Social engineering: groot probleem in 2013

Column | Toegang voor onbevoegden

22 oktober 2013

Een vriend van me vertelt altijd met genoegen hoe het hem lukt belangrijke sportwedstrijden te bezoeken zonder kaartje. Zijn truc: bij de kassa doet hij net alsof iemand al voor hem betaald heeft. Hij zwaait naar een willekeurig iemand die het poortje gepasseerd is, en roept: ‘Hé, Marloes, jij hebt toch ook voor mij betaald? Ik kom eraan!’

Wat natuurlijke charme doet de rest. Het lukt hem vrijwel altijd.

Social engineering

Bovenstaand voorbeeld is een vorm van social engineering. Ikzelf dacht vanwege de naam eerst dat het iets met duurzaam bouwen te maken had, maar achter deze bedrieglijke (hoe toepasselijk, in dit geval) naam schuilt de meest vernuftige vorm van inbreken: bedrog om toegang te krijgen.

Groot probleem in 2013

Gartner (een onderzoeks- en adviesbureau in de informatietechnologiesector) ziet social engineering als één van de grootste issues van 2013. Aanleiding hiervoor is mogelijk de Windows event viewer scam, waarbij telemarketeers mensen opbelden en onder valse voorwendselen (bijvoorbeeld een virus) via dit Windows-programma toegang verkregen tot de computer van deze mensen. Om vervolgens vertrouwelijk gegevens te achterhalen. Of er werd gebeld met de mededeling dat men op afstand weliswaar een virus kon verwijderen, maar dan tegen betaling, waarbij men vervolgens om de creditcard-gegevens vroeg.

Andere voorbeelden van social engineering

De beroemde Kevin Mitnick schrijft in zijn ‘art of deception’ (2002) over andere intrigerende voorbeelden. Al op 12-jarige leeftijd reisde hij gratis met de bus door Los Angeles nadat een vriendelijke buschauffeur hem het geheim achter zwart reizen verklapt had. Daarna was er geen houden meer aan; Mitnick deed veel succesvolle hack-pogingen, kwam in de cel, maar bleef actief als hacker.

In zijn boek staan ook voorbeelden die je vast herkent. Bijvoorbeeld iemand die met een grote doos voor de deur staat en daardoor zo de bedrijfsvloer op kan lopen. Of een als schilder verklede zakkenroller die het verfwerk komt controleren.

Basishouding

Er lijkt geen kruid tegen gewassen als je de voorbeelden hoort. Deze vorm van misleiding druist in tegen onze basishouding die uitgaat van het feit dat we a priori iedereen vertrouwen, tenzij dat niet terecht blijkt te zijn. Dat iemand inbreekt door de deur te forceren is vervelend, maar als je voor de inbreker hebt opengedaan is dat vernederend.

Oplossingen voor social engineering

Oplossingen kun je natuurlijk zoeken in procedures. Afspraken zijn over de sterkte en geldigheid van wachtwoorden, maar ook afspraken over fysieke toegangsbeveiliging en het beheer van bedrijfskritische informatie bijvoorbeeld.

De zwakste schakel in de beveiligingsketen blijft echter de mens. Wie kent jouw wachtwoorden? Uit Amerikaans onderzoek blijkt dat 90 procent van de kantoormedewerkers hun wachtwoord geeft in ruil voor een goedkope pen.

Beveiligingsbewustzijn

Alles begint dan ook bij beveiligingsbewustzijn, ook wel (security) awareness genoemd: realiseren hoe kwetsbaar je bent en beseffen dat twijfel goed is. Twijfel triggert je om door te vragen. Als je op de kantoorvloer iemand ziet rondlopen die je niet kent, steek dan je hand uit, stel jezelf voor en zeg: “wat kan ik voor je doen?”. Vraag een naam, vraag waar hij vandaag komt, wat zijn mailadres en telefoonnummer is. Zo ondermijn je het belangrijkste doel van een boef: die wil niet al te duidelijk gezien worden en vooral niet al te veel over zichzelf loslaten.

Ná 2013

Gartner ziet dit dus als een topic voor 2013, maar ook ná 2013 zal social engineering een feit zijn. Mijn advies is om het als een topic te zien waar je permanent rekening mee moet houden.

Auteur

Erwin Koster