Hyves goudmijn voor social engineers
Sociale netwerksites als Hyves en LinkedIn bieden social engineers tal van mogelijkheden om vertrouwelijke bedrijfsinformatie te achterhalen, aldus Sharon Conheady. Conheady is directeur van First Defence Information Security en geeft op donderdag 4 november tijdens de Infosecurity beurs een lezing over 'Social Engineering and Social Media'. Security.nl sprak met de Britse social engineer, die regelmatig zelf de telefoon pakt en naar eigen zeggen nog nooit een opdracht heeft gefaald.
"Het is onvoorstelbaar hoeveel informatie mensen op sociale netwerksites zetten en daar kunnen social engineers misbruik van maken", stelt Conheady. Daarbij lopen niet alleen bedrijven risico, ook voor thuisgebruikers is het oppassen. Ze doelt dan op websites als Pleaserobme.com, die aan de hand van Twitter-berichten bijhouden wanneer iemand op vakantie is. Informatie die het wel heel eenvoudig voor inbrekers maakt om langs te komen.
De waarschuwingen voor social engineering gaan terug voordat het internet populair was. Het lijkt er echter op dat de meeste bedrijven en mensen zich meer zorgen over standaard webaanvallen en malware maken, dan listige social engineers die via de telefoon proberen binnen te dringen. Volgens Conheady zijn er wel degelijk voorbeelden van succesvolle social engineering-aanvallen, zoals met Google het geval was. De aanvallers hadden het voorzien op vrienden van Google-werknemers. De overgenomen Facebook accounts werden vervolgens gebruikt om de Google-werknemers naar een kwaadaardige website met IE6 exploit te lokken. Ook veel gerichte PDF-aanvallen zijn op social engineering gebaseerd en doen zich voor als e-mail van een kennis, bedrijfscontact of overheidsinstantie.
Pizza
De Britse kijkt regelmatig op sociale netwerksites wat mensen allemaal achterlaten, zoals geboortedatum, waar ze werken en sporten en allerlei persoonlijke voorkeuren. Conheady voerde één keer een social engineering-aanval uit bij iemand die zijn geboortedatum en favoriete pizza had vermeld. Op zijn verjaardag stuurde de Britse hem een e-mail met als bijlage zogenaamd een kortingsbon voor een pizza.
Kevin Mitnick maakte social engineering via de telefoon wereldberoemd. Conheady verwacht dat aanvallers de telefoon nog steeds zullen gebruiken, maar sites als Facebook en LinkedIn zeker zullen meenemen. "Je hebt zo'n grote groep om aan te vallen als je sociale netwerksites gebruikt."
Zowel voor bedrijven als eindgebruikers is het lastig om social engineering af te vangen. Van werknemers wordt verwacht dat ze meegestuurde bijlagen openen, zonder dat het verplicht is om eerst de headers van het bericht te controleren. Toch kan personeel trainingen volgen of zelfs via een live social engineering-aanval getest worden. Voor bedrijven die zich zorgen over social engineering maken adviseert Conheady om eens met alle werknemers bij elkaar te gaan zitten en een brainstorm te houden over hoe zij het bedrijf zouden aanvallen. "Zij kennen je organisatie van binnenuit en bedenken vaak zeer interessante manieren om je informatie te compromitteren."
Maar wie informeert de achteloze thuisgebruikers voor de problemen die ze door hun eigen gedrag veroorzaken? "Het informeren van thuisgebruikers is heel lastig en ik weet niet wie daarvoor verantwoordelijk is. Mensen moeten beseffen dat alles wat ze online plaatsen tegen hen te gebruiken is", aldus Conheady. Ze zou graag zien dat de overheid iets aan voorlichting gaat doen. "Als je het tot de ISP beperkt, heb je nog altijd social engineering over de telefoon. Wat gaat een provider daar aan doen?"
USB-sticks
Ze merkt op dat niet alle aanvallen via e-mail lopen. "Je kunt ook USB-sticks op de stoep voor het bedrijf achterlaten. "Neem bijvoorbeeld een USB-stick met een sticker waarop staat dat het de salarisgegevens van alle werknemers bevat. De meeste mensen vinden dat moeilijk om te weerstaan." Een aanval die Conheady zelf ook heeft toegepast. "Je laat wat USB-sticks bij de kopieermachine of op het toilet achter en je staat versteld over het aantal dat wordt ingeplugd. In andere gevallen deed ze zich voor als een schoonmaakster en kon zo bij bedrijven binnen wandelen.
Tijdens de Defcon conferentie werd bekend dat vrouwen lastig te social engineeren zijn, terwijl ze aan de andere kant als social engineer eenvoudiger informatie bij mannen kunnen lospeuteren. Een beeld dat Conheady niet herkent. "Het is van pretext en scenario afhankelijk dat je voor je aanval gebruikt. Als telecom engineer zou ik er toch behoorlijk verdacht uitzien." Toch is de Britse geen tegenstander van social media, omdat het zowel voor bedrijven als thuisgebruikers voordelen biedt. "Je kunt niet meer zeggen dat men geen social media moet gebruiken. Mensen moeten daarom beseffen en bewust zijn van wat ze online plaatsen en welke gevolgen dit kan hebben."
Wil je meer informatie over het programma of je gratis aanmelden voor de beurs, ga dan naar Infosecurity.nl.
Nou dat vind ik dan wel weer erg verbazingwekkend.
- http://www.security.nl/artikel/17830/1/Besmette_Windows_update_verspreid_via_MySpace.html
- http://www.security.nl/artikel/29889/1/Afgeschermde_Facebook_profielen_lekken_priv%C3%A9gegevens.html
- http://www.security.nl/artikel/30327/1/Facebook_schendt_privacy_gebruikers.html
- http://www.security.nl/artikel/19082/1/%22Hyves-bezoekend_kantoorpersoneel_risico_voor_baas%22.html
enz. enz.
Ook al waarschuw je eindeloos, mensen blijven de fout ingaan. Nieuwsgierigheid zit in de aard van het beestje ;)
- http://www.security.nl/artikel/17830/1/Besmette_Windows_update_verspreid_via_MySpace.html
- http://www.security.nl/artikel/29889/1/Afgeschermde_Facebook_profielen_lekken_priv%C3%A9gegevens.html
- http://www.security.nl/artikel/30327/1/Facebook_schendt_privacy_gebruikers.html
- http://www.security.nl/artikel/19082/1/%22Hyves-bezoekend_kantoorpersoneel_risico_voor_baas%22.html
enz. enz.
Ook al waarschuw je eindeloos, mensen blijven de fout ingaan. Nieuwsgierigheid zit in de aard van het beestje ;)
Zo lang er domme mensen zijn die er gebruik van maken blijf je dit soort berichtgeving krijgen. Maar zoals in zoveel in de Security moet er flink wat fout gaan voordat mensen maatregelen treffen. Het is een standaard gegeven dat ik bij veel mensen en bedrijven tegen kom.
Eerst is beveiliging niks voor hun, ze zijn immers nog nooit slachtoffer geworden. Het beveiligingsniveau op dat moment is schrikbarend laag, vervolgens vind er een incident plaats waardoor in eens de persoon of organisatie overbeveiligd moet worden. Vervolgens zakt het bewust zijn weg naar het oude niveau naarmate er geen incidenten plaats vinden tot dat het hele verhaal zich weer herhaald .....
Dit zou je dan ook moeten vereenvoudigen. Het is heel simpel om email programma's zo aan te passen dat informatie uit de header gebruikt wordt om aan de gebruiker te laten zien uit welk land, en van welke organisatie een email afkomstig is.
Indien je email client aangeeft dat een email, welke ogenschijnlijk afkomstig lijkt te zijn van een collega in Amsterdam, in werkelijkheid verstuurd is door iemand in Rusland of China, dan zou er toch een belletje moeten gaan rinkelen. Of indien een email welke door een collega verstuurd wordt niet door de mailserver van je werk, maar door de mailserver van een heel andere provider is verwerkt.
Deze suggestie ligt bij de product development afdeling van Microsoft, dus ik hoop dat ze dit idee ook daadwerkelijk gaan implementeren om de effectiviteit van (spear-) phishing tegen te gaan. Biedt gebruikers de juiste informatie op een toegankelijke manier, zodat zij beter geinformeerd zijn. Geen enkele gebruiker zal bij iedere email de headers gaan bekijken, ongeacht of je zo'n controle wil verplichten in een beveiligingspolicy.
De grootste en best georganiserde vorm van digitale vrijtijd vernietiging die je je maar kunt bedenken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.