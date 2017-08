Social engineering is in feite de kunst van het gebruiken van psychologie in plaats van technische tools om toegang te krijgen tot gebouwen, systemen of data. Ouderwetse oplichting dus, compleet met babbeltrucs, lokazen, wisseltrucs, kettingbrieven en andere frauduleuze ongein.

Een codehacker zoekt een bug in software, maar iemand die social engineering gebruikt, verdiept zich in mensen als systeembeheerders en CEO's om te kijken onder welke omstandigheden ze bijvoorbeeld wachtwoorden verstrekken.

Bewapen jezelf

Zelfs als je alles uit de kast hebt getrokken om de hardware en software van het datacenter te beveiligen, toegang te beperken tot de fysieke ruimtes, alle juiste regels en processen hebt ingezet, de effecten daarvan meet en continu verbetert, kan een vernuftige social engineer het omzeilen door simpelweg gebruikers te motiveren om een actie uit te voeren die ze beter niet kunnen doen.

Om jezelf beter te bewapenen, kijken we in dit artikel naar de tactieken die ze gebruiken, hoe social engineering in de praktijk werkt en geven we tips hoe je ervoor zorgt dat personeel op de hoede is voor deze trucs.

Gladde prater

De term is populair geworden door beroemd hacker en tegenwoordig vooral schrijver Kevin Mitnick in de jaren 90. Maar het idee is al zo oud als de mens. Social engineering is een moderne naam voor ouderwetse oplichting: een gladde prater of een slimme e-mail maakt misbruik van normale menselijke reacties.

Oplichters hacken het systeem niet, ze wandelen rustig en vol zelfvertrouwen binnen en zorgen dat iemand die geautoriseerd is toegang verschaft. Digitaal gaat dat hetzelfde. Social engineers verzamelen data over systemen door te phishen of simpelweg te bellen naar een vriendelijke receptionist. En de firewall doet niet veel als gebruikers klikken op een malafide link die ze kregen via een Facebook-vriend of LinkedIn-connectie.

Tweedehands shirt

Chris Nickerson, oprichter van beveiligingsconsultancy Lares, voert regelmatig red team-tests uit waarbij social engineering wordt gebruikt om binnen te komen bij klanten en in te loggen om gevoelige informatie te krijgen. Hij geeft ons een aantal praktijkvoorbeelden die aangeven hoe makkelijk het is om binnen te komen.

In één voorbeeld kocht hij een tweedehands Cisco-shirt bij een kledingoutlet en overtuigde hij de receptie en andere werknemers dat hij in het gebouw thuishoorde. Eenmaal binnen kon hij andere leden van zijn red team binenlaten. Hij gebruikte vervolgens van malware voorziene usb-sticks om, voor de ogen van werknemers, in te breken op het netwerk.

Misbruik van vertrouwen

Chris Blow is een specialist in 'offensieve beveiliging' bij verzekeraar Liberty Mutual. "Een social engineering-aanval werkt om dat mensen inherent anderen willen vertrouwen. Als iemand een e-mail krijgt van een collega die van een andere collega zou komen, zullen de meeste mensen willen kijken, vooral als het naar iets verwijst waar ze mee bezig zijn. Mensen openen deze e-mails in de praktijk niet eens, maar klikken ook op wat er in de berichttekst staat."