Mannen gevoeliger voor social engineering

Tijdens de Defcon hackersconferentie werden afgelopen maand vanuit Las Vegas 135 medewerkers van Fortune 500-bedrijven op de korrel genomen door social engineering experts. Slechts vijf van de beoogde slachtoffers weigerden enige gevoelige bedrijfsinformatie vrij te geven. Opvallend detail: dat waren alle vijf vrouwen.

Dat is een van de uitkomsten die de organisatoren van de wedstrijd deze week aan de FBI zullen presenteren. Naar verwachting komen ze volgende week met een meer gedetailleerd rapport.

Social engineering is de praktijk waarbij hackers zich direct richten op het zwakste punt in iedere beveiliging: de mens zelf. Door middel van een snelle babbel, hele en halve leugens en slimme trucs blijkt het eenvoudig mensen voldoende gegevens te ontfutselen om de meest rigide beveiligingsmaatregelen te omzeilen. Beroemde hackers bleken vaak meesters in deze technieken, wat ongetwijfeld verklaart waarom deze wedstrijd op Defcon werd georganiseerd.

De deelnemers richtten zich twee dagen lang op 17 grote ondernemingen, waaronder Google, Symantec, Cisco Systems, Microsoft, Pepsi, Ford en Coca-Cola. Vanuit een plexiglas werkruimte en onder het oog van het publiek belden ze met medewerkers van deze bedrijven om te zien hoeveel informatie ze konden lospeuteren.

Slecht resultaat

De deelnemers bleken opvallend succesvol, zegt Chris Hadnagy, een van de organisatoren van het evenement. Slechts bij één bedrijf is het niet gelukt alle gevoelige informatie boven tafel te krijgen die de deelnemers op hun lijstje hadden staan, en dat gebeurde alleen omdat het niemand lukte daar een levende medewerker aan de lijn te krijgen. “Als die bedrijven ons hadden ingehuurd voor een security audit rond social engineering, dan zouden ze bijna allemaal zijn gezakt,” zegt Hadnagy.

De deelnemers mochten (om juridische redenen) niet om werkelijk gevoelige informatie vragen, zoals wachtwoorden of burgerservicenummers, maar probeerden informatie te achterhalen die op een andere manier door kwaadwillenden misbruikt zou kunnen worden, zoals welke besturingssystemen, beveiligingspakketten en browsers in gebruik waren bij de bedrijven. Ook probeerden ze hun slachtoffers zo ver te krijgen dat ze bepaalde clandestiene websites bezochten.

Opvallend was dat de helft van de ondernemingen nog steeds Internet Explorer 6 bleek te gebruiken, een browser waarvan bekend is dat er forse beveiligingsgaten in zitten. Ook opmerkelijk was dat het de deelnemers in bijna alle gevallen lukte de werknemers aan de lijn uiteindelijk zo ver te krijgen dat ze een speciaal voor de wedstrijd ingerichte website bezochten.

Uit de resultaten blijkt nog eens dat zelfs de best beveiligde ondernemingen eenvoudig zijn binnen te dringen als hun werknemers zich niet bewust zijn van wat ze doen of zeggen.

Reëel gevaar

De daaruit volgende dreiging is serieus, meent Christopher Burgess, senior beveiligingsadviseur bij Cisco, een van de bedrijven die in de wedstrijd onder vuur kwam te liggen. “In het echte leven krijgen heel veel bedrijven telefoontjes van mensen die hun ware bedoelingen proberen te verdoezelen,” zegt hij. “Het is een geraffineerde manier om informatie te verzamelen.”

Cisco is bijvoorbeeld wel gebeld door mensen die beweerden dat hun systemen plat lagen terwijl ze vlak voor een deadline zaten, en die met dat argument de medewerkers zo ver probeerden te krijgen dat ze gevoelige informatie zouden afgeven, vertelt Burgess. “We trainen ons personeel om ervoor te zorgen dat ze social engineering herkennen voor wat het is: een manier om mensen zo te manipuleren dat ze bepaalde dingen doen of gevoelige informatie doorgeven.”

Cisco maakt een groot deel van hun trainingsprocedures zelfs openbaar toegankelijk, zodat andere bedrijven kunnen leren van hun ervaringen.

Overigens weigerde Hadnagy te vertellen hoe Cisco of specifieke andere bedrijven zich in de wedstrijd staande hebben gehouden. Nadat hij de resultaten met Hadnagy had doorgenomen, wilde Burgess wel kwijt dat de wedstrijd aantoont dat het leerproces kennelijk nooit ophoudt. “Je kunt niet een keer trainen en het daarbij laten,” zegt hij. “Je moet die training blijven opfrissen.”

Veel deelnemers aan de wedstrijd kwamen aan hun informatie door zich voor te doen als collega’s die bezig waren met een audit, of consultants die werkten aan een onderzoek.

Volgens Burgess horen werknemers te weten hoe ze dit soort smoesjes kunnen doorprikken. “Als ik iets heb meegenomen uit deze discussie, dan is het dat je de beste kans maakt als je je personeel zo traint dat ze, als ze de stem niet herkennen, eerst controleren met wie ze werkelijk spreken voordat ze wat voor informatie over het bedrijf dan ook afgeven.”

Vrouwen

Burgess wilde niet ingaan op de vraag waarom alle mensen die zich niet door de deelnemers lieten verleiden vrouwen bleken te zijn. Hadnagy stelt echter dat verschillende mensen verschillende technieken vereisen, en dat de social engineering technieken die de deelnemers aan de Defcon-wedstrijd gebruikten misschien niet ideaal waren.

Dat neemt niet weg dat de vijf vrouwen zich bewonderenswaardig hebben gedragen, zegt hij. “Al in de eerste 15 seconden ging er kennelijk een alarmbel bij ze af en verbraken ze de verbinding,” zegt Hadnagy. Helaas hadden ze allemaal collega’s die minder kritisch waren.

“Ze hadden duidelijk ergens in een training enig bewustzijn opgepikt voor dit soort zaken,” zegt hij. Een andere factor zou kunnen zijn dat alle deelnemers aan de wedstrijd mannen waren. “Ik denk dat vrouwen automatisch wat voorzichtiger zijn als ze met mannen te maken krijgen,” zegt hij.

Van alle 135 mensen die in de loop van de wedstrijd werden gebeld was minder dan de helft vrouwelijk, zegt Hadnagy.

Drie van de vijf vrouwen die de deelnemers afkapten waren managers, en vrouwelijke managers blijken vaker minder gevoelig voor social engineering, zegt Jonathan Ham, beveiligingsconsultant bij de Lake Missoula Group, die vaker social engineering tests uitvoert voor financiële dienstverleners. “Zij hebben gewoonlijk het minste vertrouwen en zijn snel achterdochtig,” zegt hij. “Op dat niveau vermijd ik als het even kan de vrouwen en bel ik mannen.”