Chris Hadnagy wordt betaald om mensen te misleiden, en is daar in de loop der jaren erg goed in geworden. Hadnagy is medeoprichter van sociaal-engineer.org en auteur van het boek ‘Social engineering: the art of human hacking’. Al meer dan tien jaar gebruikt hij manipulatietechnieken om klanten te demonstreren hoe criminelen aan inside informatie komen. Drie praktijkvoorbeelden uit zijn boek leren ons zes belangrijke lessen.
De overmoedige CEO
Hadnagy werd ooit ingehuurd om zich als social engineering auditor toegang te verschaffen tot de servers van een drukkerij. De bedrijfsleiding wilde zich ervan verzekeren dat informatie over hun processen en leveranciers geheim zou blijven. Volgens de CEO was het “zo goed als onmogelijk hem persoonlijk te hacken, aangezien hij de bedrijfsgeheimen met zijn leven bewaakte”.
Hadnagy wist vrij eenvoudig informatie te verzamelen zoals de serverlocaties, IP-adressen, e-mailadressen, telefoonnummers, fysieke adressen, mailservers, namen van werknemers en hun functies. De kroon op zijn werk was de ontdekking dat een familielid van de CEO de strijd tegen kanker had overleefd. Daarna was de CEO betrokken geraakt bij fondsenwerving voor kankeronderzoek. Op Facebook vond Hadnagy meer persoonlijke informatie over de CEO, zoals zijn favoriete restaurant en sportteam. Hij belde de CEO en deed zich voor als fondsenwerver van een kankerstichting waarvoor de CEO zich al eens eerder had ingezet. Deze stichting ging een loterij organiseren. Tot de prijzen behoorden tickets voor een wedstrijd van het favoriete sportteam van de CEO en cadeaubonnen voor verschillende restaurants, waaronder ‘toevallig’ de locatie waar de CEO graag vertoefde.
De CEO hapte toe en stond Hadnagy toe hem een pdf te sturen met informatie over het fonds en de actie. Hij vertelde hem zelfs welke versie van Adobe Reader hij gebruikte. Door de pdf te openen, installeerde de CEO onbewust een shell die Hadnagy in staat stelde zich toegang tot zijn computer te verschaffen. Toen Hadnagy en zijn partner hun bevindingen rapporteerden, was de CEO woedend. Begrijpelijk. “Hij vond het oneerlijk dat we deze kennis gebruikten, maar dit is hoe de wereld werkt”, zegt Hadnagy. “Een kwaadwillende hacker zou er geen twee keer over twijfelen om dit soort informatie te gebruiken.”
- Les 1: Kwaadwillende social engineers laten zich niet weerhouden door het gevoelige en zeer persoonlijke karakter van sommige informatie – in tegendeel.
- Les 2: Vaak is de persoon die zich het veiligst acht de grootste bedreiging. Leidinggevenden zijn vaak makkelijke doelwitten voor social engineering.
Het pretparkschandaal
De tweede case betreft een pretpark waar men het kaartverkoopsysteem niet helemaal vertrouwde. De voor het inchecken van klanten gebruikte computers waren ook gelinkt aan servers met klantgegevens en financiële informatie. Het bedrijf was bezorgd over mogelijke inbraken op deze computers en mogelijke inbreuk op vertrouwelijke gegevens.
Hadnagy begon zijn test met een telefoontje naar het park, waarbij hij zich voordeed als softwareverkoper. Hij bood een proefabonnement aan op een nieuw soort software om pdf’s te lezen. Hij vroeg welke versie ze op dat moment gebruikten, kreeg deze informatie gemakkelijk, en was klaar voor stap twee. Hiervoor was on-site social engineering nodig. Dus nam Hadnagy zijn vrouw en kind mee naar het park.
Aan het loket vroeg hij de medewerkster een e-mail te openen met een kortingscoupon in de bijgesloten pdf. “Het hele verhaal zou op niets zijn uitgelopen als ze dit had geweigerd. Maar een vader met een kind dat dolgraag het park in wil, gaat veel mensen aan het hart.” De medewerkster ging akkoord. Zo lukte het Hadnagy via een bewerkte pdf een verbinding tot stand te brengen met het computersysteem van het park. Binnen enkele minuten kreeg Hadnagy een sms van zijn partner, die hem liet weten ‘binnen’ te zijn. De leiding van het pretpark had in het beleid vastgelegd dat medewerkers geen bijlagen van onbekende bronnen mochten openen, maar zag niet actief toe op de naleving. “En dat is riskant, want om anderen te helpen zijn mensen bereid om zeer ver te gaan.”
- Les 3: Een beveiligingsbeleid is zo goed als de handhaving.
- Les 4: Criminelen maken graag misbruik van het goede karakter en de behulpzaamheid van medewerkers.
De hacker gehackt
Social engineering kan ook gebruikt worden voor defensieve doeleinden. In het derde voorbeeld wordt tester John ingehuurd om een standaard netwerkpenetratietest voor een cliënt uit te voeren. Hij gebruikt het Metasploit framework om te testen op lekken. De scan onthult een open VNC-server (Virtual Network Computing), die aansturing van andere machines op het netwerk mogelijk maakt. Terwijl hij zijn bevindingen vastlegt heeft John de VNC-sessie nog open staan. Plotseling ziet hij op de achtergrond een bewegende muis over het scherm gaan. Maar op dat moment van de dag kan geen enkele gebruiker zich met een legitieme reden op het netwerk bevinden.
John opent Notepad en begint een chat met de vermoedelijke indringer. Hij doet zich voor als een 'n00b' hacker, iemand die nieuw en onervaren is. Door te doen alsof hij een newbie is die wil leren van een meester hacker streelt hij het ego van zijn opponent. Zo kan hij informatie over deze persoon verzamelen en zijn cliënt beter helpen. John stelt de hacker wat vragen, waardoor hij na afloop van de chat over zijn e-mailadres, contactgegevens en zelfs een foto beschikt. Waardevolle informatie voor zijn opdrachtgever. Uit het gesprek bleek overigens ook dat de onderneming niet specifiek het doel van de hacker was – hij was vooral op zoek naar een eenvoudig te kraken omgeving.
- Les 5: Social engineering kan ook onderdeel zijn van de beveiligingsstrategie van een organisatie.
- Les 6: Criminelen gaan meestal voor laaghangend fruit. Iedereen met gebrekkige beveiliging is een potentieel doelwit.
-
-
Er zijn nog geen reacties.Reageer
Preview