (ethisch) hacker in computersystemen of bedrijfspanden probeert te komen door de zwakste schakel in de beveiliging, de mens, te omzeilen met allerlei slimme trucjes. Voor wij als beveiligingsspecialisten een dergelijke aanval openen, maken we natuurlijk eerst goede afspraken met de klant. Meestal heeft de klant bepaalde wensen en doelstellingen. Zo kan het zijn dat een bedrijf veel waardevolle spullen in opslag heeft liggen en dat men ons vraagt om te proberen in het depot te komen. Het gebeurt ook dat we het verzoek krijgen om langs de receptie van de hoofdingang te komen om de toegangscontrole te testen. Daarnaast zit er meestal ook een technologisch aspect aan: kunnen we, als we eenmaal binnen zijn, bijvoorbeeld USB-sticks met ‘kwaadaardige’ code in de pc’s of laptops prikken? Of een kastje achter de netwerkprinter hangen, dat communiceert met onze eigen server? Kunnen we medewerkers zo ver krijgen dat ze op een link in een phishing-mail klikken? De middelen die wij inzetten zijn natuurlijk nooit echt kwaadaardig, maar bedoeld om aan te tonen wat er zou kunnen gebeuren als een crimineel hetzelfde zou proberen.

Social engineering voorbeelden

Fysiek toegang verkrijgen

Er zijn veel verschillende manieren waarop wij fysiek bij bedrijven binnen kunnen komen. Of we daarin succesvol zijn, hangt af van verschillende factoren. Vaak hebben de wat grotere bedrijven een toegangscontrole met meerdere lagen ingesteld: zo moet je bijvoorbeeld eerst langs de receptionist, heb je een toegangspasje nodig, moet de reden voor je bezoek bevestigd worden en word je uiteindelijk opgehaald en begeleid door de persoon met wie je een afspraak hebt. Toch blijken er in de praktijk vaak nog veel mogelijkheden te zijn om je alsnog een weg naar binnen te praten.

Een receptionist die er nog maar net een paar maanden werkt, of net van school komt, is doorgaans eenvoudiger te overbluffen dan iemand die al twintig jaar dezelfde post bekleedt. Ik kan bijvoorbeeld de naam van de directeur van het bedrijf achterhalen op het internet en een brief opstellen die van de directeur afkomstig lijkt te zijn. Als ik vervolgens zeg dat de receptionist de directeur maar moet bellen of de verantwoordelijkheid moet dragen dat ik weer vertrek, dan moet je sterk in je schoenen staan om je niet te laten overbluffen. Dat is natuurlijk anders voor iemand die er al langer zit: dan zul je met meer geavanceerde trucjes aan moeten komen.

Wij zijn vanzelfsprekend voorbereid op de vragen die mogelijk gesteld kunnen worden en hebben een verifieerbaar achtergrondverhaal klaar. Zo kan ik bijvoorbeeld zeggen dat ik een printermonteur ben. Wanneer er wordt gevraagd naar het bedrijf waar ik voor werk, overhandig ik een telefoonnummer dat doorgeschakeld staat naar het IP4Sure-kantoor. Hier is men op de hoogte van mijn missie en zal men mijn verhaal bevestigen. Wat echter ook voor kan komen, is dat de toegangscontrole bij de receptie helemaal op orde is, maar dat de deur aan de achterkant van het gebouw niet afgesloten is. Dan ga ik bijvoorbeeld via het magazijn naar binnen. Als ik me maar overtuigend genoeg gedraag, zal er bijna nooit iemand zijn die me tegenhoudt: mensen kiezen vaak de weg van de minste weerstand en zullen er gemakshalve vanuit gaan dat ik ben wie ik zeg dat ik ben.

Social engineering via de telefoon

Een andere manier om gevoelige informatie te achterhalen, is via de telefoon. We zoeken dan op social media-kanalen als LinkedIn naar mensen die bij het bedrijf van de klant werken en die bellen we vervolgens om hen bruikbare informatie te ontfutselen. We kunnen dan bijvoorbeeld vragen of ze de mail die we stuurden wel hebben gelezen. Nee? Gebruiken ze Outlook? Is dat Outlook 2010 of 2013? Vertellen ze ons dat ze Outlook 2010 gebruiken, dan is de kans groot dat ze heel Office 2010 gebruiken. Nu kunnen wij ze heel gericht een phishing-mail sturen die we afstemmen op Office 2010. Ook kunnen we proberen om mensen via de telefoon te overtuigen om naar een bepaalde webpagina te gaan. Op die webpagina kunnen we vervolgens een ‘kwaadaardige’ link plaatsen die wij kunnen monitoren. Zo’n link kan potentieel het hele bedrijfsnetwerk platleggen. Dat zullen wij natuurlijk nooit doen, maar het kan in een real world-scenario wel gebeuren.

Phishing-campagne

Phishing is een veelvoorkomende vorm van internetfraude, die bedrijven jaarlijks miljoenen euro’s kost. Het bestaat uit het oplichten van mensen door ze naar een valse website te lokken, om ze daar nietsvermoedend hun creditcardnummer in te laten vullen of ze te laten klikken op een kwaadaardige link. Hierdoor krijgt de fraudeur de beschikking over waardevolle gegevens met alle gevolgen van dien. Als wij in het kader van social engineering een phishing-campagne uitvoeren, dan is dat eigenlijk een soort awareness-training. In plaats van je computer over te nemen of je gegevens te stelen wanneer je op een link in een phishing-mail klikt, kom je op een door ons gemaakte webpagina met waardevolle lessen. Zo’n pagina is niet bedoeld om mensen op de vingers te tikken, maar om ze te helpen herkennen hoe ze dit hadden kunnen voorkomen. Kwaadaardige phishing-mails kunnen het bedrijf immers grote schade berokkenen. Aan een phishing-campagne is altijd een rapportage verbonden, die we aan het management overleggen. Wordt er in jouw bedrijf bijvoorbeeld vaker geklikt dan in andere bedrijven in jouw sector? In overleg kunnen we naar aanleiding van een phishing-campagne medewerkerstrainingen verzorgen, waarin we de valkuilen inzichtelijk maken en real world-scenario’s laten zien.

Het doel van social engineering

Dit zijn slechts enkele van de vele manieren waarop we ons via social engineering toegang kunnen verschaffen tot een bedrijf of tot de informatie van een bedrijf. Het doel is natuurlijk nooit om werkelijk schade aan te richten, maar om de zwakke plekken in de beveiliging te identificeren en te verhelpen. Na afloop van de social engineering pentest, krijgen klanten een uitgebreide rapportage. Hierin geven we aan welke doelen er zijn behaald, hoe ernstig de kwetsbaarheden zijn en hoe de problemen verholpen kunnen worden. Een advies kan bijvoorbeeld zijn dat het bedrijf betere toegangscontroles in moet stellen, of dat het personeel getraind moet worden om assertiever te handelen wanneer ze een onbekende op de werkvloer zien. Het advies kan zelfs zijn om gewoon de achterdeur op slot te doen…

Wij werken met veel plezier o.a. voor