Tips en tricks over Social Engineering. Lees het rapport.

Sogeti presenteert de uitkomsten van de Social Engineering Challenge die tijdens een hackersconferentie eind mei jl. in Amsterdam voor de tweede keer in Europa is georganiseerd. Vooraf aan deze wereldwijde security conferentie riep de IT-dienstverlener hackers op in competitieverband Top 500 organisaties te ‘Social Engineeren’. Organisaties hadden zich ook spontaan aangemeld. Uit de uitgebreid geanalyseerde resultaten blijkt dat het nog altijd relatief eenvoudig is gegevens boven water te krijgen. Vleierij is de meest effectieve manier om informatie los te krijgen. Het bewustzijn onder receptiemedewerkers is gegroeid in vergelijking met de Social Engineering resultaten van 2012. Daar waar toen de receptionisten het makkelijkste doelwit waren, blijken dat nu de recruiters te zijn. Verder valt op dat de financiële dienstverleners het slechts scoren. De meest verkregen informatie is de type software die in een organisatie wordt gebruikt. Het doel van de Sogeti Social Engineering Challenge is organisaties bewuster maken van de kwetsbaarheden in het menselijk gedrag van hun medewerkers.

Bewust vergissingen maken

In meer dan de helft van de aangesproken organisaties kon informatie worden verkregen over de gebruikte software. Daarbij blijkt dat het geven van complimenten goed ontvangen wordt. Dit helpt om een gesprek open te breken daar waar dat in eerste instantie moeizaam verloopt. Ook het bewust maken van een vergissing of het laten vallen van stiltes blijkt effectief te zijn.

Beveiligen van de rol van de mens

“Door wat vernuft zijn hackers in staat achterhaalde ogenschijnlijk onschuldige informatie in te zetten om bijvoorbeeld de volledige regie van het bedrijfsnetwerk over te nemen. Dit is het tweede achtereenvolgende jaar dat we ‘het beveiligen van de rol van de mens’ op de kaart zetten. Het doet ons genoegen dat organisaties zich voor het eerst spontaan aanmeldden om zich te laten ‘Social Engineeren’. Ook blijkt dat medewerkers van organisaties zich meer bewust zijn van dit fenomeen. Tegelijkertijd moeten we constateren dat Top 500 organisaties in ons land nog altijd vrij eenvoudig informatie weggeven.” Aldus Marinus Kuivenhoven, Senior Security Expert van Sogeti.

Download hiernaast het Social Engineering rapport.

Social Engineering aanpak

De Sogeti Social Engineering Challenge is zo opgezet dat deze binnen de kaders van de wet valt. Het doel is dan ook niet organisaties lastig te vallen of in een kwaad daglicht te zetten maar juist een beeld te krijgen van de effectiviteit van Social Engineering aanvallen. En deze kennis met organisaties te delen. Nadat deelnemers zich hadden geregistreerd, kregen ze een zelf aangemeldde Top 500 organisatie uit ons land toegewezen. Vervolgens werd deelnemers gevraagd bedrijfsinformatie uit publieke bronnen op te halen. Het was niet toegestaan actief contact te zoeken met desbetreffende organisaties. Deze informatie gebruiken hackers om een goede ‘pretext’ te vormen. Dat is een geloofwaardig scenario om een effectieve aanval te doen. De meest gebruikte zoekmethode voor deze ‘pretext’ was Google met 52% gevolgd door Monsterboard en bedrijfswebsites. Social media werden opvallend weinig gebruikt. Wellicht doordat het doelwit een organisatie betreft en daarmee dus een collectief en geen individu.

Social Engineering is toegepast op 25 organisaties uit de Top 500 van Nederland.

Rol van Social Engineering

Social Engineering is het manipuleren van een slachtoffer om deze vrijwillig een gecontroleerde actie te laten uitvoeren of om bij het slachtoffer (gevoelige) informatie los te krijgen.

Dit doet de Social Engineer door een rol aan te nemen en deze binnen een scenario te gebruiken waar de kans het grootst is dat het slachtoffer vertrouwt dat de actie gegrond is. Social Engineering wordt gebruikt bij aanvallen op informatiesystemen omdat de mens in een proces vaak de zwakste schakel is.

Deze manier van veiligheid doorbreken kan via elk menselijk contact, zoals bellen of een fysiek gesprek. Indirect contact met technieken als phishing, scamming of social media worden ook ingezet. Net zoals andere kwetsbaarheden in informatiesystemen kan Social Engineering worden toegepast in combinatie met andere aanvalstechnieken.

Sogeti Security dienstverlening

Sogeti test systemen, applicaties en processen op veiligheid. Daarvoor heeft de IT-dienstverlener een aanpak ontwikkeld om informatiebeveiliging in organisaties te meten, verbeteren en beheersbaar te maken. In plaats van te reageren op incidenten voorziet Sogeti in het pro-actief nemen van passende beveiligingsmaatregelen.

Sogeti is actief bij veel grootzakelijke organisaties in ons land met een zeer uitgebreid aantal informatiebeveiligingsexperts. Deze deskundigen beschikken over de hoogst haalbare security certificaten van ons land.