ACHTERGROND
Mens is de zwakste schakel in de beveiliging
Social Engineering Wie denkt dat kwaadaardige hackers alleen computers inzetten om in te breken in systemen, heeft het mis. Hackers maken ook gebruik van social engineering om gevoelige informatie te verzamelen om zo later hun slag te slaan. Wat is social engineering en hoe gaan deze hackers te werk? TEKST MARC BOERSMA
edrijven investeren veel tijd, geld en energie in het beveiligen van hun computersystemen. Ze maken gebruik van de adviezen van ICT-experts en schaffen veelal prijzige hard- en software aan om te voorkomen dat onbevoegden toegang krijgen tot systemen en bedrijfsdata. Ondanks alle zorgvuldige hard- en softwarematige beveiliging lukt het sommige hackers om systemen binnen te dringen. Deze hackers maken veelal gebruik van social engineering om bepaalde informatie te verkrijgen. Bij social engineering vindt er geen aanval plaats op de aanwezige techniek. Een social hacker maakt gebruik van andere methoden. Als de hacker via social engineering voldoende informatie heeft verzameld, is hij in staat om toegang te verkrijgen tot een computersysteem.
Voorbereiding
Voordat een social hacker zijn slag slaat, verzamelt hij zoveel mogelijk informatie over sleutelfiguren binnen bedrijven via openbare bronnen. Social mediaaccounts van belangrijke personen binnen een bedrijf bieden een schat aan informatie. Profielen van personen op websites als LinkedIn, Twitter en Facebook geven al veel informatie prijs, zoals voor- en achternaam, functie, leeftijd en hobby's. Geplaatste berichten op social media bieden de hacker ook veel informatie. Een hacker kan ook informatie uit gedrukte media gebruiken.
80
WWW.WINMAGPRO.NL
De social hacker wil zoveel mogelijk profielen verzamelen van belangrijke mensen binnen een bedrijf. Hackers verzamelen zoveel mogelijk informatie over het bedrijf zelf. Dat is op zich niet zo ingewikkeld. Veel informatie over bedrijven is gemakkelijk op het internet te vinden. Via LinkedIn zijn gemakkelijk de namen van werknemers en hun functies te achterhalen. Een hacker probeert dus zoveel mogelijk informatie over het bedrijf en de medewerkers te verzamelen. Op het moment dat de hacker het bedrijf benadert, kan hij een betrouwbare indruk maken als hij over voldoende relevante informatie beschikt. Dat vergroot namelijk de kans op een geslaagde aanval.
Het gebeurt ook dat ze bedrijfskleding inclusief naambadge zorgvuldig namaken. Voor het bedrijfspand roken vaak medewerkers. De social hacker rookt soms mee en als medewerkers weer naar hun werkplek gaan, glipt hij via de opengehouden deur het bedrijfsgebouw in. Als hackers eenmaal binnen zijn, kunnen ze ook afluisterapparatuur en keyloggers plaatsen. Een keylogger prikt een hacker in een computer om zo alle toetsaanslagen te registreren. Het achterhalen van gebruikersnamen en wachtwoorden is zo heel gemakkelijk. Er bestaan ook softwarematige keyloggers, waarvoor de hacker geen hardware in de computer hoeft te steken. Keyloggers zijn gemakkelijk op het internet te verkrijgen. Papierbakken zijn voor social hackers zinvolle informatiebronnen. Veel bedrijven verzamelen oud papier en bewaren dit in aparte bakken. In de verschillende documenten is vaak veel vertrouwelijk bedrijfsinformatie te vinden. Overig bedrijfsafval kan voor een hacker ook zinvolle informatie opleveren. Deze werkwijze noemen we dumpster diving.
Een hacker die social engineering inzet om zijn doel te bereiken, maakt gebruik van verschillende technieken om zijn slag te slaan. Het is goed om te weten over welke technieken zo’n hacker beschikt, zodat jouw bedrijf hierop voorbereid is. Overigens kan een social hacker natuurlijk ook techniek inzetten om zijn doel te bereiken.
Het gebeurt ook dat een hacker een usb-stick op het bedrijfsterrein deponeert. Mensen zijn van nature nieuwsgierig en geneigd de usb-stick in een computer te steken om zo de inhoud te bekijken. Op de usbstick staat een spionageprogramma dat stiekem op de computer wordt geĂŻnstalleerd. Overigens verspreiden hackers vaak ook besmette usb-sticks op beurzen en conferenties met als doel informatie over bedrijven te verzamelen.
Het lukt hackers soms om een bedrijfspand binnen te dringen. Als ze eenmaal binnen zijn, is het vaak een fluitje van een cent om systemen binnen te komen. Ze gebruiken verschillende manieren om een pand binnen te dringen. Soms verkleden ze zich als schoonmaker of onderhoudsmonteur.
Hackers kunnen daarnaast het draadloze internet aftappen om zo gebruikersnamen, wachtwoorden en overige informatie te verkrijgen. Medewerkers maken op hun mobiele apparaat veelal niet gebruik van een VPN-verbinding, waardoor gegevens in beginsel te onderscheppen zijn. Tevens
Gebruikte technieken