Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 20 reacties
Bron: Securityfocus

Securityfocus heeft een uitgebreid artikel geproduceerd over het fenomeen 'social engineering', waarbij hackers geen gebruik maken van bugs of exploits, maar rekenen op de goedgelovigheid en onwetendheid van gebruikers van het systeem. Bedrijven besteden steeds vaker aandacht aan een uitgebreid veiligheidsbeleid, maar verliezen daarbij uit het oog dat de zwakste schakel vaak de eindgebruiker is. Bovendien verloopt social engineering niet alleen via het internet, maar is elk communicatiemedium hier geschikt voor. Het is bovendien steeds lucratiever geworden om zich als iemand anders voor te doen. De groei van elektronische handel is daar deels verantwoordelijk voor. Het gebruik van SSL-technologie heeft bovendien geen nut als de gebruiker zijn wachtwoord om in te loggen bij een e-shop op verzoek weggeeft.

PhishingEen eerste stap bij het 'sociaal hacken' is het onderzoeken van een potentieel slachtoffer. Net als een overvaller die de plattegronden van een bank nauwkeurig bestudeert alvorens deze te beroven, zal een hacker proberen zoveel mogelijk over zijn doelwit te weten te komen. In veel gevallen volstaat het om de geboortedatum of de naam van de partner van het slachtoffer te achterhalen om zijn wachtwoord te weten te komen. Ook wanneer men het vertrouwen van zijn slachtoffer wil winnen, kan de ontfutselde informatie echter zijn nut bewijzen.

Een bekend voorbeeld van social engineering op het internet is het zogenaamde phishing. Hiervoor is amper technische kennis nodig, maar is het vooral van belang het vertrouwen van het slachtoffer te winnen en een betrouwbare indruk te maken. Grote en vertrouwde sites als eBay en Paypal staan dan ook dikwijls - zij het ongewild - model voor oplichters die een kopie van deze sites nabouwen om zo consumenten te misleiden. Vaak gebeurt dit door middel van een e-mail aan de gebruikers, waarin verzocht wordt de persoonlijke gegevens, waaronder ook het wachtwoord, te bevestigen op de nagebouwde site. Er wordt dan ook aangeraden dergelijke e-mails steeds te verwijderen zonder ze verder een blik waardig te keuren. Tot slot beschrijft men een casestudy van een fictief bedrijf, waarin het belang van een goed beveilingsbeleid duidelijk gemaakt wordt.

Social Engineering
Moderatie-faq Wijzig weergave

Reacties (20)

Een mooi voorbeeld van social hacking:
- eerst iemand bang maken dat je gaat inbreken, en die persoon wil de beveiliging gaan bellen.
- daarna een vriend laten direct opbellen als "iemand van de beveiliging", en die persoon rustig vragen welk wachtwoord hij wilde kraken.

Een beetje kort door de bocht, maar zo'n situatie stond een tijdje terug op slashdot, over een interview met Kevin Mitnick. Erg coole manier om uit de meest uitzichtloze situatie voordeel te halen.
De situatie van Kevin was als volgt:

Kevin wedt om een etentje dat hij het Sprint-nummer (calling card) van een vriend kan achterhalen.

Hij doet zich eerst voor als zijn vriend die zogezegd zijn kaart kwijt is en zijn nummer wil opvragen. Vervolgens worden er wat veiligheidsvragen gesteld die Kevin niet goed kan beantwoorden. Hij krijgt daarbij de melding dat zijn oproep gelogd is en dat de IT-beveiliging op de hoogte gebracht wordt.

Vervolgens laat Kevin een vriendje naar dezelfde miep bellen die zich voordoet als een IT-beveiliger. Hij vraagt doodleuk 'over welk Sprint-nummer gaat dit incident' en bingo.
Later is er ook een film van gemaakt, die hackers 2 werd. De film heeft niets te maken met het eerste deel, maar gaat over Kevin Mitnick en social enginering.

Best grappig om te zien hoe stom mensen zijn.
Die gast heeft daar een boek over geschreven..
Heb het onlangs gelezen, is echt sjiek als je ziet hoe gemakkelijk je mensen kan manipuleren..
Waar kan ik dat t-shirt kopen? :9
Ik vroeg me serieus EXACT hetzelfde af :)
Dit is een van de mooiste vorm van ´hacken´. Je ´hackt´ hier iemands naieviteit in samenhang met zijn/haar emoties. Het lukt natuurlijk niet bij iedereen, maar ik geloof dat het bij 95 van de 100 mensen gewoon kan werken. Vooral als je een klein vooronderzoekje doet :).

Er zijn ook genoeg mensen die de deur opendoen voor de CV-monteur, zonder te vragen om legitimatie. En bij dat soort mensen, kan je met social engineering volgens mij heel gemakkelijk heel ver komen.
volgens mij is dat al zo oud als de mensheid. Vroeger noemde je dat oplichting. Nu is alleen het medium anders, maar het blijft hetzelfde als wat een waarzegster doet.
Ik denk dat je daar gelijk in hebt. Alleen is het met het IT tijdperk een stuk eenvoudiger geworden om jezelf voor te doen als iemand anders. Neem als voorbeeld maar het zeer verouderde SMTP |:( Daarin kan zelfs een normale huis-tuin-en-keuken-gebruiker zich voordoen als Hare Majesteit de Koningin met een daaraan gekoppeld e-mailadres.
Ik ken zo'n dienst!
Weet niet meer de site (wellicht iemand anders wel), maar het is zo'n tweedehandsverkoopsite.
Daar kun je op MSN blockchecker klikken. (veelal krijg je eerst een emailtje in je mailbox dat iemand heeft gecheckt of je hem of haar blockeert)
Dan moet je naar die site toegaan, moet je je gebruikers en paswoord van hotmail invoeren en dan pas kun je zien wie je "gecheckt" heeft (oja, ook nog 1,30 euro betalen :S)

Hoezo goedgelovigheid... :+

edit:
site gevonden:
http://www.inkoopenverkoop.nl
Was dit niet ook gebeurd toen we over gingen stappen naar de Euro?

Veelal oude mensen werden beetgenomen door net geklede mannen die beweerde de oude Pinpas op te komen halen om deze Euro ready te maken als het ware. Wel moest men natuurlijk de pincode ook geven anders kon er niets gedaan worden.

Deze mensen werden echt duizenden euro's rijker..

Ik werd laatst zelf ook gesocial engineerd :D
Kreeg een brief dat ik de Lotto won uit 'spanje'.
Ik had bij El Gordo een miljoenen prijs gewonnen, wat natuurlijk niet kan omdat ik nooit meegedaan hebt.
Wel moest ik eerst wat transactie kosten van te voren betalen voordat het bedrag overgeschreven werd. Het is maar dat ik de site van El Gordo bekeken hebt en de brief HEEL erg goedkoop uitzag..
Anders was ik er waarschijnlijk ook nog erin getrapt ook..
Dus lang leve human stupidity.
Zo wordt er in de V.S. momenteel onderzoek gedaan of bedrijven die tegen betaling Caller ID (zeg maar nummer herkenning) spoofen, een wet overtreden. Je geeft op met wie je wilt bellen en met welke Caller ID (afzender).
Dit erg handig voor social engineering (en voor zog. wire transfers, waar Call ID gecheckt wordt).
Gelukkig ben ik paranoïde en zie overal dingen achter XD
hmm, zover ik weet is social engineering niet perze gerelateerd aan computer technische zut... heet niet voor niets "social" engineering.

Tis meer dat je erg charimatisch bent en geloofwaardig... en je mensen dingen kan laten doen zonder dat ze eigenlijk doorhebben dat ze 't niet willen.

aka Jedi Mind Trick

^_^
Kevin Mitnick is inderdaad wel een aardige legende als het gaat om het 'social engineeren'. De beste man heeft daar dan ook erg creatief in gepioneerd. Zijn boeken zijn overigens aanraders voor iedereen die met de softe kant van beveiligen te maken krijgt.

Ik herinner me nog de zogenaamde hotmail-crack sites uit eind jaren '90. Allerlei sites sprongen toen de lucht in waar je je e-mailadres moest invullen, je wachtwoord en het e-mailadres van de persoon wiens Hotmail je gehackt wilde hebben en dan zou men wel contact met je opnemen. Geweldig slechte scam natuurlijk, maar het heeft wel gewerkt, zeker bij sites die het wat minder obvious aanpakten.

Social engineering is en blijft een van de moeilijkst grijpbare onderdelen van security. Technische maatregelen zijn nutteloos als deze worden omzeild. 'Dan maak je ze toch onomzeilbaar ?!'. Ja, dat kan natuurlijk wel, als je daar de draagkracht voor krijgt bij management (wat erg moeilijk kan zijn). De insteek 'we hebben een security policy en daar houden mensen zich maar aan' wordt eerder gehanteerd, met alle risico's vandien. In feite heb je voor geintjes als dit alleen zelfvertrouwen, creativiteit en een neus voor zwakke plekken nodig. Een stukje inside info is uiteraard ook nooit weg. ;)
Ik ben ook al zo ongeveer vanaf 1996 aan het wachten tot de overheid haar taak opneemt en de bevolking voorlicht over de gevaren die er zoal zijn m.b.t. het internet.

Miljoenen worden er gestoken in het voorlichten van verkeersdeelnemers over de gevaren van het verkeer. Maar over de gevaren van het internet heb je heel sporadisch een Postbus 51 reclametje.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True