+31 35 543 1000 info@kza.nl

Het leek zo onschuldig. “Ik ga vandaag een dagje bij de Belastingdienst proberen te werken, zonder echt op te vallen.” En wat ging het makkelijk. Met een paar smoesjes en simpel inspelen op de behulpzaamheid van de medewerkers stonden de jongens van Streetlab zo op de 7e verdieping. Voor elke YouTube kijkende tiener is dit natuurlijke stoer. Je bent bijdehand genoeg om je bij een instantie zoals de Belastingdienst naar binnen te praten. Voor elke professional, vooral diegenen die met gevoelige informatie werken, is dit een potentiële nachtmerrie. Wat als deze jonge vloggers wel snode intenties hadden en van plan waren gevoelige informatie van miljoenen Nederlanders op straat te gooien?

Het proberen te hacken van een organisatie zonder code te gebruiken en in plaats daarvan de mens proberen te ‘hacken’, noemt men ‘social engineering’. Het is een belangrijk onderdeel van wat het Security Gilde voor hun klanten kan doen, naast de gebruikelijke pen-testen. Enerzijds ongelooflijk interessante opdrachten, waar wij de taak van social engineer mogen vervullen. Anderzijds is het een eyeopener: hoe de goedheid van de mens tegen hem/haar gebruikt kan worden. Daarnaast blijkt ook weer dat kleine stukjes informatie al tot een gevaarlijke situatie kunnen leiden.

Nu weet iedereen wel dat je geen wachtwoorden op geeltjes op het beeldscherm moet plakken. Maar wat als een klant vraagt om wat te printen vanaf een USB-stickje? Of als potentiële cliënten vragen om een ruimte met wat privacy? Dan komt het neer op twee aspecten, die beiden met de mens te maken hebben:

  • Welke maatregelen zijn er getroffen om dit soort praktijken te voorkomen?
  • Hoe ver wil de werknemer gaan om de klant tevreden te stellen?

Alhoewel het initieel nog redelijk spannend was om informatie los te peuteren via de werknemers in de opdrachten, blijkt dat je als potentiële klant redelijk veel kan maken. Waar je eerst denkt dat de spotlight op je staat en dat je er verdacht uitziet, krijg je al snel het idee dat iedereen je wil helpen: zeker met de bottomline in gedachten. Zo is het ons bij verschillende klanten gelukt om zonder pasje (en zonder gevraagd te worden wat we daar kwamen doen) binnen te komen, heeft een medewerker een bestand geprobeerd te openen vanaf een USB-stick die wij hem gaven, hebben we gevoelige informatie via de telefoon verkregen en kregen wij een vergaderruimte toebedeeld met meerdere netwerkpoorten.

In de context van social engineering zijn dit natuurlijk allemaal rode vlaggen: er is een pasjessysteem om onbevoegden buiten te houden en alleen mensen met een reden naar binnen te kunnen laten, de USB-stick kan virussen/ransomware bevatten, er mag nooit gevoelige informatie over de telefoon gegeven worden en de netwerk poorten zouden je directe toegang tot het netwerk kunnen geven. Het leeuwendeel van de mensen zal dit beamen en toegeven dat wat zij wel of niet doen met klantverzoeken redelijk ondoordacht kan zijn. Het is daarom belangrijk om de volgende stappen te ondernemen:

  • Spreek duidelijke regels af over hoe om te gaan met klantverzoeken.
  • Wees niet bang om te vragen wat iemand komt doen of naar wie de persoon op zoek is.
  • Wees op je hoede voor verdacht uitziende e-mails.
  • Om Alec Baldwin te parafraseren: Geen ‘Always Be Closing,’ maar ‘Always Be Locking.’ Zorg dat zodra je van je computer weg stapt hij altijd gelocked is.

Als testers zijn wij natuurlijk al bezig met het technische aspect van veiligheid, maar natuurlijk is er veel meer te testen dan alleen de applicatie zelf. Test het bedrijf, kijk of de organisatie waar je nu werkt naast technisch hacken ook klaar is voor het social engineeren.

Wat jij kunt doen om waarde toe te voegen?

  • Probeer zelf eens bij het bedrijf waar je aan de slag bent te social engineeren. Probeer eens zo ver mogelijk het bedrijf in te komen zonder de juiste credentials. Dit kan door achter mensen aan te lopen of met een simpel smoesje binnen te komen.
  • Bekijk het beleidsplan; hoe wordt er daar omgegaan met klant verzoeken? Welke informatie mag wel/niet verstrekt worden?
  • Houd mensen op de hoogte van mogelijke veiligheidsissues (deze zullen ook meegedeeld worden door het security gilde!)
  • Verzin een ‘straf’ als men de computer unlocked laat of als er mensen ongevraagd met een werknemer mee het gebouw in kunnen. Denk dan aan een kleine traktatie of diegene doet de volgende koffie-run.

Social engineering is ongelooflijk moeilijk om tegen te gaan, aangezien er wordt ingespeeld op de zwakste schakel binnen het veiligheidsproces: de mens. Daarnaast wordt er vaak ook maar om kleine gunsten gevraagd die samen toegang zouden kunnen verlenen tot gevoelige informatie. Het is daarom van groot belang dat niet alleen de systemen getest worden of ze het naar behoren doen, maar ook de mensen daaromheen.

Door: Het Security Gilde van KZA