De Help Desk punt NL
Kennisbank
De Helpdesk > De Helpdesk > Kennisbank

Social Engineering attack

Oplossing

Wat is het?

Social Engineering: er is eigenlijk geen goede vertaling voor. Gedragsbeïnvloeding dekt mijn inziens het meest de lading. Manipulatie om informatie te vergaren waar voorts frauduleuze of criminele handelingen mee worden verricht. Social Engineering is van alle tijden, zie het Paard van Troje uit de Griekse mythologie, één van de eerst beschreven vormen.

Volgens Interpol is Social Engineering nog steeds groeiende. De laatste 2 jaar is hierin een sterke piek te herkennen, met in 2015 een geschatte geleden schade van 1 miljard dollar. In het Symantec Threat Report van April 2016, is vooral de toename van Phishing significant.

Verschillende vormen

De hedendaagse Social Engineering uit zich in verschillende vormen; van het versturen van geïnfecteerde USB-sticks in de vorm van rozen naar secretaresses tot het opbouwen van een langdurige persoonlijke relatie. Hieronder zijn er een aantal kort beschreven:

Vorm

Omschrijving

Phishing

De bekendste vorm. Hierbij doet de kwaadwillende zich voor als vertrouwde instelling en wordt het slachtoffer via email gevraagd om geld over te maken of vertrouwelijke informatie prijs te geven.

Dumpster Diving

Het doorzoeken van (bedrijfs)afval om zodoende allerlei vertrouwelijke, financiële of bedrijfsgevoelige informatie te achterhalen.

CEO fraud

De hacker doet zich via email voor als de CEO van het bedrijf om zodoende een medewerker te sommeren om met spoed geld over te maken naar een specifieke rekening.

Stranded traveler scam

Een vorm van Pretexting, de hacker vraagt via het gecompromitteerde emailadres van het op reis zijnde slachtoffer aan zijn familie, vrienden of kennissen om dringend geld over te maken. Dit omdat het slachtoffer in het buitenland in moeilijkheden is geraakt.

Baiting

Het achterlaten van geïnfecteerde USB sticks met labels zoals salaris Juli of reorganisatie 2017. Hiermee wordt het slachtoffer verleid tot het gebruik van de USB stick waarbij er malware op de computer wordt geïnstalleerd.

De methode

Een Social Engineering aanval wordt meestal uitgevoerd volgens een eenduidig scenario. De stappen die door de hacker worden doorlopen zijn:

  1. Het vergaren van informatie
    In deze fase wordt er door de hacker alle mogelijke gegevens verzameld. Hierbij wordt dankbaar gebruik gemaakt van info die het slachtoffer zelf bloot geeft via allerlei Social Media kanalen (LinkedIn, Facebook, Twitter etc.) en programma’s die plaatsbepalende informatie verschaffen zoals Streetview en Funda.
  2. Het opbouwen van een relatie
    Afhankelijk van de gekozen Social Engineering vorm wordt er in deze stap een relatie opgebouwd met het slachtoffer. Dit gebeurt veelal door het veinzen van gemeenschappelijke interesses zoals dezelfde hobby, favoriete festival of voetbalclub. Naar gelang het doel kan er ook gekozen worden voor het opbouwen van een verdergaande vriendschappelijke- of zelfs seksuele relatie.
  3. Gebruik maken van kwetsbaarheden
    Door de hacker wordt er in deze fase bepaald op welk moment de vergaarde kennis het effectiefst kan worden ingezet. Er wordt hierbij gebruik gemaakt van het opgebouwde vertrouwen en de kwetsbaarheden die zijn geanalyseerd. Voorbeelden hiervan zijn het fysiek binnendringen van het kantoor, het ontfutselen van login gegevens of het onzichtbaar plaatsen van eigen WiFi Hotspots.
  4. Uitvoering van de aanval
    In deze laatste fase wordt er door de hacker het uiteindelijke doel bereikt door het daadwerkelijk uitvoeren van de aanval. Het aanrichten van de schade gebeurt zo veel mogelijk zonder dat het slachtoffer er weet van heeft en door zo min mogelijk (digitale sporen) achter te laten.

    De schade die Social Engineering kan aanrichten is gerelateerd aan het type aanval maar kan onder andere leiden tot:
  • Financiële schade door het hacken van bankrekeningen via login gegevens. Deze zijn doorgezonden door de met Malware geïnfecteerde achtergelaten USP-sticks.
  • Verzwakking van de concurrentiepositie door het doorspelen van illegaal verkregen bedrijfsgevoelige informatie aan de concurrentie.
  • Grote imageschade door verlies van persoonsgegevens, nietsvermoedend geïnitieerd door het slachtoffer.
  • Fysieke schade door de hacker na binnen te zijn gedrongen aangebracht aan de IT infrastructuur.

Social Engineering attack ontdekken

Onderzoek van Proofpoint wijst uit dat de meeste Social Engineering aanvallen via email plaatsvinden op maandag t/m woensdag tussen 09:00–10:00 uur. Aanvallen via Social Media worden het meest gelanceerd tussen 13:00–14:00 ’s middags. De verklaring hiervoor is dat ’s morgens de IT afdeling nog geen kans heeft gehad om alle Phishing mailtjes te verwijderen en tijdens de ‘after lunch dip’ potentiële slachtoffers het meest kwetsbaar zijn.

Wees vooral alert op Social Engineering tijdens de vakantieperiode of gedurende grote events (zoals een groot congres of jaarlijks sporttoernooi). Hierbij wordt er door hackers misbruik gemaakt van de grote afwezigheid van personeel.

Een concreet voorbeeld

Merel werkt voor een IT-bedrijf in Amsterdam. In de RAI wordt er op dat moment een populair IT-congres gehouden. Merel meldt op Twitter dat ze die dag naar dat congres gaat. De hacker meldt zich bij de receptie van het IT bedrijf, in zijn gratis verkregen VMware poloshirt, als de nieuwe VMware vertegenwoordiger en geeft aan dat hij een afspraak heeft met Merel. De receptie meldt dat Merel niet aanwezig is. De hacker reageert met “Ja, weet ik, ze is in de RAI op het IT congres, maar op de weg terug naar kantoor, zou ik hier even op haar mogen wachten?”. De wetenschap over Merel schept vertrouwen. Na 10 minuten vraagt de hacker “Kan ik hier in de buurt ergens een broodje eten? Ik heb door alle drukte vandaag nog helemaal niets gegeten”. Door zijn gedegen voorbereiding weet hij dat hiervoor binnen een straal van 25 km echter geen mogelijkheden zijn. De receptie meldt, “Nee, helaas niet in de buurt, maar u mag wel even in ons bedrijfsrestaurant een broodje eten hoor, ik zal u even doorlaten”. De hacker nuttigt keurig een broodje en laat ‘en passant’ enkele met malware geïnfecteerde USB sticks achter. Social Engineering aanval geslaagd.

Social Engineering aanvallen voorkomen

Het geheel voorkomen van Social Engineering is door de vele vormen en steeds vernuftiger wordende aanvallen onmogelijk. De kwetsbaarheid kan door het doorvoeren van een aantal maatregelen wel sterk worden verminderd. Hieronder zijn de belangrijkste weergegeven:

  • Stel richtlijnen op voor medewerkers, waaronder receptie, schoonmakers en directie als onderdeel van de algehele security policy. In deze richtlijnen zou onder andere moeten worden beschreven:
  • Hoe om te gaan met telefonische vragen om informatie?
  • Hoe om te gaan met vragen en bijlages in email?
  • Wat wel en niet te vermelden op Social Media?
  • Hoe gaan we om met papierafval?
  • Hoe om te gaan met bezoekers, schoonmakers en onderhoudsmedewerkers?
  • Waar en hoe mogelijke Social Engineering aanvallen gemeld kunnen worden.
  • Investeer in educatie om het personeel en directie bewust te maken van Social Engineering in het bijzonder en IT security in het algemeen. Een IT security workshop zou standaard deel uit moeten maken van het on-boardingproces van nieuwe medewerkers.
  • Controleer de effectiviteit en scope van de richtlijnen door periodiek een assessment uit te voeren. Dit kan onderdeel zijn van de interne- of externe IT security audit.
  • Maak gebruik van Biometrie, deze vorm van authenticatie is in veel mindere mate kwetsbaar voor Social Engineering aanvallen.
  • Blijf geïnformeerd over de meest recente Social Engineering aanvallen door regelmatig gespecialiseerde organisaties zoals de Anti-Phishing Working Group (APWG) te raadplegen.

Conclusie

De mens blijft de zwakste schakel. Men zal altijd proberen om mensen te manipuleren om zodoende vertrouwelijke gegevens te achterhalen. In de huidige digitale maatschappij wordt het door het gebruik van Social Media steeds gemakkelijker om informatie te vergaren.

Een systeem kan nog zo goed beveiligd zijn maar op het moment dat keys, wachtwoorden of codes in verkeerde handen vallen is het op slag waardeloos geworden.

Gebruik van gezond verstand, alertheid en het naleven van de Security policy zorgen er echter al voor dat de kans op een succesvol uitgevoerde Social Engineering aanval aanzienlijk wordt verminderd.

 
Was dit artikel bruikbaar? ja / nee
Gerelateerde artikelen Brute-force attack
RockMelt
DDoS-aanval
Denial of Service (DOS) attack
Wat is ransomware
Prive IPv4 adressen
Wat is blacklisting
Wat gaat de nieuwe AVG voor mij betekenen?
Hoe werkt TOR
Veel gebruikte afkortingen en benamingen
Artikel details
Artikel ID: 554
Categorie: Hoe werkt dat
Zoekwoorden Social Engineering attack, social, engineering, attack, aanval, voorkomen, hack, hacker, cybercrime,phishing, APWG, manipulatie, beveiliging, veiligheid, online, twitter, facebook
Datum toegevoegd: 4-Sep-2018 21:32:42
Aantal bekeken: 4648
Beoordeling (Stemmen): Artikel beoordeeld 4.2/5.0 (1002)

 
« Ga terug