Social Engineering wordt steeds volwassener, internetcriminelen steeds sluwer

Klik hier! Social engineering wordt steeds sluwer

5. februari 2014 - 11:50

Door: Redactie Baaz

Ooit begonnen internetcriminelen met nagemaakte mailtjes van banken, waarin in slecht Nederlands werd gevraagd op een link te klikken. Tegenwoordig pakken criminelen het professioneler aan en dringen ze ook bij bedrijven moeiteloos binnen.

Waren de valse mailtjes vroeger nog zo doorzichtig dat de meeste mensen er geen gehoor aan gaven, inmiddels is de kwaliteit van deze mailtjes enorm verbeterd. Helemaal in de huisstijl van de betreffende bank ontvangt de argeloze burger berichten waarvan het helemaal niet meer zo duidelijk is dat ze nep zijn. ‘Klik hier!’ - en de persoon is de pineut.

Maar deze bankmails zijn al lang niet meer de enige manier waarop criminelen te werk gaan. Tegenwoordig hebben zij zelfs het nut van advertorials ontdekt. Ze kopen advertentieruimte in op een betrouwbare website en plaatsen een advertentie waarin software verwerkt is die tot doel heeft de bezoekers te infecteren. Een code die verborgen zit in de advertentie gaat op zoek naar een lek in de computer van de websitebezoekers. Als dat gevonden wordt, kan er ongevraagd software worden geïnstalleerd. Je loopt dus niet alleen meer gevaar als je doorklikt of louche websites bezoekt.

Smart talk

Internetcriminelen gebruiken zeker niet alleen ingewikkelde technologie om bij bedrijven binnen te dringen en informatie te verkrijgen. Ze kunnen met een beetje handig praten al veel bereiken, meer zelfs dan met nep-mailtjes.

Zo kreeg de assistente van het hoofd IT van een grote onderneming laatst een telefoontje aan het einde van de middag. Een engelsprekende meneer meldt zich voor een internationale conference call met de IT-manager. De assistente weet daar niets van en haar baas is niet meer op kantoor. De man aan de telefoon wordt nijdig, de afspraak staat immers al weken gepland. Het gesprek zou gaan over de complete herinrichting van het security-systeem van het bedrijf. De IT-manager zou informatie geven over de bestaande security-systemen. De assistente zit er behoorlijk mee in haar maag. Ze is geen expert op securitygebied maar weet wel welke systemen er draaien. Als pleister op de wond geeft zij die informatie door aan de beller.

Dit voorbeeld is niet verzonnen, het is werkelijk gebeurd. Internetcriminelen hebben helemaal geen ingewikkelde technische tools nodig om in te breken. Ze maken gebruik van de zwakste schakel in de security: de mens. Social Engineering op z’n best – vanuit de crimineel gezien dan.

Nieuwsgierig

Nieuwsgierigheid is een menselijke zwakte waar internetcriminelen graag op inspelen. Bijvoorbeeld door usb-sticks te ‘verliezen’ op rookplekken buiten kantoorgebouwen. De criminelen vertrouwen er op dat altijd wel iemand de stick zal bekijken. En inderdaad. Tijdens een van de rookpauzes vindt een medewerker de usb-stick en neemt hem mee naar zijn werkplek om te zien van wie die is. Wat blijkt: er staat niets op de stick – tenminste, niet meer. Inmiddels is de malware al op weg binnen het netwerk van het bedrijf en heeft zijn sporen op de stick zelf uitgewist. Uit onderzoek is gebleken dat deze methode op meerdere plekken is toegepast.

Social Engineering wordt steeds volwassener, de internetcriminelen steeds sluwer. De kans dat je als ontvanger op een foute link klikt, is aanwezig. Het helpt natuurlijk als de consument geprogrammeerd is om niet meer te reageren op de aansporing ‘klik hier!’. Helaas, zo ver is het nog lang niet. Onlangs belde een onderzoeker zich voordoend als bankmedewerker naar een willekeurige persoon met de vraag ‘mag ik uw pincode?’. De man aan de andere kant gaf die zonder enige aarzeling. Daar helpt geen enkel digitaal beveiligingssysteem tegen.