cyber security: social engineering

Van wie heb je meer te vrezen:

hacker?   of     social hacker

1 op de 5 bedrijven met meer dan 10 medewerkers heeft vorig jaar last gehad van een hack-aanval. En om daar weerbaarder tegen te zijn, is de mens steeds belangrijker.

Het was cubersecurityweek in Den Haag. De stad wil zich er mee op de kaart zetten en bood een podium  voor meer dan 70 activiteiten, lezingen en mini congressen. Een daarvan was de door NRC-Live georganiseerde cyberinsecurity dag.
Een leerzame dag, waarin uitgewisseld werd over veel facetten van cybercrime en -security.
Een daarvan: de grote rol van social engineering in hacking. Waarin juist de menselijke factor en niet de techniek zorgt voor hacken.

Met name de georganiseerde cybermisdaad wordt snel professioneler en maakt steeds vaker gebruik van social engineering: het beïnvloeden van menselijk gedrag om een hack uit te voeren. Een met gefilmde praktijkvoorbeelden gelardeerde lezing zet je weer even aan tot nadenken over hoe eenvoudig onbevoegden bijvoorbeeld letterlijk toegang tot je bedrijf weten te krijgen. Zonder geweld, zonder bedreiging, maar gewoon door slim gebruik te maken van de situatie.

Hoe?

Ogenschijnlijk onhandig met je armen vol met mappen of een grote doos, joviaal naar de portier roepen: ‘Ach Piet doe jij het poortje even voor me open?’ Gebruik maken van iemand die wel een pasje heeft om mee te lopen, het poortje door, de lift in, een afdeling op. Vriendelijk of joviaal groeten. Doen alsof je iemand kent, een praatje maken met iemand die je ogenschijnlijk lang niet hebt gezien. Er gaat verontrustend vaak geen belletje rinkelen bij medewerkers, of het interesseert ze eenvoudig niet omdat ze met zichzelf en hun werk bezig zijn. Het zal niet zo snel gebeuren in een kleine organisatie, waar iedereen elkaar kent. Maar zodra het bedrijf groter wordt, over meerdere verdiepingen gehuisvest is, over verschillende vestigingen beschikt of samen met andere bedrijven een gebouw deelt, is het schokkend eenvoudig om er onbevoegd naar binnen te lopen en er ook weer uit.

Ik kan me zelf nog het voorbeeld herinneren van jaren geleden, dat er iemand binnen kwam lopen bij de organisatie waar ik toen werkte, de receptioniste meedeelde dat hij een pc kwam ophalen. Hij zo door mocht lopen en vervolgens op een afdeling een laptop onbeheerd op een bureau zag staan, loskoppelde en er, duidelijk zichtbaar, mee onder z’n arm de deur weer uitliep. Vrolijk naar de receptioniste roepend: ‘ik heb hem hoor. Hij komt binnenkort weer terug’. Nooit meer terug gezien.

Zeker als er regelmatig veel mensen in- en uitlopen, veel tijdelijke mensen werken, veel bezoekers zijn of publiek binnen komt, of er veel met wisselende vrijwilligers of flexwerkers gewerkt wordt, is de kans groot dat iemand er tussendoor piept en zomaar binnenloopt.

Daarom is het een goed idee, om als je nu toch bezig bent met privacy en dataveiligheid omdat je aan de AVG moet voldoen, ook eens hieraan te denken: de fysieke toegang tot je gebouw en systemen. Laat iemand eens een social engineering-audit doen. Het kan een eye-opener zijn over je bedrijf of bedrijfscultuur.

please en liken

Een ander voorbeeld van social engineering: door een gezellig praatje te maken, iemand een complimentje maken, meepraten met iemand om vervolgens bijvoorbeeld toch op een slinkse manier wachtwoorden of andere informatie te ontfutselen. We geven zo snel en zo ongemerkt privacy-gevoelige informatie weg. Omdat we het prettig vinden aandacht te krijgen, een complimentje te krijgen en een gesprekje met iemand te voeren die ogenschijnlijk in ons geïnteresseerd is. Dan vertellen we al snel meer over ons zelf en anderen dan eigenlijk goed voor ons is.

Het zijn dagelijkse voorbeelden van hoe hackers gebruik maken van de menselijke factor, waar we eigenlijk vaak alleen aan echte digitale criminaliteit denken. Het is wel de realiteit. Wij mensen zijn de zachte kwetsbare schakel .