9 Smerige social engineering-trucs

Ieder weldenkend mens weet dat het onverstandig is om in te gaan op voorstellen waarbij je een vorstelijke vergoeding opstrijkt als je de nalatenschap van prins Usman Bello Mustapha II op je zakenrekening parkeert. Fraudeurs zitten echter niet stil. Mede dankzij de opkomst van sociale media zijn er tal van nieuwe manieren bedacht waarmee criminelen je bedrijfswinst weten af te romen of op slinkse wijze uit je privévermogen graaien.

‘Social engineering’ is een begrip uit de beveiligingsindustrie. Het slaat op activiteiten die een specifieke vorm van oplichting tot doel hebben. Social engineers bewegen nietsvermoedende mensen - waaronder ook IT’ers en CIO’s - er middels valse voorwendselen toe bepaalde acties te ondernemen of persoonlijke informatie prijs te geven. We zetten de meest gelikte trucs op een rij, bij wijze van waarschuwing.

Misbruik van sociale netwerken

‘Ik ben op zakenreis in Londen en mijn portemonnee is verdwenen. Ik kan geen kant op, kun je met spoed wat geld sturen?’

Wie via een sociale netwerksite de noodkreet van een vriend of collega binnenkrijgt, moet op zijn tellen passen, zelfs als het gaat om iemand die je persoonlijk kent. Volgens Graham Cluley, consultant bij het Britse beveiligingsbedrijf Sophos, bieden netwerksites nieuwe mogelijkheden voor internetfraudeurs. Een recent voorbeeld daarvan is dat oplichters zich ten onrechte voordoen als een van je Facebook-vrienden. Ze sturen je een bericht of plaatsen een oproep waarin ze aangeven dat ze in een buitenlandse stad zijn gestrand zonder geld; of je ze heel alsjeblieft met spoed wat geld kunt lenen. “Vaak dikken ze het verhaal aan door je wijs te maken dat ze zijn beroofd van hun portemonnee. Ze doen een beroep op je vriendschap en vragen of je direct via een spoedopdracht geld over kunt maken, zodat ze weer terug kunnen reizen”, aldus Cluley.

Zeker als het om een ‘real life’-vriend of -collega gaat, is het verleidelijk meteen in touw te komen. Het probleem is dat je nooit zeker weet of de ‘vriend’ waarmee je via Facebook communiceert daadwerkelijk de persoon is die hij lijkt te zijn. Internetcriminelen stelen wachtwoorden en kunnen Facebook-accounts hacken, zodat ze zich kunnen voordoen als iemand die je blindelings kunt vertrouwen. “Als iemands wachtwoord met behulp van malware is ontfutseld, wordt het heel eenvoudig voor een oplichter om zich als een betrouwbare partner voor te doen”, legt Cluley uit. “Op profielpagina’s van een site als Facebook kan allerlei informatie over iemands privé-leven worden opgezocht. Als je vervolgens kunt inloggen op zijn account, is het bijzonder eenvoudig zijn identiteit ‘over te nemen’.”

Een ander gevaar dat aan Facebook hangt, is verborgen in de applicaties die kunnen worden gedownload. Met berichten als “Iemand heeft een oogje op je! Download deze applicatie om uit te vinden wie het is!” worden mensen ertoe verleid extra software binnen te halen. Sommige apps, zoals Superpoke, zijn razendpopulair omdat gebruikers het idee hebben dat hun Facebook-ervaring ermee wordt ‘verrijkt’. Nu is Superpoke redelijk onschuldig, maar volgens Cluley hebben tal van applicaties een duistereder achtergrond. “Het is voor de mensen achter Facebook simpelweg onmogelijk om alle applicaties te controleren die mensen voor deze online dienst ontwikkelen”, vertelt hij.

Sophos onderzoekt cybercrime-aanvallen en komt daarbij regelmatig Facebook-apps tegen die ongemerkt adware installeren. Deze software trakteert gebruikers op ongevraagde pop-ups, die uitnodigen om naar schimmige websites te surfen waar malware staat te wachten.

Een ander gevaar waar Cluley op wijst, is dat verschillende Facebook-apps ervoor zorgen dat externe partijen toegang krijgen tot persoonlijke, voor buitenstaanders afgeschermde profielinformatie. “De vraag is of je de makers van apps genoeg kunt vertrouwen om ze inzage in jouw gegevens te gunnen, zelfs als het om ontwikkelaars met goede intenties gaat”, waarschuwt hij. “Veruit de meeste van deze applicaties zijn alleen maar geinig en eigenlijk volstrekt overbodig. Gebruikers zouden zich veel kritischer moeten afvragen welke apps ze wel en welke ze niet binnenhalen.”

Uit onderzoek van Sophos komt overigens ook naar voren dat netwerkspam op Twitter een groeiend fenomeen is. Een jaar geleden werd Twitter geteisterd door spammers die op grote schaal een tweet verspreidden met de oproep ‘Heb je al gezien dat dit filmpje over jou op internet staat?’. “Als je er vanuit gaat dat de link waar naar wordt verwezen afkomstig is van een vriend, is dat kans groot dat je erop klikt”, vertelt Cluley. In dit geval kwamen twitteraars die dat deden uit op een site die oogde als de officiële website van Twitter. Veel goedgelovige bezoekers voerden er hun wachtwoord in, dat vervolgens linea recta werd doorgestuurd naar hackers.

Aanvallen van ‘binnenuit’

‘Hoi, je spreekt met Rick van netwerkbeheer. We hebben geconstateerd dat jouw computer besmet is geraakt.’

Voordat er computers, email, webbrowsers en netwerksites waren, gebruikten we de telefoon om met elkaar te communiceren. Hoewel de telefoon steeds meer als een apparaat wordt beschouwd dat in het museum thuishoort, is bellen nog steeds een handig hulpmiddel voor social engineers. Met name binnen bedrijfsorganisaties die zó groot zijn dat de meeste werknemers geen idee hebben wie er op de afdeling netwerkbeheer rondlopen, kun je als fraudeur een leuke slag slaan.

Volgens Chris Nickerson, oprichter van beveiligingsadviesbureau Lares, maken internetcriminelen daarbij vaak gebruik van meldingen over een dreigende virusaanval. Een goed voorbeeld daarvan betreft de Downaup-worm die anderhalf jaar geleden op grote schaal werd verspreid en die talloze pc’s infecteerde (de worm werd in 1 op iedere 16 computers aangetroffen).

Het bedrijf van Nickerson heeft de zogeheten ‘Red Team Testing’-methode ontwikkeld waarmee bedrijven op een veilige manier aan social engineering-technieken worden blootgesteld, zodat duidelijk wordt waar beveiligingslekken zitten. Ook de telefoon wordt bij Red Team Testing ingezet. “Ik bel lukraak wat medewerkers op en zeg dat we hebben ontdekt dat er malware op hun computer staat. Vervolgens loods ik ze door een hele reeks schermen. Zodra ze daarbij bijvoorbeeld registersleutels zien, worden ze nerveus omdat het allemaal veel te technisch voor ze wordt. Uiteindelijk bied ik ze aan om het probleem voor ze op te lossen, zodat ze er zelf niet mee hoeven te worstelen. Het enige dat ze nog hoeven te doen is hun wachtwoord aan me te geven, zodat ik ze van deze hoofdpijn af kan helpen”, legt Nickerson uit. “Het is een werkwijze die inspeelt op de angst die veel werknemers voelen als ze met al te technische zaken worden geconfronteerd. Als je iemand daarbij in een positie kunt manoeuvreren waarin hij denkt dat hij flink in de nesten zit en waarbij hij jou als reddende engel beschouwt, is het eenvoudig om genoeg vertrouwen te winnen en vervolgens aan wachtwoorden en andere informatie te komen.”

Fysieke methoden

Naast digitale aanvallen maken fraudeurs ook gebruik van fysieke manieren om een bedrijf binnen te dringen. Bij een van de bedrijven waarvoor het bedrijf van Nickerson een beveiligingstest uitvoerde, wist hij binnen te komen door voor een paar euro een T-shirt te kopen met een klinkende bedrijfsnaam en als ‘vertegenwoordiger’ van dat bedrijf een afspraak met iemand van netwerkbeheer te maken.

Criminelen zijn vaak weken of maanden bezig met voorbereidingen en het winnen van vertrouwen, voordat ze uiteindelijk hun slag slaan. Ze kunnen zichzelf daarbij bijvoorbeeld voordoen als servicemonteur of externe IT-dienstverlener. Charme, de juiste woordkeuze, veel zelfvertrouwen en een lijst met namen van werknemers waar je naar kunt vragen, zijn doorgaans voldoende om als buitenstaander vrijuit in een bedrijfspand rond te kunnen lopen, aldus Nickerson. Kleine presentjes doen daarbij ook wonderen, zo voegt hij toe.

Wie denkt dat dit verhalen zijn met een hoog Touch of Frost-gehalte komt bedrogen uit, want criminelen maken daadwerkelijk gebruik van dergelijke methoden. Drie jaar geleden wist een oudere man de sympathie van vrouwelijke medewerkers van de diamantopslag van ABN Amro in Antwerpen op te wekken, door als ‘succesvol zakenman’ regelmatig langs te komen, zich als grote klant voor te doen en regelmatig een doos chocolaatjes mee te nemen. “Het was goedkope chocola”, vertelt Nickerson, “maar met dergelijke presentjes roep je al snel een losse, informele sfeer op.” Na verloop van tijd wist de man genoeg vertrouwen op te wekken om ook buiten kantoortijden toegang tot het gebouw te krijgen. Op een zeker moment verdween de man weer uit beeld, samen met 120.000 karaten aan diamant.

Bij dezelfde test waarin Nickerson toegang tot een bedrijf kreeg door de vertegenwoordiger uit te hangen, stelden andere mensen van zijn team zich in de rookhoek vlak naast een zij-ingang op, om een peukje te roken met nietsvermoedende medewerkers van het bedrijf. Zodra die weer naar binnengingen, werden ze aangeklampt met de vraag de deur even op te houden omdat hun “collega’s” ‘het toegangspasje binnen hadden laten liggen’. Een truc die steevast werkt, en het is slechts een enkel voorbeeld uit het arsenaal aan technieken waarmee criminelen een bedrijf binnenkomen. Werknemers van grote bedrijven halen het simpelweg niet in hun hoofd om “collega’s” te vragen of die wel toestemming hebben om ergens rond te hangen, en zelfs op locaties waar mensen badges moeten dragen is het volgens Nickerson heel eenvoudig de zaak te bedonderen. “Tijdens testsessies gebruik ik vaak een fake-badge die ik vooraf in een hoge resolutie uitprint”, legt hij uit. “Maar in de meeste gevallen steek ik daar meer tijd in dan nodig, want die dingen worden in veel bedrijven toch niet gecontroleerd. Ik heb ooit dagenlang in een bedrijf rondgezworven met een badge aan mijn broekriem waarop de tekst stond ‘Ik hoor hier niet, gooi me het pand uit’. Niemand die er vragen over stelde.”

Phishing

‘U hebt nog niet betaald voor een product waar u onlangs op hebt geboden tijdens een veiling op eBay. Klikt u alstublieft op deze link om alsnog uw betaling te voldoen.’

“We zien steeds vaker e-mails langskomen waarin mensen worden aangespoord te betalen voor hun bod op eBay”, aldus Shira Rubinoff van Green Armor Solutions, een Amerikaans bedrijf dat beveiligingssoftware ontwikkelt. “Veel mensen maken gebruiken van marktsites als eBay en gebruikers beginnen vaak al een week voordat een veiling sluit met het bieden op spullen. Het is dus niet vreemd dat mensen of bedrijven denken te zijn vergeten dat ze een week geleden ergens op hebben geboden.”

Phishing is een wijdverbreid fenomeen, en met het immer toenemend aantal transacties op internet groeit ook het aantal pogingen van cybercriminelen om via nepberichten en –websites creditcard- of bankgegevens af te troggelen. Voor Rubinoff was een persoonlijke ervaring op dit vlak zelfs de aanzet om Green Armor op te richten.

Een van de onderdelen van eBay waarmee criminelen worden geholpen, is volgens haar het ranking-systeem. "Gewone, oprechte gebruikers zijn jaren bezig om een goede online status op te bouwen. Wie een betrouwbaar ogende mail krijgt met het verzoek te betalen, zal daar doorgaans snel op reageren om te voorkomen dat zijn of haar reputatie wordt beschadigd. Wie vervolgens op de ingevoegde linkt klikt, komt op een authentiek ogende betaalsite terecht, die is opgezet door phishers die je betaalgegevens aftappen.”

Rubinoff raadt eenieder aan om dit type mailbericht te negeren en er vooral niet op door te klikken. Wie zich zorgen maakt over zijn score op eBay of een soortgelijke site en zeker wil zijn dat hij geen betalingsachterstanden - en dus imagoschade - oploopt, doet er goed aan om zelf de correcte url van eBay in de adresbalk van de browser te tikken. Een advies dat volgens haar niet alleen bij eBay- en andere marktsites geldt, maar bij ieder mailbericht waarvan de afkomst onduidelijk is en waarin naar een externe site wordt verwezen.