Grote Amerikaanse bedrijven vatbaar voor social engineering

Grote Amerikaanse bedrijven blijken kwetsbaar voor social engineering-aanvallen, waarbij werknemers ertoe worden verleid om al te veel interne informatie prijs te geven. Deze informatie kan vervolgens worden gebruikt bij hackaanvallen.

Op de DefCon-beveiligingsconferentie in augustus werd een capture the flag-contest gehouden, waarbij deelnemers informatie over bedrijven moesten bemachtigen, zoals de naam van de virusscanner die een bedrijf gebruikt, welke interne poorten openstaan en welke browser wordt gebruikt. Het ontfutselen van dit soort informatie, ook wel 'social engineering' genoemd, wordt vaak door kwaadwillenden gedaan om hackaanvallen uit te voeren bij een bedrijf. De deelnemers probeerden details te vergaren bij bedrijven als Apple, Dell, IBM, Oracle en Symantec.

Een analyse van de competitie is nu gepresenteerd. Een van de slechtst presterende bedrijven was Oracle, en ook de Amerikaanse vliegtuigmaatschappijen Delta Airlines en United Airlines gaven te veel informatie prijs, zo valt te lezen in het rapport. Symantec, IBM, Dell en Apple presteerden ongeveer gelijk, maar gaven nog steeds informatie vrij. De organisatoren tekenen aan dat het verschil tussen bedrijven voor een groot deel kan worden verklaard door de prestaties van de deelnemers en de weerbaarheid van de individuele werknemers.

De deelnemers hadden voorafgaand aan de competitie twee weken de tijd om voorbereidend onderzoek te doen naar een bedrijf, waarbij het niet was toegestaan om direct contact te leggen. Tijdens de capture the flag-contest hadden ze 25 minuten om een bedrijf op te bellen en informatie uit de medewerkers te halen. Er werd onder meer gebeld met werknemers van de salesafdeling, de supportafdeling en winkels van de bedrijven. In sommige gevallen deden de capture the flag-deelnemers zich voor als een potentiële klant, soms als collega.

De deelnemers vroegen niet naar gevoelige privégegevens. Ook werden geen overheidsinstellingen, onderwijsorganisaties of financiële instellingen benaderd. Bij de veertien benaderde bedrijven waren de resultaten verbluffend; de deelnemers waren in staat om bij alle bedrijven informatie te achterhalen, wat punten of flags opleverde. Zo konden de werknemers van alle opgebelde bedrijven ertoe worden verleid om een bepaalde url in te voeren, wat een beveiligingsrisico is. Ook gaven werknemers interne informatie prijs, terwijl dat niet in alle gevallen was toegestaan. Sommige informatie hoefde niet eens aan medewerkers te worden gevraagd, omdat deze al op het internet te vinden was, bijvoorbeeld via social media.

De opstellers van de analyse geven weinig prijs over de informatie die elk bedrijf weggaf. Ze raden bedrijven aan om social-media-richtlijnen in het leven te roepen, waarbij de informatie die ze mogen delen over het bedrijf wordt beperkt. Ook moeten werknemers beter worden opgeleid om ze weerbaar te maken tegen social engineering en moeten bedrijven hun werknemers op dezelfde manier testen als tijdens de contest gebeurde.

IT-banen

Reacties (20)

Niemand_Anders

Beveiliging

1 november 2011 12:00

Nu bedrijven steeds beter beveiligd zijn tegen aanvallen van buitenaf via firewalls en goede anti virus/spyware tools wordt social enginering juist steeds vaker toegepast als seed.

Zo weet ik dat een klant van ons eerst telefonisch werd benaderd door een verkoper. Vervolgens was de klant geinteresseerd en stuurt de verkoper een email met daarin een speciaal geprepareerde PDF en omdat de klant de email (met attachment) verwacht wordt deze niet als verdacht gezien en geopend. Op die manier komt de spyware het bedrijf binnen en zal zich in de eerste instantie proberen te verspreiden naar andere systemen en daarna gevoelige informatie te verzamelen.

Er zijn weinig bedrijven welke direct na het initiele contact de verbinding verbreken en daarna op het algemene nummer van het bedrijf terug belt om te controleren of de verkoper bij het bedrijf werkt..

_Thanatos_ 1 november 2011 12:48

Maarja, veel kun je er niet tegen doen... Je kunt mensen moeilijk forceren in alle talen over hun werk te zwijgen. Mensen zijn sociale diertjes, en praten graag over vanalles inclusief hun werkdag. Regels zijn geen oplossing daartegen, hooguit een hulpmiddel.

Via LinkedIn kun je al snel erachter komen wel social network enabled mensen bij een bedrijf werken. Vervolgens kun je hun facebooks, tweets, linkedin statussen, blogs en delicious links erbij halen en een profiel opstellen. Als je het goed onderzoekt, hoeven die mensen dus niet eens directe infortmatie vrij te geven om achter bepaalde dingen te komen. Zo kan iemand veel links naar vacatures in z'n delicious hebben, wat kan betekenen dat hij het niet zo naar z'n zin heeft. Zo'n iemand is eerder geneigd informatie vrij te geven, want de zaak boeit hem niet meer zo. Hij zou bijv een keer geroepen hebben dat ze "beter Symantec kunnen gebruiken", dus dan weet je alvast dat ze dat niét gebruiken. En zo kun je een poosje door blijven graven bij verschillende mensen. Meer medewerkers is meer informatie, en minder tevreden medewerkers kan ook meer informatie betekenen.

En je kunt het vast nog veel complexer en psychologischer maken.

Pathogen 1 november 2011 11:50

Ik verbaas me nog het meest over:

Zo konden de werknemers van alle opgebelde bedrijven ertoe worden verleid om een bepaalde url in te voeren, wat een beveiligingsrisico is.

Eagle Creek

@Pathogen • 1 november 2011 11:59

Hoezo precies? Als ik mij op de een of andere manier voordoet als 'betrouwbare sociale bron' (zij het een helpdeskmedewerker, zij het een collega, zij het een vriend van een bekende), dan heb ik een bepaalde marge waarin ik jou kan beïnvloeden.

Als ik hier een link post op Tweakers, die jou interessant lijkt, is de kans groot dat je die aanklikt. Mij ken je niet, de link ken je niet. Puur op basis van het bericht eromheen, de betrouwbaarheid die je daar aan geeft, en wellicht mijn postgeschiedenis besluit je erop te klikken.

Zo moet je dit ook zien. Het is misschien niet allemaal zo zwart-wit 1-op-1 toepasbaar, maar wel het generieke idee. Denk aan afdingen bij een winkel: de verkoper doet jou een bod, en jij voelt je geneigd om te "bedanken". I come to you, you come to me. Je kent de verkoper niet, je weet dat de tv een bepaalde waarde heeft, maar onbewust speelt er meer mee.

Fawn 1 november 2011 11:47

Wauw, volgens mij is dit probleem nog nooit zo grootschalig belicht.
Het lijkt me een heel stoere en uitdagende wedstrijd, iets heel anders dan het 'traditionele' technisch georiënteerde hacken.

Nu is het zaak dat het probleem serieus wordt opgepakt en dat de medewerkers van deze bedrijven een fatsoenlijke training krijgen op dit gebied. Ik hoop dat er niet weer een nieuwe 'hack-golf' ontstaat, gebaseerd op het social engineeren.

Vesper64 @Fawn • 1 november 2011 11:54

Helemaal mee eens, volgens mij word het nu goed duidelijk hoe makkelijk het is om zo informatie te krijgen. En vooral hoe makkelijk werknemers over te halen zijn.

Lijkt mij tijd om er als bedrijf eens goed naar te kijken en inderdaad er regels voor op te stellen en die ook te controleren. Verwacht alleen niet dat je het daarmee volledig oplost, je mag al blij zijn als het 50% van de werknemers bewuster maakt en er ook op let. Mensen zijn veel te goed gelovig voor deze 'persoonlijke' aanval. Maar desondanks! 50% dan moeten boefjes toch weer dubbel zo hard werken

.

Leuk onderzoek in ieder geval! Hopelijk doen bedrijven er iets mee.

Verwijderd @Fawn • 1 november 2011 13:22

Nu is het zaak dat het probleem serieus wordt opgepakt en dat de medewerkers van deze bedrijven een fatsoenlijke training krijgen op dit gebied.

Dat is van alle tijden:
http://upload.wikimedia.o.../e/ed/Feind_hoert_mit.jpg
http://upload.wikimedia.o...ons/f/f9/Carelesstalk.jpg
http://upload.wikimedia.o...he_enemy_is_listening.jpg

Veiligheid is een zaak van de professionals die er voor betaald worden. Grote bedrijven hebben duizenden, tienduizenden, honderdduizenden personeelsleden. Als de veiligheid afhankelijk wordt gemaakt van de zwakste schakel onder hen dan kunnen we beter meteen de handdoek in de ring gooien.

Dit is een opgeklopte angst, waar social engineers geld aan proberen te verdienen. Net als terrorisme waar jaarlijks miljarden aan wordt uitgeven ondanks dat er meer mensen sterven door het vallen van een keukentrapje. En toch kan een religieuze wapengek ongehinderd in een winkelcentrum erop los schieten, al moeten wij geloven dat ze hem tegengehouden zouden hebben, als hij baard had gedragen.

Mijns inziens is het probleem dat wij een OS gebruiken dat onveilig is. Een waar elk jaar een miljoen exploits voor worden ontdekt (hoeveel er onontdekt blijven weet niemand!). Het is lek by design. Uit commercieel oogpunt kan je het de makers niet kwalijk nemen, ik denk dat als dit OS niet lek was regeringen van landen als USA, China en Rusland en vele andere dit OS niet op de computers zouden willen hebben, want ze willen allemaal graag mee kijken wat hun burgers doen. Ik vermoedt dat dit de reden is dat een land als China nooit Linux heeft doorgezet, terwijl je toch zou denken dat ze de Amerikaanse spyware liever niet hadden. En daarom hebben ze mogelijk ook een hekel hebben aan Gmail, daar kunnen ze niet inkijken, maar de Amerikaanse NSA wel.

Een bijkomstig gevolg is dat dit OS ook lek is voor allerlei gewone criminelen. Die weten de achterdeurtjes ook te ontdekken. Bedrijven die vitale informatie op hun systemen bewaren moeten deze niet koppelen aan het internet, anders is veiligheid een wassen neus. En een bedrijf waarvoor bedrijfsgeheimen van vitaal belang zijn, zou een veiliger OS kunnen overwegen.

Als veiligheidsdeskundige zou ik me ook niet erg druk maken over "social engineering", dat is gewoon de volgende hype. De nieuwe risico's komen uit de spyware die in de hardware wordt gestopt. Die biedt hele nieuwe mogelijkheden.

Het probleem zal alleen maar groeien. Onze maatschappelijke systemen zijn namelijk zo georganiseerd dat deze alleen belang hebben bij de groei van de problematiek. De landen met de grootste legers voeren het meeste oorlog. Legers willen geen harmonie bevorderen, maar regelmatig conflicten uitvechten om hun noodzaak te bewijzen. De gezondheidsindustrie maakt mensen steeds afhankelijker van haar behandelingen, en alle grote ziektes stijgen gestaag. Zij willen mensen niet gezond laten leven, maar hun ziekten bestrijden. Advocaten zien ook liever meer rechtszaken, dan minder. Ze gaan net zo graag in hoger beroep als dat ze winnen. Ook in computerland nemen de veiligheidsmaatregelen alleen maar toe. Zij willen geen veilige systemen bouwen, maar gevaren bestrijden. Je verdient geld met de bestrijding, niet met voorkoming.

Daar hebben de professionals baat bij. Niet de ongelukkige leek die zijn welzijn toevertrouwt aan professionals. Hij wordt maar al te vaak zelf aangemerkt als een boosdoener. Ik voorspel een grote groei voor de veiligheidsindustrie in een steeds bangere wereld.

Wat zei Lau-Tse (Laozi) al eeuwen voor onze jaartelling?

Hoe meer verboden er zijn, hoe armer wordt het volk
Hoe meer wapens, hoe groter de wanorde in de wereld
Hoe knapper de techniek, hoe meer nutteloze gadgets
Hoe meer reglementen, hoe meer moordenaars en dieven

Daarom zegt de wijze:
Ik doe niets en het volk wordt beter
Ik houdt van rust en het volk wordt rechtschapen
Ik doe geen zaken en het volk wordt rijk
Ik heb geen begeerten en het volk blijft eenvoudig en eerlijk

Wanneer de regering traag en loom is
blijft het volk onbedorven
Als de regering kranig en ferm is
is het volk ongelukkig

Wij gaan echter de strijd aanbinden, zo is onze cultuur, wij hebben een strijdcultuur. En laten we wederom kijken waar het ons brengt. Zullen onze legers oorlogen verhinderen, Zullen onze advocaten zorgen voor meer rechtvaardigheid, zullen onze doctors ons blijvend gezond maken, zullen onze professionals onze systemen veilig maken? Of zal er een industrie bloeien die dankbaar groeit op de angst van mensen?

Ja, het belangrijk dat de mensen zich onveilig en kwetsbaar voelen. Dat ze bewust zijn van het gevaar. Dat ze schuldig voelen voor het gevaar. Dan hebben ze meer waardering voor de weldoeners.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 20:23]

Webdoc 1 november 2011 11:51

Je kan helaas niet verwachten dat elke persoon die toegang heeft tot gevoelige informatie ook een diploma counter-intelligence op zak heeft

Zolang te veel mensen te veel toegaing tot informatie hebben, zal social engineering altijd een optie zijn. Aan de andere kant, als je dat volledig dicht timmert zit je met een bedrijf waar niemand elkaar vertrouwd en je 50% van de tijd bezig bent met tijdelijke wachtwoorden te maken en weer deleten...

Laat ik het zo zeggen - om je als bedrijf 100% te wapenen tegen social engineering ben je veel te veel geld en tijd kwijt om hert praktisch toe te passen. Dus het altijd een probleem zijn, in kleinere of grotere mate.

Eagle Creek

@genosis • 1 november 2011 11:49

Zegt de term APT (advanced persistent threat) je iets? Ja, je hebt gelijk dat dit al jaren het geval is. De focus heeft hem de afgelopen jaren echter sterk gelegen op technische maatregelen, en niet op de menselijke factor.

De APT's waar ik op doel zijn specifieke aanvallen, zoals de aanval op RSA, zoals wellicht de Stuxnet-aanval en zelfs DigiNotar nog wel. Dit soort aanvallen (geprepareerde Excel-documenten, gebruik maken van zero day exploits) vereisen veel meer dan puur technische maatregelen (slecht beheer bij DigiNotar even buiten beschouwing gelaten) .

De reactie van FFawn (11.47, hieronder) vind ik dan ook een heel goede. Het probleem wordt nu grootschalig berlicht, en anders aangepakt dan de traditionele hack. Social engineering is een probleem dat zich al jaren presenteert om hacks mogelijk te maken. De manier waarop het echter wordt ingezet, en het effect dat men bereikt in combinatie met ondersteunende techniek is wel veranderd.

Een tikkeltje meer ontopic vind ik het een zeer originele en uitdagende manier van bewustzijn. Het hele capture the flag-idee is goed uitgewerkt, en maakt inzichtelijk wat er mogelijk is op dit gebied.

Vanuit mijn vakgebied heb ik al meermaals aan social engineering gedaan. De informatie die daarmee soms vrijkomt is voor sommigen wellicht zelfs schokkend. Het gaat er echter om wat je met die informatie weer verder kunt doen, om een goed geplande en gecoördineerde en bewuste aanval te plannen. Wanneer je van A tot Z het bedrijf kent, gaan traditionele maatregelen alleen (zoals firewalls) helemaal niets uithalen. Immers: als een legitieme medewerker gegevens opvraagt, en die vervolgens naar een legitieme geachte partner stuurt, welke tooling slaat hier op alarm?

PS:
Voor hen die overigens willen weten of hier wel tegen te beveiligen valt op een technische manier, kijk eens naar HP ArcSight. Het is een tool die, naar eigen zeggen, oplossingen biedt tegen complexe, door SE ondersteunde, cyberaanvallen. Dit is geen promotiepraat: ik heb de tool zelf niet eens gebruikt. Ik kwam het echter tegen in een security tijdschrift, en vond hem puur op basis van beschrijving erg interessant.

[Reactie gewijzigd door Eagle Creek op 23 juli 2024 20:23]

Floort

Privacy

@Eagle Creek • 1 november 2011 12:16

Zoiets als ArcSight zal echt niet helpen tegen een telefoontje met een vlotte babbel. Daarnaast lijkt ArcSight vooral logging en analyse tools te te leveren. Je zult dan vooral vroeg problemen detecteren. Dat is veel beter dan niets, maar het is geen preventie.

Eagle Creek

@Floort • 1 november 2011 12:29

Ik wil er niet te ver op ingaan, omdat het offtopic is van de main thread.
Maar, en ik citeer:
"Bovendien heeft ArcSight een extra functionaliteit om verdacht gebruik van onder andere hoge bevoegdheden te detecteren".

'Hey, een externe partij belt naar extensie 284. Extensie 284 is Plien van Dijk. Hey Plien van Dijk vraagt opeens gegevens op uit de map met confential marking."

Ik zeg niet dat het zo werkt, of dat het d'e oplossing is. Ik zie hierin echter wel een technische ondersteuning voor het 'sociale probleem'.

Overigens dient Plien nog steeds de gegevens niet door te geven, en zal het ook heel lastig te zijn om Plien dit te laten doen. Als mens en werknemer wil je immers anderen helpen (menselijke natuur), maar ook gewoon vooral met jouw werk bezig zijn. En als dat is het verstrekken van informatie..

Maar goed. Het is een samenspel van mens en techniek. Waar het in essentie om gaat is dat er aandacht moet zijn voor de menselijke factor binnen data leakage binnen bedrijven. Alleen bijvoorbeeld al een hoger meldingspercentage van verdachte zaken zou al zoveel kunnen voorkomen. Neem de RSA-hack. Als binnen 10 minuten een securiy officer daarvan op de hoogte was, was de kans veel groter dat wat gebeurd is, niet gebeurd zou zijn.

Ik zeg niet dat het allemaal zo 1, 2, 3 te realiseren valt, maar je er bewust van zijn en erover nadenken zijn in ieder geval twee goede stappen in de juiste richting.

enveekaa @genosis • 1 november 2011 11:50

Is inderdaad van alle dag maar daarom niet minder belangrijk. Bij veel bedrijven is er veelste weining aandacht voor dit onderwerp, zou een vast onderdeel in het personeelshandboek moeten zijn.

Blokker_1999

Politiek en recht
Verenigde staten
Privacy

@enveekaa • 1 november 2011 12:15

Tja, maar wat kan je er aan doen? vragen naar een intern nummer om terug te bellen om zeker te zijn dat het om een collega gaat? Iedereen toegang geven tot HR gegevens zodat je iedereen kan natrekken?

En wat op sales afdelingen waar men continue contact heeft met potentiele klanten? Een beetje common sense is noodzakelijk, maar echt regels gaan opstellen en maatregelen treffen lijkt mij niet echt eenvoudig te zijn.

MorgothG 1 november 2011 11:55

De makkelijkste manier om een password of andere hack informatie te krijgen is nog steeds er gewoon naar te vragen. Niets brute force of SQL injectie.

"Hey hallo met XXX van de helpdesk afdeling, wilt u voor mij even ......(invullen maar)? Oke, bedankt voor uw medewerking!"

$_/-\o_$

Game_overrr @MorgothG • 1 november 2011 12:23

Ja dat is een serieus probleem. En al helemaal als je weet wie er op de helpdesk zit en Je gebruikt die naam.

morrowyn 1 november 2011 12:34

Misschien had ik deze url erbij moeten doen: http://www.youtube.com/watch?v=dBSDfo5g2tw

Eagle Creek

@koter84 • 1 november 2011 14:02

Koter,

Post je dit per ongeluk bij het verkeerde bericht, of is dit bewust?
Ik zie niet helemaal in wat Brenno de Winter hiermee te maken heeft.

Of doel je op 't feit dat Brenno naast digitale dreigingen ook 'offline'-aanvallen meeneemt?

[Reactie gewijzigd door Eagle Creek op 23 juli 2024 20:23]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (20)

Sorteer op:

Weergave: