Social engineering is in feite de kunst van het gebruiken van psychologie in plaats van technische tools om toegang te krijgen tot gebouwen, systemen of data. Ouderwetse oplichting dus, compleet met babbeltrucs, lokazen, wisseltrucs, kettingbrieven en andere frauduleuze ongein.
Een codehacker zoekt een bug in software, maar iemand die social engineering gebruikt, verdiept zich in mensen als systeembeheerders en CEO's om te kijken onder welke omstandigheden ze bijvoorbeeld wachtwoorden verstrekken.
Bewapen jezelf
Zelfs als je alles uit de kast hebt getrokken om de hardware en software van het datacenter te beveiligen, toegang te beperken tot de fysieke ruimtes, alle juiste regels en processen hebt ingezet, de effecten daarvan meet en continu verbetert, kan een vernuftige social engineer het omzeilen door simpelweg gebruikers te motiveren om een actie uit te voeren die ze beter niet kunnen doen.
Om jezelf beter te bewapenen, kijken we in dit artikel naar de tactieken die ze gebruiken, hoe social engineering in de praktijk werkt en geven we tips hoe je ervoor zorgt dat personeel op de hoede is voor deze trucs.
Gladde prater
De term is populair geworden door beroemd hacker en tegenwoordig vooral schrijver Kevin Mitnick in de jaren 90. Maar het idee is al zo oud als de mens. Social engineering is een moderne naam voor ouderwetse oplichting: een gladde prater of een slimme e-mail maakt misbruik van normale menselijke reacties.
Oplichters hacken het systeem niet, ze wandelen rustig en vol zelfvertrouwen binnen en zorgen dat iemand die geautoriseerd is toegang verschaft. Digitaal gaat dat hetzelfde. Social engineers verzamelen data over systemen door te phishen of simpelweg te bellen naar een vriendelijke receptionist. En de firewall doet niet veel als gebruikers klikken op een malafide link die ze kregen via een Facebook-vriend of LinkedIn-connectie.
Tweedehands shirt
Chris Nickerson, oprichter van beveiligingsconsultancy Lares, voert regelmatig red team-tests uit waarbij social engineering wordt gebruikt om binnen te komen bij klanten en in te loggen om gevoelige informatie te krijgen. Hij geeft ons een aantal praktijkvoorbeelden die aangeven hoe makkelijk het is om binnen te komen.
In één voorbeeld kocht hij een tweedehands Cisco-shirt bij een kledingoutlet en overtuigde hij de receptie en andere werknemers dat hij in het gebouw thuishoorde. Eenmaal binnen kon hij andere leden van zijn red team binenlaten. Hij gebruikte vervolgens van malware voorziene usb-sticks om, voor de ogen van werknemers, in te breken op het netwerk.
Misbruik van vertrouwen
Chris Blow is een specialist in 'offensieve beveiliging' bij verzekeraar Liberty Mutual. "Een social engineering-aanval werkt om dat mensen inherent anderen willen vertrouwen. Als iemand een e-mail krijgt van een collega die van een andere collega zou komen, zullen de meeste mensen willen kijken, vooral als het naar iets verwijst waar ze mee bezig zijn. Mensen openen deze e-mails in de praktijk niet eens, maar klikken ook op wat er in de berichttekst staat."
Dan gaat het om e-mail, maar werken zulke trucs net zo goed via de telefoon of zelfs in persoon als het gaat om doen alsof het van een collega komt? "Mensen willen over het algemeen vermijden scepsis te tonen over de actie van een ander op het werk", legt Blow uit. "De meeste mensen zijn vriendelijk en behulpzaam en zelfs aangeleerd om hulp te bieden, vooral in een werkomgeving."
Hoe de procedure faalt
"Stel ik bel op als een boos bestuurslid en zeg iets als: 'Kun je me uitleggen waarom dit in vredesnaam niet al een week geleden is uitgevoerd? Deze accountgegevens en IBAN zou aangepast worden, maar niemand heeft iets gedaan. Ik wil dat je dit nu regelt!' Vooral als je iets brengt met urgentie en van hogere hand, zullen mensen snel aan de slag gaan." Dat is het moment dat normale procedures zoals wijzigingsaanvragen falen.
Criminelen doen vaak weken of zelfs maanden onderzoek om te achterhalen hoe een bedrijf werkt voordat ze überhaupt een belletje plegen of naar binnen lopen. Die voorbereiding is alles van het achterhalen van interne telefoonnummers of organisatorische structuur tot aan het onderzoeken van werknemers en interne procedures - vaak met openbare informatie.
Hou de deur voor me open
Een politiefunctionaris met twintig jaar ervaring, Sal Lifrieri, licht bedrijven tegenwoordig voor over social engineering-tactieken met de organisatie Protective Operations. Hij vertelt dat criminelen erop uit zijn om mensen op hun gemak te stellen met herkenbaarheid. Ze leren bijvoorbeeld het jargon van een specifiek bedrijf. Een andere truc gaat om het opnemen van het wachtmuziekje, zodat bellers het gevoel krijgen dat een telefoontje van een intern toestel komt.
"Kun je de deur voor me openhouden, ik heb m'n pasje thuisliggen." Hoe vaak heb je dit gehoord op jouw kantoor? Dit is een tactiek die niet eens zo verdacht is voor veel mensen en daarom is het een veelgebruikte methode van social engineers."
Rookpauze
Social engineering-expert Nickerson liet zijn red team tijdens een oefening wachten bij de plek waar veel werknemers een sigaret opstaken gedurende hun rookpauze. Mederokers namen dan aan dat het iemand was die ook in het gebouw thuishoorde en waren makkelijk te volgen via de achteringang. "Een sigaret is de beste vriend van een social engineer", zegt Nickerson.
Dezelfde tactiek, achter mensen aanlopen, wordt op allerlei manieren gebruikt, zegt hij. De meeste mensen vragen niet om bewijs dat ze ergens thuishoren. Zelfs op plekken waar badges of ander authoriserend bewijs vereist is, is het relatief eenvoudig om binnen te komen. "Meestal druk ik zelf badges die op de echte lijken, maar vaak worden ze niet eens gecontroleerd. Ik heb zelfs ooit een badge gebruikt waarop 'Trap me buiten' stond, maar dat werd niet verdacht gevonden."
De opkomst van sociale netwerken heeft de aanval eenvoudiger gemaakt, zegt Blow. "We kunnen nu al die verschillende platforms controleren op zoek naar informatie. Voordat Twitter en Facebook bestonden, kostte het veel meer moeite om specifieke informatie over mensen te vinden. Toen draaide het meer om ouderwets posten om te zien wat doelwitten daadwerkelijk doen, doorzoeken van hun afval en andere old-school trucs", aldus Blow.
Dekmantels
Dat hoeft niet meer en ze kunnen nu naar sites als LinkedIn om informatie te verzamelen over gebruikers en gedetailleerde gegevens van een bedrijf, organisatorische opzet en werknemers om een aanval op te zetten. "Ik kan nu in enkele minuten een social engineering-oefening samenstellen", vertelt hij. "Als ik honderd spearphishingmails stuur op basis van zulke verzamelde informatie, kan ik een goede hit-ratio garanderen."
"De succesvolste technieken zijn meestal trucs waarbij ik me voordoe als iemand op hetzelfde niveau die hulp zoekt", zegt Shane MacDougall, partner bij Tactical Intelligence. "Ik ben geen voorstander van dekmantels gebaseerd op autoriteit, bijvoorbeeld een baas die assistentie eist of een inspecteur. Ik doe onderzoek naar het doelwit, zodat ik bijvoorbeeld een authentieke klacht over de werkomgeving kan gebruiken. Dat schept een band en informatie begint dan te stromen."
Interesse aanboren
Als het op online oplichting aankomt, gebruiken fraudeurs zowel angst als nieuwsgierigheid, zoals met een phishingmail of het doelwit deze video van zichzelf heeft gezien of een IT-hulpverlener die vertelt dat er een computerprobleem is. Deze zijn moeilijk te negeren voor mensen als ze niet op hun hoede zijn. Ze halen inspiratie uit brekend nieuws, de feestdagen, gebeurtenissen omtrent bekende mensen, films, tv, en andere dingen om de nieuwsgierigheid van slachtoffers op te wekken.
Aanvallers zullen phishing-aanvallen verfijnen om bekende interesses aan te boren om gebruikers te verleiden om op bijlages met malware te klikken, zoals interesse in acteurs, muziek, politiek en meer. Zulke tactieken worden volgens Blow vooral gebruikt op sociale netwerken.
Netwerk in kaart
"Aanvallers maken een nep-Facebook-app om informatie op te zuigen. Die kan worden ontworpen op een onderwerpen waarvan gebruikers al hebben aangegeven geïnteresseerd te zijn om contactgegevens en andere data te verzamelen. Je kunt zo grote netwerken uitbouwen van wie contact heeft met wie om een perfect doelwit vast te stellen."
De beste verdediging is bewustwording: werknemers moeten beseffen hoe social engineers te werk gaan en bij welke gedragingen de alarmbellen zouden moeten rinkelen. Het voordeel ten opzichte van andere security-onderwerpen is dat het zich leent voor sappige voor mensen begrijpelijke anekdotes in plaats van een uitleg van technische kwetsbaarheden.
Paranoia is goed
Chris Nickerson vertelt dat zijn succesverhaal om zich voor te doen als technicus die ergens thuishoort de les op een interessante manier kan leren. Andere effectieve manieren zijn kwisjes en humoristische posters ter herinnering dat mensen niet altijd zijn wie ze zeggen dat ze zijn. "Ik druk mensen altijd op het hart lichtjes paranoïde te zijn, omdat je niet weet wat iemand eigenlijk wil", vertelt Lifrieri. "Het onder vuur nemen van werknemers begint al bij de parkeerplaatsbeambte en receptionist. Je moet al het personeel trainen."
De trucs van social engineering evolueren naarmate we ons gedrag aanpassen en meer op onze hoede zijn voor bepaalde gedragingen en daarom moet training ook geen eenmalige propositie zijn maar moet het regelmatig worden worden bijgewerkt met een up-to-date opfriscursus.
Het gaat niet alleen om het gewone personeel, maar ook om bestuursleden en C-level, omdat deze mensen vaak een primair doelwit zijn van oplichters. Dan Lohrmann, CSO van Security Mentor heeft de volgende tips voor ons:
- Zorg voor een uitgebreid trainingsprogramma dat constant wordt bijgewerkt om te kijken naar zowel algemene phishingmethodes als de nieuwste trucs voor gerichte social engineering. Dit is veel meer dan klikken op malafide links.
- Zorg voor een presentatie over whaling (CEO-fraude) en verwerk de recentste online fraudetechnieken voor zulk sleutelpersoneel. Ja, ook het hoogste bestuur moet meedoen, maar vergeet ook niet de mensen die geautoriseerd zijn om acties daarvoor te doen, zoals het directiesecretariaat en financiën. Veel van de waargebeurde voorbeelden gaan over personeel op lagere rangen die wordt voorgehouden dat hun baas een dringende actie eist om normale procedures te omzeilen.
- Analyseer de bestaande processen, procedures en scheiding van taken voor zaken als overboekingen en andere belangrijke transacties zoals het versturen van gevoelige gegevens naar partijen buiten de organisatie. Voeg extra controlemomenten toe waar nodig. Insiders kunnen ook een manier zijn om zulke beschermingsmiddelen te omzeilen, dus risico-analyses moeten wellicht opnieuw uitgevoerd worden om hier rekening mee te houden.
- Overweeg noodprocedures voor transacties die buiten de gewone procedure om moeten gebeuren of bij dringende verzoeken van bestuursleden. Een e-mail van het Gmail-account van de baas zou al direct een waarschuwingssignaal moeten zijn. Iedereen die ermee te maken heeft moet de geautoriseerde noodprocedure kennen en kunnen toepassen.
- Evalueer, verfijn en test je incidentbeheer en phishingrapportagemethodes. Doe op regelmatige basis een oefening met management en belangrijk personeel. Test de controlemiddelen en reverse-engineer potentiële kwetsbare plekken daarvan.
Bijna alle deskundigen zijn het erover eens dat je social engineering het best kunt bestrijden door niet alleen mensen voor te lichten, maar ook door personeelsleden goed te ondersteunen als ze twijfelen of iets wel authentiek is. "Train je personeel dat het prima is om 'nee' te verkopen", zegt Shane MacDougall van Tactical Intelligence.
Oké om nee te zeggen
"We hebben geleerd dat de klant altijd koning is en dat klantervaringen soepel moeten zijn. Aanvallers doen daar hun voordeel mee. Als een interactie voor een personeelslid niet in de haak voelt, moet het oké zijn om het gesprek te beëindigen of om het door te verwijzen naar een manager."
"Het is heel belangrijk dat dit geen loze belofte is, maar dat ze worden gesteund door de manager die het voor ze opneemt bij een rare, boze of irritante klant." Blow van Liberty Mutual is het hier roerend mee eens. "Je moet werknemers de vrijheid geven om te weigeren als ze het gevoel krijgen dat een persoon of gesprek niet klopt."
Bewust gedrag ipv technologische oplossing
Een aantal leveranciers biedt tools of diensten om te helpen met oefeningen omtrent social engineering. Kijk bijvoorbeeld eens naar de gratis Social Engineering Toolkit. Daarmee automatiseer je pentesten via social engineering, inclusief spearphishing-aanvallen, legitiem ogende websites, usb-aanvallen en meer. Een andere goede resource is The Social Engineering Framework.
Het ligt niet in de lijn der verwachting dat er een technische verdediging opduikt tegen social engineering. Techniek helpt de beveiligingsmiddelen om de impact te verkleinen en wellicht dat het zich minder vaak voordoet. Zo kan bijvoorbeeld detectie van bepaalde sleutelwoorden in e-mails of zelfs telefoongesprekken helpen om social engineering te voorkomen.
Bedenk ook dat veel aanvallen buiten het kantoor gebeuren. Een gesprek in een kroeg beginnen is een ontzettend effectieve manier om informatie te ontfutselen. Dat is het moment dat training en bewustwording hopelijk hun vruchten zullen afwerpen.
Dat men de kennis opdoet of meekrijgt en zodoende gespecialiseerd te geraken, is weinig aan te doen. Voor welke doeleinden elk individu deze kennis gebruikt, is sleutel
Reageer
Preview