image

Sogeti gesocial engineered tijdens eigen wedstrijd

vrijdag 25 mei 2012, 16:42 door Redactie, 13 reacties

Tijdens de social engineering wedstrijd die IT-aanbieder Sogeti tijdens de Hack in the Box Amsterdam conferentie organiseerde, is het bedrijf zelf gesocial engineered. Social engineering-expert Marcel wist allerlei gegevens te achterhalen, zoals gebruikte browser, browserversie, PDF-lezer en versie, schoonmaakbedrijf en nog veel meer, zo laat hij in een interview met Security.nl weten.

Oorspronkelijk was Marcel niet van plan om mee te doen. Sogeti had de wedstrijd onlangs aangekondigd. Deelnemers kregen voordat de wedstrijd begon een doelwit aangewezen. Marcel hoorde echter pas gisterenavond dat hij Sogeti zelf moest "aanvallen". Zijn voorbereiding van vijf minuten bestond uit het Googlen van het telefoonnummer van het hoofdkantoor. De social engineer koos vervolgens bewust voor de receptie. "Ik ga altijd door de voordeur, dat valt het minste op. Zeker voor het script dat ik in mijn hoofd had."

Student
Marcel had een scenario in zijn hoofd bedacht. Hij zou zich voordoen als een student die een onderzoek over de beleving van kantoorautomatisering uitvoerde. Daarbij kon hij eenvoudig allerlei vragen aan mensen stellen. "Bijvoorbeeld wat voor browsers mensen gebruikten en of ze thuis een betere hadden. Tussen neus en lippen door vroeg ik welke versie ze gebruikten. Of wat ze van PDF vonden en waarmee ze dit soort documenten bekeken." Het is belangrijk om niet continu vragen te stellen, want dat valt op, aldus Marcel.

"De voorbereiding is zeer belangrijk. Zonder dat ga je kapot bij de eerste die je spreekt." Voor zichzelf had Marcel een studenten-identiteit verzonnen, inclusief niet bestaand e-mailadres. "Bij het begin van het gesprek heb ik meteen geklaagd dat er veel op school niet werkt. E-mail komt niet aan en dat ze ook nog eens met de telefooncentrale bezig zijn. Daarmee ondervang je dat ze vraagt of ze je kan terugmailen of terugbellen."

Verder liet hij weten dat er drie typen bedrijven werden onderzocht, commercieel, non-profit en overheid. "Vervolgens vertelde ik ze dat ik in deze categorie ook KPN en Cap had gebeld. Waarmee je peers aangeeft die het ook prima vonden. Een soort verleidingsmethode om te laten zien dat het oké is, aangezien de 'broer' ook al heeft meegewerkt."

Vertrouwen
"Vertrouwen kun je heel eenvoudig kweken." Daarna richtte Marcel zich op een persoon in de organisatie. "Ik vroeg om iemand die heel technisch is, iemand die helemaal niet technisch is en iemand van het management. Vervolgens vroeg ik om de liefste persoon in het bedrijf die niet technisch is, aangezien ik iemand zoek die even met me wil praten."

Volgens Marcel is het belangrijk om het niet te groot te maken. "Kan ik gewoon even wat vragen stellen. Als je het groot maakt ga je stuk." Een iemand van Sogeti vertelde zoveel dat Marcel het gesprek afkapte.

Mitnick
Via LinkedIn wist hij een naam van de P&O-manager te achterhalen. Aan de receptioniste vroeg hij om met haar te worden doorverbonden, wat gewoon gebeurde. Marcel wist zelfs een afspraak met de manager te maken. "Onder het mom van dat als ikklaar was met mijn studie, ik daar wel wilde komen werken. Dan praat je al op een heel ander niveau."

Voor beginnende social engineers adviseert Marcel de boeken van Kevin Mitnick. "Hij laat goed zien wat de risico's zijn en is een autoriteit op zijn gebied."

Echt enthousiast is hij over het boek 'How to win friends and influence people' van Dale Carnegie uit 1935. "Die man heeft een filosofie waardoor mensen alles voor hem deden." En dat is precies wat een social engineer wil. Of Marcel de competitie ook heeft gewonnen is nog onbekend, op het moment van schrijven stond hij wel bovenaan het klassement.

Reacties (13)
25-05-2012, 16:57 door Anoniem
Schitterend!
25-05-2012, 20:47 door Anoniem
hitb was een grote social engineering party. Sommige jongetjes maakten maar wat graag indruk door te pronken met hun kunden en anderen liepen er graag achteraan. En dan was er nog het gros aan wild volk wat duur betaald had om te kunnen netwerken. Ik had medelijden met de serveersters die het luid opscheppen over de hardware en configuraties moesten aanhoren.
26-05-2012, 05:34 door Anoniem
Misschien mis ik iets, maar is dit niet precies wat de bedoeling was? Ik bedoel, als ze een social engineering wedstrijd organiseren met zichzelf als doelwit, dan is het toch niet heel raar dat ze zelf gesocial-engineerd worden tijdens die wedstrijd?
26-05-2012, 10:54 door Anoniem
Je kreeg even random bedrijf als target. Sogeti was er gewoon eentje van.
26-05-2012, 11:10 door RenePieters
Sportief (en slim!) van sogeti om zichzelf ook als doelwit aan te wijzen. Zegt me meer dan de feitelijke resultaten.
28-05-2012, 08:57 door [Account Verwijderd]
[Verwijderd]
28-05-2012, 09:08 door TechCrash
Door rookie: Mensen die in social enginering trappen, zijn dezelfde soort mensen die vroeger hun hond of kat in de magnetron zetten om het beestje droog te maken..
Gezien je nogal domme reactie lijkt het er op dat je je nog nooit in social engineering hebt verdiept. Als je dat wel had gedaan dan had je nu zelf de stupiditeit van je eigen opmerking wel ingezien.
28-05-2012, 13:16 door [Account Verwijderd]
[Verwijderd]
28-05-2012, 13:20 door TechCrash
Door rookie: Het enige dat je nodig hebt om goed te kunnen social engineren is heel veel mensenkennis.

Ik had het niet beter kunnen zeggen.;-)
29-05-2012, 16:07 door Anoniem
Er zijn nog heel veel andere zaken van belang als je goed wilt social engineeren. Onder andere je spreektempo, je intonatie, de houding die je overbrengt, een stuk vertrouwen enz. Het lijkt echt veel makkelijker dan het is. Als je lang genoeg oefent kan het bijna een automatisme worden en zijn al die zaken moeilijker los van elkaar te zien maar iemand die aan het leren is moet dat wel doen en elk gebied los bestuderen.

Binnenkort zal er uiteraard worden nagebabbeld met Sogeti. Misschien komt er nog een leuke lezing uit op een van de volgende events :-)

Marcel
29-05-2012, 16:08 door Anoniem
", zoals gebruikte browser, browserversie, PDF-lezer en versie, schoonmaakbedrijf" -> Dat was precies de info die de deelnemers van de spelleiding boven water moesten halen om de wedstrijd te kunnen winnen. Lijkt me redelijk in scene gezet zo, dit. Wie wordt er hier nu gesocial engineered? ;)
30-05-2012, 07:49 door Anoniem
Versies zijn geen gevaarlijke informatie? Jij weet niet echt veel van security he?
30-11-2012, 11:45 door Anoniem
@rookie
Versienummers zijn een van de eerste/belangrijkste wetenswaardigheden van gebruikte software.
Het waarom is heel simpel: bepaalde versies van bepaalde software bevatten bepaalde bekende zwakheden die misbruikt kunnen worden. Met andere woorden, als je weet welke software(versie) wordt gebruikt weet je ook meteen waar de zwakke plekken zitten en wat je eerste aanvalsdoel gaat worden.

En dat schoonmaakbedrijf? Tja, die wetenschap geeft wellicht een mogelijkheid om fysiek binnen te komen...?!?!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.