Social engineering onder de loep genomen

Securityfocus heeft een uitgebreid artikel geproduceerd over het fenomeen 'social engineering', waarbij hackers geen gebruik maken van bugs of exploits, maar rekenen op de goedgelovigheid en onwetendheid van gebruikers van het systeem. Bedrijven besteden steeds vaker aandacht aan een uitgebreid veiligheidsbeleid, maar verliezen daarbij uit het oog dat de zwakste schakel vaak de eindgebruiker is. Bovendien verloopt social engineering niet alleen via het internet, maar is elk communicatiemedium hier geschikt voor. Het is bovendien steeds lucratiever geworden om zich als iemand anders voor te doen. De groei van elektronische handel is daar deels verantwoordelijk voor. Het gebruik van SSL-technologie heeft bovendien geen nut als de gebruiker zijn wachtwoord om in te loggen bij een e-shop op verzoek weggeeft.

PhishingEen eerste stap bij het 'sociaal hacken' is het onderzoeken van een potentieel slachtoffer. Net als een overvaller die de plattegronden van een bank nauwkeurig bestudeert alvorens deze te beroven, zal een hacker proberen zoveel mogelijk over zijn doelwit te weten te komen. In veel gevallen volstaat het om de geboortedatum of de naam van de partner van het slachtoffer te achterhalen om zijn wachtwoord te weten te komen. Ook wanneer men het vertrouwen van zijn slachtoffer wil winnen, kan de ontfutselde informatie echter zijn nut bewijzen.

Een bekend voorbeeld van social engineering op het internet is het zogenaamde phishing. Hiervoor is amper technische kennis nodig, maar is het vooral van belang het vertrouwen van het slachtoffer te winnen en een betrouwbare indruk te maken. Grote en vertrouwde sites als eBay en Paypal staan dan ook dikwijls - zij het ongewild - model voor oplichters die een kopie van deze sites nabouwen om zo consumenten te misleiden. Vaak gebeurt dit door middel van een e-mail aan de gebruikers, waarin verzocht wordt de persoonlijke gegevens, waaronder ook het wachtwoord, te bevestigen op de nagebouwde site. Er wordt dan ook aangeraden dergelijke e-mails steeds te verwijderen zonder ze verder een blik waardig te keuren. Tot slot beschrijft men een casestudy van een fictief bedrijf, waarin het belang van een goed beveilingsbeleid duidelijk gemaakt wordt.

Social Engineering

Door Yoeri Lauwers

Eindredacteur

Feedback • 16-03-2006 13:57 20

16-03-2006 • 13:57

20

Bron: Securityfocus

Lees meer

Strenge eisen voor nieuwe ssl-certificaten
Strenge eisen voor nieuwe ssl-certificaten Nieuws van 27 december 2006
Vista krijgt standaard voor elektronische betalingen
Vista krijgt standaard voor elektronische betalingen Nieuws van 14 juli 2006
Onderzoek: ICT moet menselijker gezicht krijgen
Onderzoek: ICT moet menselijker gezicht krijgen Nieuws van 5 juli 2006
Pentagon laat oog vallen op social networking websites
Pentagon laat oog vallen op social networking websites Nieuws van 11 juni 2006
Rabobank waarschuwt voor phishingmailtjes
Rabobank waarschuwt voor phishingmailtjes Nieuws van 17 april 2006
PayPal introduceert SMS-betalingen
PayPal introduceert SMS-betalingen Nieuws van 24 maart 2006
Mac mini-server binnen dertig minuten gehackt
Mac mini-server binnen dertig minuten gehackt Nieuws van 6 maart 2006
Stemmachines VS te hacken met valse memorycard
Stemmachines VS te hacken met valse memorycard Nieuws van 21 december 2005
Hacker High School in Barcelona leidt tieners op
Hacker High School in Barcelona leidt tieners op Nieuws van 11 april 2005
Manipulatie van de gebruiker gevaarlijker dan hacken
Manipulatie van de gebruiker gevaarlijker dan hacken Nieuws van 2 november 2004
Commotie om hack-handboek door beveiligingsexperts
Commotie om hack-handboek door beveiligingsexperts Nieuws van 16 maart 2004
Over wachtwoorden en achterblijvers
Over wachtwoorden en achterblijvers Nieuws van 29 december 2003
Meer producten en artikelen
Wetenschap

Reacties (20)

-Moderatie-faq
20
20
9
1
0
9
Wijzig sortering
YaPP 16 maart 2006 14:46
Een mooi voorbeeld van social hacking:
- eerst iemand bang maken dat je gaat inbreken, en die persoon wil de beveiliging gaan bellen.
- daarna een vriend laten direct opbellen als "iemand van de beveiliging", en die persoon rustig vragen welk wachtwoord hij wilde kraken.

Een beetje kort door de bocht, maar zo'n situatie stond een tijdje terug op slashdot, over een interview met Kevin Mitnick. Erg coole manier om uit de meest uitzichtloze situatie voordeel te halen.
intGod @YaPP16 maart 2006 15:07
De situatie van Kevin was als volgt:

Kevin wedt om een etentje dat hij het Sprint-nummer (calling card) van een vriend kan achterhalen.

Hij doet zich eerst voor als zijn vriend die zogezegd zijn kaart kwijt is en zijn nummer wil opvragen. Vervolgens worden er wat veiligheidsvragen gesteld die Kevin niet goed kan beantwoorden. Hij krijgt daarbij de melding dat zijn oproep gelogd is en dat de IT-beveiliging op de hoogte gebracht wordt.

Vervolgens laat Kevin een vriendje naar dezelfde miep bellen die zich voordoet als een IT-beveiliger. Hij vraagt doodleuk 'over welk Sprint-nummer gaat dit incident' en bingo.
Cardinal @YaPP16 maart 2006 15:05
Later is er ook een film van gemaakt, die hackers 2 werd. De film heeft niets te maken met het eerste deel, maar gaat over Kevin Mitnick en social enginering.

Best grappig om te zien hoe stom mensen zijn.
Adrianb @YaPP16 maart 2006 16:12
Die gast heeft daar een boek over geschreven..
Heb het onlangs gelezen, is echt sjiek als je ziet hoe gemakkelijk je mensen kan manipuleren..
Anoniem: 18650 16 maart 2006 14:29
Waar kan ik dat t-shirt kopen? :9
HAL 9000 @Anoniem: 1865016 maart 2006 14:32
http://www.jinx.com/scrip...sp?affid=-1&productID=122

en andere...
JeanJeremy @Anoniem: 1865016 maart 2006 14:34
Ik vroeg me serieus EXACT hetzelfde af :)
Moartn82 16 maart 2006 14:23
Ik ken zo'n dienst!
Weet niet meer de site (wellicht iemand anders wel), maar het is zo'n tweedehandsverkoopsite.
Daar kun je op MSN blockchecker klikken. (veelal krijg je eerst een emailtje in je mailbox dat iemand heeft gecheckt of je hem of haar blockeert)
Dan moet je naar die site toegaan, moet je je gebruikers en paswoord van hotmail invoeren en dan pas kun je zien wie je "gecheckt" heeft (oja, ook nog 1,30 euro betalen :S)

Hoezo goedgelovigheid... :+

edit:
site gevonden:
http://www.inkoopenverkoop.nl
TRON 16 maart 2006 14:31
Dit is een van de mooiste vorm van ´hacken´. Je ´hackt´ hier iemands naieviteit in samenhang met zijn/haar emoties. Het lukt natuurlijk niet bij iedereen, maar ik geloof dat het bij 95 van de 100 mensen gewoon kan werken. Vooral als je een klein vooronderzoekje doet :).

Er zijn ook genoeg mensen die de deur opendoen voor de CV-monteur, zonder te vragen om legitimatie. En bij dat soort mensen, kan je met social engineering volgens mij heel gemakkelijk heel ver komen.
Anoniem: 13443 @TRON16 maart 2006 17:19
volgens mij is dat al zo oud als de mensheid. Vroeger noemde je dat oplichting. Nu is alleen het medium anders, maar het blijft hetzelfde als wat een waarzegster doet.
TRON @Anoniem: 1344317 maart 2006 02:55
Ik denk dat je daar gelijk in hebt. Alleen is het met het IT tijdperk een stuk eenvoudiger geworden om jezelf voor te doen als iemand anders. Neem als voorbeeld maar het zeer verouderde SMTP |:( Daarin kan zelfs een normale huis-tuin-en-keuken-gebruiker zich voordoen als Hare Majesteit de Koningin met een daaraan gekoppeld e-mailadres.
Ge Someone 16 maart 2006 17:29
Zo wordt er in de V.S. momenteel onderzoek gedaan of bedrijven die tegen betaling Caller ID (zeg maar nummer herkenning) spoofen, een wet overtreden. Je geeft op met wie je wilt bellen en met welke Caller ID (afzender).
Dit erg handig voor social engineering (en voor zog. wire transfers, waar Call ID gecheckt wordt).
RetepV 16 maart 2006 14:27
Ik ben ook al zo ongeveer vanaf 1996 aan het wachten tot de overheid haar taak opneemt en de bevolking voorlicht over de gevaren die er zoal zijn m.b.t. het internet.

Miljoenen worden er gestoken in het voorlichten van verkeersdeelnemers over de gevaren van het verkeer. Maar over de gevaren van het internet heb je heel sporadisch een Postbus 51 reclametje.
bigoldie @RetepV16 maart 2006 14:49
kuch:
http://www.surfopsafe.nl/
kahm-jai 16 maart 2006 14:34
dan maar geen reactie
Anoniem: 58843 16 maart 2006 16:03
Als je wil kijken of je iemand jouw geblockt heeft ofzow kun je ook gewoon dmsn gebruiken uiteraard.
zircondan 16 maart 2006 17:10
Was dit niet ook gebeurd toen we over gingen stappen naar de Euro?

Veelal oude mensen werden beetgenomen door net geklede mannen die beweerde de oude Pinpas op te komen halen om deze Euro ready te maken als het ware. Wel moest men natuurlijk de pincode ook geven anders kon er niets gedaan worden.

Deze mensen werden echt duizenden euro's rijker..

Ik werd laatst zelf ook gesocial engineerd :D
Kreeg een brief dat ik de Lotto won uit 'spanje'.
Ik had bij El Gordo een miljoenen prijs gewonnen, wat natuurlijk niet kan omdat ik nooit meegedaan hebt.
Wel moest ik eerst wat transactie kosten van te voren betalen voordat het bedrag overgeschreven werd. Het is maar dat ik de site van El Gordo bekeken hebt en de brief HEEL erg goedkoop uitzag..
Anders was ik er waarschijnlijk ook nog erin getrapt ook..
Dus lang leve human stupidity.
Anoniem: 136863 16 maart 2006 20:01
Gelukkig ben ik paranoïde en zie overal dingen achter XD

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq