Social engineering is fluitje van een cent

Bij elke grote organisatie in Nederland is het relatief eenvoudig om via social engineering vertrouwelijke bedrijfsgegevens boven water te krijgen. Een aanval midden in de week na lunchtijd blijkt het meest effectief te zijn. Dit blijkt uit een hackersonderzoek van Sogeti. Dertig hackers hadden zich aangemeld voor deelname aan de zogenoemde Social Engineering Challenge.

Voorafgaand aan de wereldwijde securityconferentie Hack-in-the-Box riep ICT-dienstverlener Sogeti hackers op om in competitieverband willekeurige organisaties uit de Nederlandse Top 100 te hacken. Het doel was Nederlandse organisaties bewuster te maken van de kwetsbaarheden als gevolg van het menselijke gedrag van hun medewerkers.

Manipuleren

Social engineering is het manipuleren van een slachtoffer om gevoel en werkelijkheid zo uit elkaar te trekken dat het slachtoffer vrijwillig een actie uitvoert of informatie vrij geeft. Dit doet de social engineer door een rol aan te nemen en deze binnen een scenario te gebruiken waar de kans het grootst is dat het slachtoffer vertrouwt dat de actie gegrond is. Social engineering wordt gebruikt bij aanvallen op informatiesystemen omdat de mens in een proces vaak de zwakste schakel is. Social engineering vindt plaats via elk menselijk contact, zoals bellen of een fysiek gesprek. Indirect contact, met technieken zoals phishing, scamming of social media, wordt ook ingezet. Net zoals andere kwetsbaarheden in informatiesystemen kan social engineering worden toegepast in combinatie met andere aanvalstechnieken. Aan de hand van op het eerste gezicht onschuldige vragen als welk type software wordt gebruikt? welke browsers gebruikt u?, wat is de naam van het draadloos netwerk?, welk bedrijf doet de archiefvernietiging? en wie is de cateraar van de organisatie? werd informatie losgepeuterd. Dit lijkt onschuldige informatie, maar door wat vernuft toe te passen zijn hackers volgens de onderzoekers in staat de achterhaalde informatie in te zetten om bijvoorbeeld de volledige regie van het bedrijfsnetwerk over te nemen.

Scenario’s

Bij een poging om via social engineering informatie los te peuteren heeft de aanvaller altijd een bepaald doel voor ogen, bijvoorbeeld de beschikking krijgen over een klantendatabase. Aan de hand van dit doel bereidt hij zich voor door informatie te vergaren over slachtoffer en doel, bijvoorbeeld waar de klantendatabase wordt opgeslagen en welke medewerkers directe toegang hiertoe hebben. Met deze informatie bereidt hij een of meer scenario’s voor, waarvan de kans van slagen het grootst is. Dit zijn de scenario’s waarin een slachtoffer informatie prijs geeft, of een actie vrijwillig uitvoert. Het opstellen van deze scenario’s wordt het maken van een ‘pretext’ genoemd.

Wantrouwen

Een pretext is de aanleiding waarom een persoon een actie onderneemt of informatie vrij geeft, waarbij deze reden vaak halve waarheden of onwaarheden bevat om zo zijn of haar ware bedoeling te verbergen. Een goede pretext speelt in op menselijke eigenschappen en tracht bijvoorbeeld om een slachtoffer nieuwsgierig te maken, medelijden op te wekken of een slachtoffer bang te maken. Dit blijken volgens de onderzoekers effectieve methodes te zijn om het slachtoffer mee te laten werken aan de pretext. Mensen zijn van nature goed van vertrouwen en geneigd om andere mensen pas te gaan wantrouwen wanneer hiertoe aanleiding is. In het kader van de challenge mochten de hackers zich niet voordoen als iemand van justitie, politie, het bedrijf zelf of een ander bedrijf waar zij zelf niet werkzaam waren. De meest effectieve pretexts waren die waar de deelnemer een plausibele reden opgaf waarom hij de informatie nodig had zoals: ‘Ik ben een onderzoeker / student die deze informatie nodig heeft voor onderzoek /scriptie over onderwerp x/y.’ Een andere deelnemer deed zich voor als toekomstig medewerker die meer informatie wilde over het bedrijf waar hij kwam te werken.

‘Organisaties zijn zich wel bewust van de noodzaak hun informatietechnologie goed te beveiligen. De rol van de mens als zwakste schakel krijgt nu echter nog onvoldoende aandacht. De door ons in de vorm van een wedstrijd uitgelokte social engineering helpt organisaties om inzicht te krijgen in zwakheden van hun processen en medewerkers bewuster te maken van hun verantwoordelijkheden’, aldus Marinus Kuivenhoven, senior securityexpert van Sogeti.

Aanpak

Om de wedstrijd niet te beïnvloeden, waren de organisaties vooraf niet ingelicht. De wedstrijd was overigens wel zo opgezet dat deze binnen de kaders van de wet viel. Het doel was dan ook niet organisaties lastig te vallen of in een kwaad daglicht te zetten, maar juist een beeld te krijgen van de effectiviteit van social engineering-aanvallen, en deze kennis te delen. Nadat deelnemers zich hadden geregistreerd, kregen ze een door Sogeti willekeurig geselecteerd Nederlands top 100 bedrijf toegewezen. Vervolgens werd deelnemers gevraagd bedrijfsinformatie uit publieke bronnen op te halen, waarbij het in deze fase niet was toegestaan om actief contact te zoeken met de desbetreffende organisaties. Deze informatie gebruikten de hackers om een goede pretext te vormen. De meest gebruikte zoekmethode voor deze ‘pretext’ was Google met 52 procent, gevolgd door Monsterboard en bedrijfswebsites. Social media werden opvallend weinig gebruikt. Een mogelijk verklaring hiervoor is dat het doelwit organisaties waren en geen individuen. Ook werden technische sites of functionaliteit geraadpleegd, zoals Whois waarmee in veel gevallen de beheerder of aanspreekpunt kon worden achterhaald. Een andere gebruikte website was Wigle.net. Deze werd gebruikt om de naam van een draadloos netwerk op afstand te achterhalen. Vaak bevatte de gevonden netwerknamen de naam van het doelwit, in een specifiek geval bevatte deze een productnaam van een product dat dit bedrijf voerde. Een andere deelnemer is simpelweg langs een pand van het bedrijf gelopen om de netwerknaam te achterhalen.

Resultaten

Voor de deelnemers die zich vooraf goed hadden voorbereid, werd het effect daarvan direct duidelijk tijdens de gevoerde telefoongesprekken. Het bleek dat een social engineer vooral zelf overtuigd moet zijn van zijn verhaal. Ook via de telefoon straalt dit af op het doelwit door kleine vocale wijzigingen in stem en timing van reacties en vragen. Bellers die zich voordoen als student of onderzoeker, blijken zeer succesvol te zijn in het verkrijgen van relevante informatie. Of anders gezegd, medewerkers van top 100 organisaties zijn boven verwachting zeer behulpzaam voor hackers.

Pas met media

Een opvallend resultaat is volgens de onderzoekers ook dat veel informatie kan worden achterhaald uit media die organisaties zelf publiceren. Bijvoorbeeld via vacatureteksten wordt achterhaald welke software wordt gebruikt. Zo kan informatie worden gehaald uit vacatureteksten die op de website van het doelwit zelf zijn geplaatst, bijvoorbeeld ‘wij zijn op zoek naar een Oracle 10G Release 2 specialist voor een intern migratietraject.’ Ook het CV van (ex-)medewerkers kan hierbij helpen waarin de werkzaamheden en vaardigheden worden beschreven, inclusief het bedrijf waar deze zijn opgedaan. Twee deelnemers vonden informatie over het gebruikte OS en e-mail client in de videoopnames onder de button  ‘werken bij’ , een andere deelnemer vond deze informatie juist in een gepubliceerde foto. Een andere wijze voor het verkrijgen van informatie was door de meta-data van geplaatste documenten, foto’s of presentaties te bekijken. Hierin kan soms de versie van de gebruikte software uit worden gehaald en/of de auteur van het document.

Intranet

Door te achterhalen hoe het intranet wordt ontsloten kon worden geprobeerd hier op te komen om direct informatie af te halen of om verder in het netwerk te komen. Vaak wordt het intranet als ‘voldoende beveiligd’ beschouwd en worden er minder beveiligingsmaatregelen getroffen voor applicaties die alleen op het intranet zijn aangesloten. Tevens zijn hier de benamingen van interne systemen vaak te vinden, waardoor de aanvaller het ‘vakjargon’ kan gebruiken in gesprekken en hierdoor meer vertrouwen kan wekken.

Draadloos netwerk

Ook kan een aanvaller een alternatief draadloos netwerk opzetten die technisch hetzelfde lijkt op het netwerk van de organisatie zelf. Wanneer een laptop of mobile device automatisch verbindt met een ‘bekend’ netwerk, zal deze ook met dit alternatief draadloos netwerk verbinden; een zogenoemd rogue accesspoint. Op deze manier kan de aanvaller een zogenoemde man-in-the-middle-aanval uitvoeren.

Partners

Als een aanvaller bekend is met de partners van het bedrijf kan de aanvaller fysiek langs gaan namens deze partners, of een verzoek of berichtgeving doen namens de gebruiker. Ook kan hij op deze wijze informatie van de interne processen verkrijgen, die weer kan worden gebruikt bij een vervolgaanval.

Registreer je als bezoeker

Veel informatie kan worden verkregen door fysiek aanwezig te zijn. Informatie die niet in IT-systemen is opgeslagen of gemakkelijker is te benaderen via een fysieke netwerkaansluiting in het bedrijfsnetwerk zelf, kan zo worden ingewonnen. Een social engineer zal dus soms proberen fysiek in het pand te komen. Vaak komt de aanvaller vlak na een ‘legitiem’ bezoek nogmaals terug door bijvoorbeeld iets achter te laten. Hierdoor heeft de aanvaller een plausibele reden om op een minder druk tijdstip of wanneer zijn contactpersoon niet meer aanwezig is, het bedrijf te bezoeken.

Plugin

Een andere truc is om het slachtoffer een website te laten openen met daarop een flash of pdf-bestand. Met de gevonden informatie kan een aanval klaar worden gezet. De enige vereiste is dat een geautoriseerde gebruiker de actie binnen het domein activeert. Zo vond er in 2011 een social-engineeringaanval plaats op Google waarbij de aanvaller een link stuurde via een instant messaging-applicatie. Achter de link zat een pagina die gebruik maakte van een zwakheid in een van de geïnstalleerde plugin’s om zo kwaadaardige software te installeren. De aanvaller had eerst informatie opgedaan over de plugins en browser van het slachtoffer en kon zo dus heel gericht de malware verspreiden.

Telefoongesprekken

Opmerkelijk is volgens de onderzoekers dat niemand van de doelwitbedrijven weerstand bood tegen de gestelde vragen tijdens de telefoongesprekken. Wel werd in sommige gesprekken duidelijk gemaakt dat hij of zij geen zin had in een dergelijke onderzoek, of hiervoor geen tijd vrij kon maken. Wel werd dan altijd door verwezen naar een andere collega, inclusief contactgegevens (!), of werd gevraagd later nogmaals te bellen. Veel deelnemers aan de wedstrijd kwamen vanuit de technische hoek en hadden dit soort activiteiten nooit eerder gedaan. Hierdoor reageerden sommige deelnemers zeker in het begin zenuwachtig, maar toen bleek dat gedurende het gesprek alles gemakkelijker verliep dan dat zij voor ogen hadden, nam hun gedrevenheid toe en kwamen ze ook authentieker over. De doelgerichtheid en overtuiging ontbrak bij deelnemers die zich minder goed hadden voorbereid. De deelnemers die meer succes hadden, klampten zich vast aan het doel en konden flexibeler inspelen op onverwachte situaties. Ook gebruikten zij eerder gevonden detailinformatie over het bedrijf. Het bleek dat hierdoor sneller het vertrouwen werd gewekt bij het slachtoffer. De medewerkers van de gebelde bedrijven reageerden haast zonder uitzondering bijzonder hulpvaardig.

Social engineering wordt tegenwoordig gebruikt bij aanvallen op informatiesystemen omdat de mens in een proces de zwakste schakel is. Social engineering is een fluitje van een cent. Het is iedere wedstrijddeelnemer gelukt om meerdere onderdelen van de gevraagde informatie te achterhalen. Ook deelnemers met relatief weinig voorbereiding en weinig ervaring op het gebied van social engineering vonden bedrijfsinformatie die in eerste instantie onschuldig lijkt maar inzetbaar is voor een gerichte aanval. Geen van de bedrijven hing op of vertelde de deelnemer dat deze informatie niet toegankelijk was. Blijkbaar zijn de meeste medewerkers zich er niet van bewust dat zij cruciale bedrijfsinformatie prijsgeven. Bedrijven publiceren vaak veel informatie over zichzelf. Dit kan logisch zijn vanuit een bepaald bedrijfsdoel. Vanuit het perspectief van de social engineer is dit echter waardevolle informatie die hij kan gebruiken voor een effectieve aanval. Belangenvereniging BTG heeft voor haar aangesloten leden een speciale projectgroep opgericht waar beveiligingsissues zoals social engineering worden besproken. Aanmelden kan hier.

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

  • Geen evenementen
  • Magazine

    BTG in Business - Voorjaar 2022
    Lees de laatste editie

    Meld je aan voor onze nieuwsbrief!

    Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
    • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.