Social Engineering: mens is de zwakste schakel in de beveiliging

Jordi Smit
Bedrijven investeren veel tijd, geld en energie in het beveiligen van hun computersystemen. Ze maken gebruik van de adviezen van ICT-experts en schaffen veelal prijzige hard- en software aan om te voorkomen dat onbevoegden toegang krijgen tot systemen en bedrijfsdata.

Ondanks alle zorgvuldige hard- en softwarematige beveiliging lukt het sommige hackers om systemen binnen te dringen. Deze hackers maken veelal gebruik van social engineering om bepaalde informatie te verkrijgen.

Bij social engineering vindt er geen aanval plaats op de aanwezige techniek. Een social hacker maakt gebruik van andere methoden. Als de hacker via social engineering voldoende informatie heeft verzameld, is hij in staat om toegang te verkrijgen tot een computersysteem.

Voorbereiding

Voordat een social hacker zijn slag slaat, verzamelt hij zoveel mogelijk informatie over sleutelfiguren binnen bedrijven via openbare bronnen. Social mediaaccounts van belangrijke personen binnen een bedrijf bieden een schat aan informatie. Profielen van personen op websites als LinkedIn, Twitter en Facebook geven al veel informatie prijs, zoals voor- en achternaam, functie, leeftijd en hobby's. Geplaatste berichten op social media bieden de hacker ook veel informatie. Een hacker kan ook informatie uit gedrukte media gebruiken. De social hacker wil zoveel mogelijk profielen verzamelen van belangrijke mensen binnen een bedrijf.

Hackers verzamelen zoveel mogelijk informatie over het bedrijf zelf. Dat is op zich niet zo ingewikkeld. Veel informatie over bedrijven is gemakkelijk op het internet te vinden. Via LinkedIn zijn gemakkelijk de namen van werknemers en hun functies te achterhalen.

Een hacker probeert dus zoveel mogelijk informatie over het bedrijf en de medewerkers te verzamelen. Op het moment dat de hacker het bedrijf benadert, kan hij een betrouwbare indruk maken als hij over voldoende relevante informatie beschikt. Dat vergroot namelijk de kans op een geslaagde aanval.

Gebruikte technieken

Een hacker die social engineering inzet om zijn doel te bereiken, maakt gebruik van verschillende technieken om zijn slag te slaan. Het is goed om te weten over welke technieken zo’n hacker beschikt, zodat jouw bedrijf hierop voorbereid is. Overigens kan een social hacker natuurlijk ook techniek inzetten om zijn doel te bereiken.

Het lukt hackers soms om een bedrijfspand binnen te dringen. Als ze eenmaal binnen zijn, is het vaak een fluitje van een cent om systemen binnen te komen. Ze gebruiken verschillende manieren om een pand binnen te dringen. Soms verkleden ze zich als schoonmaker of onderhoudsmonteur. Het gebeurt ook dat ze bedrijfskleding inclusief naambadge zorgvuldig namaken. Voor het bedrijfspand roken vaak medewerkers. De social hacker rookt soms mee en als medewerkers weer naar hun werkplek gaan, glipt hij via de opengehouden deur het bedrijfsgebouw in.

Als hackers eenmaal binnen zijn, kunnen ze ook afluisterapparatuur en keyloggers plaatsen. Een keylogger prikt een hacker in een computer om zo alle toetsaanslagen te registreren. Het achterhalen van gebruikersnamen en wachtwoorden is zo heel gemakkelijk. Er bestaan ook softwarematige keyloggers, waarvoor de hacker geen hardware in de computer hoeft te steken. Keyloggers zijn gemakkelijk op het internet te verkrijgen.

Papierbakken zijn voor social hackers zinvolle informatiebronnen. Veel bedrijven verzamelen oud papier en bewaren dit in aparte bakken. In de verschillende documenten is vaak veel vertrouwelijk bedrijfsinformatie te vinden. Overig bedrijfsafval kan voor een hacker ook zinvolle informatie opleveren. Deze werkwijze noemen we dumpster diving.

Het gebeurt ook dat een hacker een usb-stick op het bedrijfsterrein deponeert. Mensen zijn van nature nieuwsgierig en geneigd de usb-stick in een computer te steken om zo de inhoud te bekijken. Op de usbstick staat een spionageprogramma dat stiekem op de computer wordt geïnstalleerd. Overigens verspreiden hackers vaak ook besmette usb-sticks op beurzen en conferenties met als doel informatie over bedrijven te verzamelen.

Hackers kunnen daarnaast het draadloze internet aftappen om zo gebruikersnamen, wachtwoorden en overige informatie te verkrijgen. Medewerkers maken op hun mobiele apparaat veelal niet gebruik van een VPN-verbinding, waardoor gegevens in beginsel te onderscheppen zijn. Tevens komt het voor dat hackers een nieuw draadloos netwerk opzetten met een naam die vertrouwd in de oren van de gebruikers klinkt. Ze hopen dat medewerkers op dit netwerk inloggen om zo vertrouwelijke bedrijfsgegevens te verkrijgen.

Een hacker kan een e-mail versturen en de ontvanger verleiden op een link te klikken, zodat de installatie van een kwaadaardig programma start. Door in de e-mail namen van collega’s te noemen, wekt hij vertrouwen bij de ontvanger en zo is de kans groter dat op de dubieuze link wordt geklikt. Deze methode heet phishing en blijkt in de praktijk nog steeds een effectieve manier om kwaadaardige software op de computer van de ontvanger te installeren.

Hackers kunnen ook enquêtes afnemen om zo informatie te vergaderen. Ze maken veelal gebruik van online enquêtes, waarvoor gebruikers moeten inloggen met hun gebruikersnaam en wachtwoord. Ook andere gegevens zijn natuurlijk gemakkelijk te verkrijgen via enquêtes. Het gebeurt zelfs dat hackers volledige internetpagina’s met vragenlijsten namaken om een betrouwbare indruk bij de deelnemers van een enquête te wekken.

Psychologische trucs

Een social hacker maakt gebruik van verschillende psychologische trucs om zijn doel te bereiken. Ze maken misbruik van goedheid, vertrouwen, hebzucht, nieuwsgierigheid en naïviteit van mensen.

Vaak belt een hacker naar een bepaald persoon in de organisatie. De hacker zal zich voordoen als technisch medewerker van een bepaalde afdeling of extern bedrijf. Er is vrijwel altijd sprake van een urgente situatie en de persoon aan de andere lijn wordt gevraagd om een gebruikersnaam en wachtwoord, want alleen met deze informatie kunnen ze het probleem oplossen. De hacker zal in het gesprek ook verwijzen naar andere belangrijke en hoger geplaatste personen binnen het bedrijf om zo een betrouwbare indruk te wekken en de persoon aan de andere kant van de lijn onder druk te zetten.

Conclusie

Kwaadaardige hackers zijn op verschillende manieren actief. Ze hoeven hiervoor niet alleen gebruik te maken van computers. Ook via social engineering lukt het ze om vertrouwelijke informatie bij personen en bedrijven los te peuteren. Wie zich bewust is van de trucs en technieken die social hackers gebruiken, kan zich hiertegen wapenen. Social hackers gebruiken psychologische trucs om misbruik te maken van menselijke eigenschappen zoals nieuwsgierigheid, angst, hebzucht en naïviteit.

Zo voorkom je dat je straks slachtoffer bent van een social hacker

Honderd procent zekerheid heb je nooit in het leven, maar als je onderstaande tips in het achterhoofd houdt, verklein je de kans het slachtoffer te worden van een social hacker.

  • Verstrek nooit gebruikersnamen, wachtwoorden en overige vertrouwelijke informatie via telefoon of e-mail. Voor het delen van wachtwoorden kun je tegenwoordig gebruikmaken van software, zoals 1Password Teams.
  • Vergrendel de computer als je de werkplek verlaat. Het automatisch vergrendelen van een computer na een bepaalde periode van inactiviteit is heel gemakkelijk in te stellen. Een hacker heeft op de werkplek namelijk niet zo snel toegang tot een vergrendelde computer.
  • Plak geen gele plakbriefjes met wachtwoorden op de computer. Het overschrijven of fotograferen van zo’n geel plakbriefje is zo gebeurd. Na werktijd hebben ook schoonmakers toegang tot de werkplek. Het is best mogelijk dat een hacker zich verkleedt als schoonmaker om zo binnen het bedrijf belangrijke informatie te verzamelen.
  • Op elk bedrijfsterrein staan afvalbakken. Zorg ervoor dat deze afvalbakken zijn voorzien van een slot. Dat geldt met name voor bakken met oud papier. Vooral bedrijfsdocumenten vormen voor hackers een zinvolle informatiebron.
  • Laat geen belangrijke afdrukken bij de printer rondslingeren. Veel bedrijven maken de fout om deze rondslingerende afdrukken in een open papierbak te deponeren. Beter is om een papierbak met een slot te gebruiken. Natuurlijk kunnen ze dan nog steeds de papierbak meenemen. Het is nog beter om een papierversnipperaar naast de printer te plaatsen, zodat je rondslingerende vertrouwelijke bedrijfsinformatie direct kunt vernietigen.
  • Zorg ervoor dat er geen onbevoegde personen het kantoor binnenkomen. Voer een streng toegangsbeleid bij de ingang van het bedrijfspand. Check alle binnenkomende personen zorgvuldig en vraag om legitimatie. Vraag aan de bezoeker wie de contactpersoon binnen het bedrijf is en controleer bij deze collega of hij een afspraak heeft gemaakt.
  • Als er iemand opbelt met een urgent probleem en een wachtwoord nodig heeft, vraag dan of het mogelijk is om deze persoon terug te bellen. Als dat niet kan, is dat al een slecht signaal. Belt iemand via een afgeschermd nummer met een urgent verzoek, dan is dat sowieso een slecht teken en moet je op je hoede zijn. Vraag altijd naar de naam van de persoon aan de andere kant van de lijn en check via internet of deze persoon bestaat. Een goede informatiebron voor zakelijke contacten is LinkedIn, waar vrijwel de gehele werkzame wereld een account heeft aangemaakt.
  • Uit het taalgebruik kun je al vaak vaststellen of een persoon goede of kwade bedoelingen heeft. In de praktijk opereren veel oplichters en hackers vanuit het buitenland. Teksten zijn vaak gebrekkig geformuleerd en bevatten vele taalfouten. Wie een dergelijke tekst onder ogen krijgt, moet alert zijn. In vrijwel alle gevallen gaat het om hackers die via een tekst iemand proberen op te lichten of informatie proberen te achterhalen. Ook bij het namaken van logo’s gaan hackers niet altijd even zorgvuldig te werk. Let daarom in schriftelijke communicatie ook altijd goed op de kwaliteit van de vormgeving, kleuren en typografie.
afbeelding van Jordi Smit
Door: Jordi Smit

Jordi Smit | Redacteur

Bekijk alle artikelen van Jordi