image

Social engineering grootste dreiging helpdesks

vrijdag 19 juli 2013, 06:34 door Redactie, 4 reacties

Hackers die zich voordoen als werknemers en de helpdesk bellen om bijvoorbeeld een nieuw wachtwoord aan te vragen zijn de grootste dreiging voor helpdesks. Dat blijkt uit een onderzoek van het SANS Institute onder meer dan 900 IT-professionals. Helpdesk houden zich voornamelijk bezig met het verhelpen van veel voorkomende IT-problemen, zoals het resetten van wachtwoorden.

Vaak worden de prestaties van helpdeskmedewerkers beoordeeld aan de hand van hoe snel ze bellers kunnen helpen en het probleem oplossen. In veel gevallen speelt security geen rol in het proces, waardoor helpdesks een onbedoelde ingang voor hackers en kwaadwillende insiders kunnen zijn.

Social engineering
Volgens de meeste respondenten (69%) is social engineering de grootste dreiging voor helpdesk-security, gevolgd door het prijsgeven van persoonlijke informatie (45%) en een inadequate identiteitscontrole van bellers (42%).

Toch gebruiken de meeste organisaties basale persoonlijke informatie, zoals naam, locatie en ID-nummer om de identiteit van de beller te verifiëren. Informatie die eenvoudig voor een oplichter te verkrijgen is. Daarnaast omzeilen ook veel helpdeskmedewerkers de beveiliging om de beller beter van dienst te zijn.

Reacties (4)
19-07-2013, 09:35 door [Account Verwijderd]
Een help desk medewerker is klant gericht en hij/zij moet dat ook zijn.
Het is inderdaad zelfs zo dat ze daar op beoordeeld worden als flexwerker!
Verder moeten ze zo goedkoop mogelijk zijn.

Veiligheids-bewust zijn mag dan op de werkvloer/helpdesk aanwezig zijn.
maar als ze het WW MOETEN geven in een telefoon gesprek dan zullen ze dat ook MOETEN doen.

Als de helpdesk het WW niet kan inzien en alleen de top supervisor
een NIEUW WW per slakkenpost naar het geregistreerde huisadres kan sturen.
heb je een klein beetje meer veiligheid.

Maar dergelijke beslissingen worden op manager niveau genomen.
Ebbenhouten bureau en een dikke ebbenhouten plaat voor zijn .....

Het meest lachwekkende dat ik ken is een dikke directeur (8 miljoen per jaar, vliegtuig en 8 mil bonus)
Hij slingert zijn digitale handtekening rond in doc files.

Zo als ik het tegenwoordig zie:
Management kijkt omlaag en ziet alleen maar stront.
Personeel kijkt omhoog en ziet alleen maar blote konten.

Ik heb het opgegeven PUNT
19-07-2013, 10:11 door Anoniem
@amphihans:
Ik ben de draad van je reactie een beetje kwijt, maar een 10 voor de fantastische beeldspraak die je gebruikt.... roflol
19-07-2013, 19:50 door SecOff
Door amphihans:
Het meest lachwekkende dat ik ken is een dikke directeur (8 miljoen per jaar, vliegtuig en 8 mil bonus)
Hij slingert zijn digitale handtekening rond in doc files.
Dat lijkt mij toch een goede plek voor een digitale handtekening :-)

Heeft er verder iemand tips voor het verifieren van de identiteit van gebruikers (als ze niet in persoon langs kunnen komen) ?
Vaak zijn de antwoorden op die "geheime" vragen of veel te makkelijk te achterhalen of zijn ze ze ook weer vergeten....
20-07-2013, 11:52 door [Account Verwijderd]
Door SecOff:
Door amphihans:
Het meest lachwekkende dat ik ken is een dikke directeur (8 miljoen per jaar, vliegtuig en 8 mil bonus)
Hij slingert zijn digitale handtekening rond in doc files.
Dat lijkt mij toch een goede plek voor een digitale handtekening :-)

Nee!! dat is een slechte plek, je kunt die digitale handtekening zonder enige moeite eruit halen.
Dan heb je dus die handtekening vrij tot je beschikking!!
Zelfs een PDF is een betere systeem, dat kost nog een beetje moeite.

Heeft er verder iemand tips voor het verifiëren van de identiteit van gebruikers (als ze niet in persoon langs kunnen komen) ?
Vaak zijn de antwoorden op die "geheime" vragen of veel te makkelijk te achterhalen of zijn ze ze ook weer vergeten....
[/quote]
Zelfs al komen ze "in persoon" langs, de balie medewerker is niet getraind in het herkennen van valse Intentietijd bewijzen.
Daar komt bij, de pasfoto's zijn tegenwoordig kleiner en mogelijk 5 tot zelfs 10 jaar oud.

Alleen op kleine schaal kun je veilig (nieuwe) PW's geven aan mensen die je kent.
Maar met IT hulp op afstand, steeds een andere flexwerker, gaat dat gewoon niet op een veilige manier.

Mijn punt was eigenlijk:
Het is geen helpdesk/balie probleem maar een management probleem.

Het rond strooien met handtekeningen en passwords dient door het management onmogelijk gemaakt te worden.
Het VERPLICHT delen van PWs met collega's, van e-mail, bestellingen en zelfs van de ziekte meldingen is:
om het netjes te zeggen "STOMPZINNIG".

Waterdicht kun je het niet krijgen, er is jaarlijks altijd wel iemand die de documentenkluis sleutel mee naar huis neemt.
Maar een 35 cm lange sleutelhanger zou dat wat moeilijker KUNNEN maken.

Op de werkvloer is er wel degelijk veiligheidsbewustzijn, maar de implementatie is afhankelijk van het management.
En die werkt thuis op de kindercomputer (laptop ff vergeten) (kinderen + illegale spelletjes = virus op het bedrijfssysteem)

Een arbeider maakt recht wat krom is. Dan is het ongeveer recht.
Een manager praat recht wat krom is. Dan is het nog steeds krom.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.