Sogeti riep hackers op om in competitieverband willekeurige organisaties uit de Nederlandse top 100 te 'social engineeren'. Het doel van de Sogeti Social Engineering Challenge is Nederlandse organisaties bewuster te maken van de kwetsbaarheden ten gevolge van het menselijke gedrag van hun medewerkers. De verkregen informatie bestaat onder andere uit welk type software wordt gebruikt, of it wordt geleverd en zo ja, aan welk bedrijf, welke browsers worden gebruikt, wat de naam is van het draadloos netwerk, welk bedrijf de archiefvernietiging doet en wie de cateraar van de organisatie is.
'Dit lijkt onschuldige informatie maar door wat vernuft zijn hackers in staat achterhaalde informatie in te zetten om bijvoorbeeld de volledige regie van het bedrijfsnetwerk over te nemen', zegt Marinus Kuivenhoven, senior security expert bij Sogeti. 'Organisaties zijn zich bewust van de noodzaak hun informatietechnologie goed te beveiligen. Echter, 'het beveiligen van de rol van de mens' krijgt nu nog onvoldoende aandacht. Social engineering helpt organisaties om inzicht te krijgen in zwakheden van processen en medewerkers bewuster te maken van hun verantwoordelijkheden.'
Om de challenge niet te beïnvloeden, zijn organisaties vooraf niet ingelicht. De wedstrijd is zo opgezet dat deze binnen de kaders van de wet valt. Het doel is dan ook niet organisaties lastig te vallen of in een kwaad daglicht te zetten, maar juist een beeld te krijgen van de effectiviteit van social engineering-aanvallen, en deze kennis te delen. Nadat deelnemers zich hadden geregistreerd, kregen ze een door Sogeti willekeurig geselecteerd Nederlands top 100-bedrijf toegewezen. Vervolgens werd deelnemers gevraagd bedrijfsinformatie uit publieke bronnen op te halen, waarbij het in deze fase niet was toegestaan om actief contact te zoeken met de desbetreffende organisaties.
Deze informatie gebruiken hackers om een goede 'pretext' te vormen. Dat is een geloofwaardig scenario om een effectieve aanval te doen. De meest gebruikte zoekmethode voor deze pretext was Google met 52 procent, gevolgd door Monsterboard en bedrijfswebsites. Social media werden opvallend weinig gebruikt. Wellicht doordat het doelwit een organisatie betreft en daarmee dus een collectief en geen individu is.
Bellers die zich voordoen als student of onderzoeker, blijken zeer succesvol te zijn in het verkrijgen van relevante informatie. Of anders gezegd, medewerkers van top 100-organisaties zijn boven verwachting behulpzaam voor hackers. Een opvallend resultaat is ook dat veel informatie kan worden achterhaald uit media die organisaties zelf publiceren. Bijvoorbeeld via vacatureteksten wordt achterhaald welke software wordt gebruikt.
Social engineering is het manipuleren van een slachtoffer om gevoel en werkelijkheid zo uit elkaar te trekken dat het slachtoffer vrijwillig een actie uitvoert of informatie vrijgeeft. Dit doet de social engineer door een rol aan te nemen en deze binnen een scenario te gebruiken waar de kans het grootst is dat het slachtoffer vertrouwt dat de actie gegrond is. Social engineering wordt gebruikt bij aanvallen op informatiesystemen omdat de mens in een proces vaak de zwakste schakel is.
Deze manier van veiligheid doorbreken kan via elk menselijk contact, zoals bellen of een fysiek gesprek. Indirect contact met technieken zoals phishing, scamming of social media worden ook ingezet. Net zoals andere kwetsbaarheden in informatiesystemen kan social engineering worden toegepast in combinatie met andere aanvalstechnieken.
Terug
