`````Cybercrime en Cyber Security Nederland
PRISCILLA F. HARMANUS OVER ONDERZOEK INFORMATIE VEILIGHEID EN VITALE INFRASTRUCTUUR IN DE DIGITALE OVERHEID

Home » Digitale overheid » Actueel » Onderwerpen » Bijdrage » Contact

2021/01/17

Social engineering

IMPORTANCE OF CHARACTER 👌

Social engineering attacks (of aanvallen) vinden plaats op twee niveaus: het fysieke en het psychologische.

Eerst, zullen we ons concentreren op de fysieke (physical) instellingen (settings) voor deze aanvallen: de werkplek, de telefoon, uw prullenbak (trash), en zelfs on-line. 

CLEAR YOUR DESK, BEFORE SOMEONE ELSE DOES.

Social engineering - Clear your desk, before someone else does.Vergroot / Download ↗️


“I DON'T THINK YOU UNDERSTAND THE CONCEPT OF CYBERSECURITY”vergroot

Social engineering en phishing zijn lange tijd een van de meest populaire methoden voor cybercriminelen geweest om in te breken in een bedrijfsnetwerk, of gevoelige informatie te stelen. Deze methoden zijn net zo populair omdat ze zich richten op de zwakste schakel in uw beveiliging: mensen. Zelfs de beste beveiligings-"tools" kunnen u niet beschermen wanneer uw medewerkers (onbewust) de deur wagenwijd openen. Investeer daarom eerst in bewustwording en commitment, daarna, volgt de rest vanzelf



“I DON'T THINK YOU UNDERSTAND THE CONCEPT OF CYBERSECURITY”

Social engineering aanvallen ofwel "social engineering attacks" vinden plaats op twee niveaus: het fysieke en het psychologische. Ten eerste, zullen we ons concentreren op de fysieke instellingen voor deze aanvallen: de werkplek, de telefoon, uw prullenbak en zelfs online. Op de werkvloer, kan de hacker gewoon door de deur lopen, zoals in de film, en zich voordoen als een onderhoudsmedewerker, of adviseur, die toegang heeft tot de organisatie. Dan rent de indringer door het kantoor totdat hij of zij een paar wachtwoorden vindt die rondslingeren, en met gedetailleerde informatie uit het gebouw tevoorschijn komt,  om later die avond het netwerk vanuit huis te exploiteren. Een andere techniek om authenticatie of toegang te krijgen tot informatie is shoulder surfing  om daar gewoon te blijven staan, en te kijken, naar een zich niet bewuste werknemer, of secretariaat, die zijn wachtwoord intypt.


“WHEN IT COMES DOWN TO IT, JIM, SECURITY IS A PERSONAL RESPONSIBILITY”

When it comes down to it, JIM, Security is a personal responsibility

the weakest link in your security: humans

Bedreigingen van binnenuit zijn gevaarlijk. Omdat, deze aanvallers, vaak weten hoe het systeem is geconfigureerd, en de zwakke punten kennen. Hackers, zoals insiders, kunnen een schijnbaar onbelangrijk systeem compromitteren om toegang te krijgen tot het netwerk, en het gebruiken als een lanceerplatform voor aanvallen op andere systemen, en veel mensen zouden niet wijzer zijn, omdat ze niet de juiste controles hebben om kwaadwillig gebruik te voorkomen, en te detecteren. Door de bedrijven te vragen naar de meest typische manier waarop ze gecompromitteerd zullen worden, antwoorden de meesten hierop, dat het een interne medewerker zal zijn.
Een van de belangrijkste communicatiekanalen (communication channels) bijvoorbeeld tussen de private sector en de overheid is het Information Sharing and Analysis Center (ISAC). ★ Insiders, vormen zonder twijfel de grootste bedreiging. Ze weten waar de kroonjuwelen zijn. Ze kennen de processen van binnenuit. Ze hebben al aanmeldingen. Als ze iets te winnen hebben, is er niet veel dat ze ervan weerhoudt het verkeerde te doen. De aanvaller die de sterkste positie heeft bij een aanval, is de vertrouwde medewerker, of een familielid. ★ Wat steeds belangrijker wordt, is het beginpunt van een aanval te kennen.

  • Information Sharing and Analysis Centers (ISAC's) | NCSC [webpage capture]  the weakest link in your security: humans
  • https://www.ncsc.nl/organisatie/samenwerkingspartners/isac.html 20 juli 2014 [web archive] the weakest link in your security: humans






dd

Digital Trust Center - Ministerie van Economische Zaken en Klimaat





Social engineering | Digital Trust Center: Social engineering is een breed begrip, maar omvat grofweg de technieken die (cyber) criminelen inzetten om door middel van psychologische manipulatie onder andere ondernemers te verleiden persoonlijke of bedrijfsgevoelige gegevens prijs te geven.


Wat is social engineering?

Social engineering bevat (net als bij vrijwel alle vormen van cyberaanvallen) een mate van psychologische manipulatie. De aanvaller beïnvloedt de ander om vervolgens het gewenste resultaat of voordeel te behalen. Social engineering is vaak succesvol omdat het zich richt op basale menselijke reacties.

Door het toepassen van psychologische manipulatie is social engineering erg lastig tegen te gaan. Om je als ondernemer toch beter te kunnen weren tegen dergelijke aanvallen is het allereerst belangrijk de meest voorkomende vormen en technieken te herkennen. Over het geheel genomen zijn social engineering aanvallen onder te verdelen in fysieke en digitale aanvallen:

Fysieke social engineering

We spreken van fysieke social engineering als aanvallen plaatsvinden op locatie en er niet per se technische (IT) vaardigheden voor vereist zijn. Hoewel er nog veel andere varianten bestaan, worden hieronder enkele veel toegepaste social engineering technieken uitgelegd:


Meekijken (shoulder surfing)
Veel ondernemers werken nog even door in de trein, in een gedeeld kantoor of bedrijfsverzamelpand. Erg praktisch, maar hou er rekening mee dat er gemakkelijk over je schouder meegekeken kan worden terwijl jij of je medewerkers wachtwoorden intypen en/of werken aan/met gevoelige informatie.

Afval doorzoeken (dumpster diving)
Een bekende methode om simpel veel relevante en soms zelfs gevoelige gegevens te bemachtigen is het snuffelen in het afval van een bedrijf. Vergis je niet, zelfs schijnbaar onschuldige informatie als een bellijst, organogram of functieomschrijving kan nuttig zijn in een gerichte aanval. Zie ook: Dumpster diving

That's right, just drop your old computers here... And I'll take care of any data! Council recycling van - Council tip - Cartoonstock

Verspreiding van besmette USB-sticks
Hoe groot of klein je onderneming ook is, de kans is groot dat medewerkers iets kwijtraken of vinden. Dit kan een shawl, handschoen maar ook een USB-stick zijn. In een gerichte social engineering poging kan een aanvaller moedwillig een besmette USB-stick 'kwijtraken' die bij de receptie wordt afgeleverd. Op het moment dat de receptioniste de stick in de computer steekt heeft de aanvaller zijn doel bereikt en bijvoorbeeld toegang tot de (interne) systemen. IBM? Stuxnet?

Impersonatie
Wanneer impersonatie wordt toegepast zal een aanvaller zich voordoen als iemand die je mogelijk vertrouwt om zo jou of je medewerkers om de tuin te leiden. Weet jij waarom de internetmonteur toegang nodig had tot de serverruimte van het bedrijf en hoe kun je er zeker van zijn dat hij zegt wie hij is?

Afleiding
Het afleiden van bijvoorbeeld baliemedewerkers met een goede smoes, verwarrend telefoongesprek of pakketbezorging kan voor een aanvaller een goed middel zijn om zijn/haar doel te bereiken.


Digitale social engineering

Bij digitale social engineering spreken we van aanvallen die plaatsvinden via digitale communicatiemiddelen zoals het internet en telefonie. Ook hier geldt dat er nog vele andere vormen bestaan. Hieronder een aantal veel voorkomende technieken:

Phishing
Phishing is een vorm van internetfraude waarbij criminelen proberen persoonlijke of bedrijfsmatige gegevens te stelen via e-mailberichten. Een veel ingezette en doeltreffende methode. Zie ook: Spear phishing

Telefoonfraude (vishing)
Telefoonfraude komt in vele varianten zoals telefonische oplichting, malafide telefoonscripts en helpdeskfraude.

Sms-phishing (smishing)
Het gebruik van sms-berichten om persoonlijke of bedrijfsgevoelige gegevens te bemachtigen. Deze berichten bevatten veelal links naar internetpagina's of er wordt gevraagd bepaalde software te installeren.

Social media
Social media zijn een zeer geschikt middel om snel en op gemakkelijke wijze zo veel mogelijk (persoonlijke) gegevens van een slachtoffer te achterhalen. Zijn jouw e-mailadres, adresgegevens en connecties wel goed afgeschermd of zijn deze in te zien door iedereen op het internet. Zie ook: OSINT

Adviezen

  1. Bouw aan een positieve security cultuur
    Niet iedereen binnen je onderneming is zich mogelijk even bewust van de risico's en maatregelen op securitygebied. Bouw daarom aan een positieve cultuur waarbij het maken van fouten niet wordt afgerekend en potentiële aanvallen snel gemeld worden bij de juiste personen.
  2. Trainingen, workshops en hertests
    Belangrijk is dat medewerkers binnen je onderneming zich bewust zijn van de risico's en maatregelen op security gebied. Daarom is het aan te raden iedereen binnen de organisatie (niet alleen het management) regelmatig te trainen en de opgedane kennis zowel theoretisch als praktisch te toetsen. Zie ook: Scan test kennis software programma
  3. Wees kritisch op hoe en op welke wijze informatie wordt weggegooid
    Zoals eerder vermeld kan zelfs een klein stukje ogenschijnlijk onbelangrijke informatie voor een aanvaller nuttig zijn. Door vrij simpele maatregelen in te voeren kun je al een groot verschil maken. Overweeg bijvoorbeeld om een papierversnipperaar te gebruiken voor de vernietiging van documenten. Ook kan je faciliteren dat er een centrale plek is voor het weggooien van gevoelige gegevens. Een eenvoudige maatregel is ook het afsluiten van de vuilcontainer door middel van een slot.
  4. Computer vergrendelen
    Wanneer je wegloopt van je computer (ook al is het maar voor even) is het aan te raden je computer te vergrendelen. Mocht er zich een ongewenst persoon binnen jouw bedrijf begeven heeft hij/zij in ieder geval geen toegang tot de bedrijfscomputers en (mogelijk) gevoelige gegevens.
  5. Overweeg de aanschaf van privacy screenprotectors voor laptop/telefoon
    In het geval dat je organisatie veel gevoelige gegevens behandelt en jij of je medewerkers veel onderweg zijn, is het aan te raden gebruik te maken van privacy screen-protectors op laptop en telefoon. Een screenprotector verkleint de kijkhoeken waardoor medewerkers minder vatbaar zijn voor meekijkers in bijvoorbeeld openbare ruimtes.

Bron:
Social engineering | Digital Trust Center

Gerelateerd:

Social engineering, social wat? - Werken bij de Belastingdienst

Social engineering: de Dikke van Dale noemt het een eufemisme en Wikipedia houdt het op computerkrakers die computersystemen aanvallen via de zwakste schakel in de computerbeveiliging, namelijk de mens. Ik huldig de omschrijving dat de social engineer een ander iets wil laten zeggen of doen, zonder dat diegene in de gaten heeft dat hij dat niet mag zeggen of doen. Zo wil de social engineer informatie vergaren om daar munt uit te slaan.

Een voorbeeld? De social engineer komt met een grote doos aanlopen en een ander houdt de deur open. Hoppa, binnen. De eerste hobbel is genomen. Eenmaal binnen gaat die op zoek naar een niet-vergrendelde werkplek of naar een netwerkaansluiting om de eigen laptop op aan te sluiten. Maar vaak hoeft de social engineer niet eens fysiek aanwezig te zijn en kan hij zich bedienen van technische foefjes, zoals phishing.

Lees meer over "Social engineering, social wat?" - Patrick, adviseur informatiebeveiliging bij de Belastingdienst.


Zie ook


Home » Digitale overheid » Actueel » Onderwerpen » Bijdrage » Contact





 
Map
Info