Het hoeft helemaal geen hacker te zijn

XR-MagazineIn 2010 schreef ik een artikel voor het online tijdschrift XR-Magazine (Platform en online vakblad over enterprise architectuur). Over social engingeering, een interessant onderwerp wat uit mijn reguliere (dayjob) komt. Toch wil ik het hier wel plaatsen. Misschien heeft iemand er nog wat aan.

 

Social Engineering - Het hoeft helemaal geen hacker te zijn!

Bij beveiliging, dus ook bij informatiebeveiliging, wordt veel aandacht besteed aan het bedenken, ontwikkelen en implementeren van de juiste beveiligingsmaatregelen en oplossingen. Veelal gaat de aandacht uit naar technische oplossingen en het voorkomen dat deze ‘gekraakt’ worden. Maar wat als een kwaadwillende, zelfs zonder ook maar één beveiligingsmaatregel te trotseren of systeem te kraken, toch uw bedrijfskritische informatie weet te bemachtigen? Dit fenomeen heet Social Engineering, waarin misschien wel de zwakste schakel van beveiliging centraal staat: de mens.

Iemand belt naar een afdeling binnen uw bedrijf. Deze persoon zegt dat hij van een bekend bedrijf X is en dat hij de audit aan het voorbereiden is, welke volgende maand in uw bedrijf gehouden wordt via zijn bedrijf. Het zou alleen maar gaan om wat ondersteunende dingetjes. De grote gesprekken vinden uiteraard elders en met andere mensen plaats. De medewerker die dit telefoontje aanneemt, geeft een aantal namen en telefoonnummers van collega’s door die deze aanvullende vragen en dingetjes zouden kunnen afhandelen, mocht dat dan nodig zijn. Een paar weken later belt hij weer, nu naar één van de medewerkers die eerder zijn opgegeven. Hij gebruikt hetzelfde verhaal, maar nu stelt hij een paar concrete vragen. Deze medewerker vindt het wat vreemd, dus verifieert hij bij degene die zijn naam zou hebben doorgegeven of dit wel klopt. “Jawel, dat klopt, daar is een paar weken geleden ook al over gebeld.” De medewerker beantwoordt daarop enkele vragen en mailt een paar documenten ter ondersteuning naar deze persoon die zegt de audit te gaan doen. Deze persoon werkt echter helemaal niet voor dat bekende bedrijf X en er stond ook geen audit gepland. Of misschien zelfs wel en haakte deze persoon daar heel slim op in. Hoe zou hij dat soort informatie dan verkregen hebben? Mogelijk heeft hij deze informatie door middel van social engineering verkregen en werkt hij voor één van uw concurrenten, de pers of wellicht zelfs voor de onderwereld.

Lees het hele artikel op XR-Magazine...

Share