Bedrijfsgeheimen stelen? Vraag er gewoon naar

beveiliging

Artikelgereedschap

Gepubliceerd: Donderdag 12 augustus 2010
Auteur: Robert McMillan


Social engineering blijkt nog altijd wonderwel te werken. Het kan dan ook geen kwaad dat bedrijven hun werknemers wijzen op de gevaren ervan.

In een wedstrijd tijdens de onlangs gehouden hack-bijeenkomst Defcon slaagden social engineering hackers er met gemak in om werknemers van diverse grote bedrijven dingen te laten zeggen en doen die ze niet zouden moeten zeggen en doen.

De deelnemers aan de wedstrijd wisten werknemers van grote bedrijven zoals Shell, Microsoft, Cisco en Apple zover te krijgen dat ze allerlei informatie prijsgaven die kan worden gebruikt in een computeraanval.

Denk daarbij aan informatie als: de browser die wordt gebruikt (opmerkelijk genoeg maakten de eerste twee bedrijven die werden gebeld gebruik van Internet Explorer 6!), de gebruikte pdf-software, het besturingssysteem en het service pack-nummer, het mailprogramma, het anti-virusprogramma en zelfs de naam van hun draadloze netwerk.

Wayne, een security consultant uit Australië, belde bijvoorbeeld met een IT-callcenter. Hij deed zich voor als consultant van KPMG die snel een audit moest afronden. Met succes: de man aan de andere kant van de lijn gaf in no time de gevraagde informatie.

Wayne negeerde het verzoek om een werknemersnummer, maar brandde in plaats daarvan los met een verhaal dat zijn baas hem in de nek stond te hijgen en dat hij de audit echt zo snel mogelijk moest afronden. Binnen een minuut was de werknemer aan de andere kant van de lijn om: hij bezocht zelfs een door Wayne nagemaakte KPMG-webpagina.

Hoewel Wayne het van alle deelnemers aan de wedstrijd het beste deed, slaagde iedereen erin om informatie buit te maken. "Ze zouden ook foto's van hun familie hebben opgestuurd als ze die vraag hadden gekregen", zegt Chris Hadnagy, één van de organisatoren van de wedstrijd.

Hadnagy is ervan overtuigd dat mensen ook overgehaald kunnen worden om hun wachtwoorden af te geven. De regels van de wedstrijd verboden echter om naar dergelijke gevoelige informatie te hengelen.

Wayne had het voordeel dat hij iemand aan de lijn kreeg die nog maar net bij het bedrijf werkte. "Als je iemand spreekt die hoger in de organisatie zit, krijg je doorgaans niets", aldus Wayne die 15 jaar ervaring heeft met social engineering.

Reacties

blog comments powered by Disqus

Masterclass CIO as Strategist, Nyenrode, 20 juni 2012.
Schrijf u nu in!

De zeer succesvol verlopen CIO Summit 2012.

Opinie

Nieuwsbrief

Blijf altijd op de hoogte van het laatste ICT-nieuws