Complimenten openen deuren voor social engineer
Het geven van complimenten is een goede tactiek voor social engineers die waardevolle informatie van hun slachtoffers proberen los te peuteren. Dat blijkt uit de resultaten van de Social Engineering Challenge, die voor de tweede keer door Sogeti werd georganiseerd.
Social Engineering is het manipuleren van een slachtoffer om deze vrijwillig een gecontroleerde actie te laten uitvoeren of om bij het slachtoffer (gevoelige) informatie los te krijgen. Deelnemers aan de wedstrijd moesten bij 25 organisaties uit de Top 500 Nederlandse bedrijven gegevens te zien achterhalen, zowel via internet als door de bedrijven te bellen. De bedrijven die deelnamen hadden zichzelf aangemeld.
De informatie die moest worden gezocht bestond uit welk besturingssysteem, browser, e-mailclient en PDF-lezer het bedrijf gebruikt, wat de URL van het intranet is, de naam van het interne draadloze netwerk en de namen van de cateraar, fysieke beveiliger, archiefvernietiger en IT-serviceorganisatie. Informatie die voor verdere aanvallen te gebruiken is.
Complimenten
Uit de resultaten blijkt dat het nog altijd relatief eenvoudig is om gegevens boven water te krijgen. Vleierij is de meest effectieve manier om informatie los te krijgen, aldus Sogeti. "Het geven van complimenten werd goed ontvangen en hielp in een aantal gevallen duidelijk om, waar een gesprek eerst nog wat moeizaam verliep, het gesprek open te breken."
Ook het bewust maken van een vergissing of het laten vallen van stiltes bleek effectief te zijn. Waar een deelnemer aan de Challenge begon met 'jullie cateraar is toch ...’, werd dit door het 'slachtoffer' plichtsgetrouw verbeterd dan wel ingevuld. Vragen werden door medewerkers zoveel mogelijk beantwoord en als men het even niet wist, werden instructies voor het achterhalen van de informatie gewillig opgevolgd.
"In deze gesprekken was het gebrek aan IT-kennis of de beperking in systeemrechten vaak de beperkende factor om meer aan de weet te komen. Hieruit blijkt eens te meer dat mensen het moeilijk vinden om 'nee' te zeggen", aldus het rapport met de resultaten. Daarin staat verder dat securitybewustzijn bij het personeel veruit de belangrijkste manier is om social engineering tegen te gaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.