Wat is social engineering? Welke verschijningsvormen kennen we? Hoe kan een organisatie of een burger zich er tegen beschermen...

Wat is social engineering?

Social engineering of people hacking, is een aanduiding van een verzameling van technieken waarmee computercriminelen financieel gewin proberen te behalen, of schade aan te richten door allereerst de zwakste schakel in de computerbeveiliging te kraken, namelijk de mens.

De social engineering technieken zijn erop gericht om gebruikers, door middel van manipulatie, bepaalde handelingen te laten verrichten, dan wel vertrouwelijke of geheime informatie te ontfutselen.

In essentie is social engineering de kunst van het verleiden…maar dat is een romantische benadering. In werkelijkheid gaat het om bedrog (het met kwade opzet misleiden van iemand) en is een social engineer de moderne benaming voor een charlatan.

Bedrog

Bedrog is zo oud als de mensheid: het Trojaanse paard, Pallas Athene die zich vermomt als de koopman Mentes, Dilalah die Samson bespeelt om de reden van zijn kracht te ontdekken, Aesopus’s wolf in schaapkleren, etc. Het is dan ook niet meer dan logisch dat bedrog zijn intrede heeft gedaan in de wereld van computers.

Internet en hacken

Hoewel de geschiedenis van het internet begint met de introductie van Arpanet in 1969 begon de echte opmars pas na de overgang naar het TPC/IPprotocol (1983). De publicatie van “Experiments with computer virus” door Dr. Frederick Cohen vormt een opmaat voor het eerste dos virus Boot/Brain in januari 1986, gevolgd door de Morris worm (1986) en de eerste phishing aanval op (AOL 1996). Spam ontstond al vrijwel direct na de introductie van internet.

Het is zeker niet zo dat alle hackers criminele of kwaadaardige bedoelingen hebben. Soms is het de hacker er meer om de kick van het inbreken zelf of het aantonen van zwaktes in de beveiliging te doen, dan het daadwerkelijk aanbrengen van schade. Hacken is in Nederland echter strafbaar volgens de Wet Computercriminaliteit.

Beveiligingsgedrag

Nu de meeste bedrijven hun computers en netwerken steeds beter beveiligen, verleggen hackers hun focus van de techniek, naar de mens achter de computer: de zwakste schakel in de beveiliging. Immers het beveiligingsgedrag van de medewerkers laat nog veel te wensen over: ze herbruiken hun wachtwoorden en lenen login informatie uit aan collega’s, ze schrijven hun wachtwoorden op een de gele Post it blaadjes die ze plakken onder het toetsenbord, onder het scherm of in het pennenbakje. Ook verlaten ze de werkplek terwijl ze zijn ingelogd in applicaties.

Om te kunnen werken aan een beter beveiligingsbewustzijn is het noodzakelijk om eerst de gevaren te kennen.

Gebruikte technieken

Er zijn een aantal technieken voor social engineering te onderkennen, maar ze hebben één gemeenschappelijk kenmerk: de aanvaller doet zichzelf voor als iemand anders. Daarbij kan gebruikt worden gemaakt van menselijke ‘zwakheden’ zoals hulpvaardigheid, naïviteit, nieuwsgierigheid, angst, medelijden, hebzucht, etc.

Persoonlijk contact
In dit geval probeert de social engineer om persoonlijk (bijvoorbeeld telefonisch) contact te leggen met een slachtoffer om deze bepaalde handelingen te laten verrichten, of om zo informatie te verkrijgen. De hacker kan zich voordoen als medewerker van een servicedesk, of als een collega.

Dumpster diving
De social engineer probeert vertrouwelijke informatie of hardware te verkrijgen door rond te snuffelen in vuilnisbakken of containers (buiten het bedrijf).

Binnendringen
Bedrijven blijken gemakkelijk binnen te dringen te zijn. Weet een social engineer binnen te dringen in een bedrijf dan kan er worden gezocht in papierbakken en op bureaus. Eenmaal binnen kunnen bovendien diverse technische hulpmiddelen worden ingezet, zoals voor het uitlezen van kopieermachines of het vastleggen van toetsaanslagen (key logging) en deze te versturen per e-mail.

Piggybacking of tailgating
Mensen zijn van nature beleefd en houden vaak de deur open voor iemand die ná hun binnenkomt. Meestal zonder te vragen wie zij zijn, of wat ze er te zoeken hebben. Deze persoon kan echte een niet geautoriseerd iemand zijn, die zich voordoet als college, als bezoeker of als een medewerker koffieautomaten, etc.

Fake e-mail
Het gebruik van fake e-mail berichten is bijna net zo oud als het internet zelf. Ging het in het begin om zogenaamde hoaxes met een min of meer grappig karakter, ligt de nadruk nu op fraude. De ontvanger van de e-mail krijgt te horen dat een onbekend familielid is overleden, er een prijs is gewonnen, etc. maar moet eerst geld sturen. We spreken van advance fee fraud of voorschot fraude.

Hoewel fake e-mails in de loop der jaren behoorlijk geëvolueerd zijn, is er toch een aantal universele kenmerken te onderkennen: de afzender van het bericht is onbekend bij de ontvanger, er wordt geld in het vooruitzicht gesteld, er wordt gevraagd een aanbetaling te doen of anders om bepaalde gegevens te verstrekken, er is sprake van een tijdslimiet, er wordt gevraagd om vertrouwelijkheid, de afzender verstrekt (valse) gegevens, documenten, titels en adressen om vertrouwen op te wekken.

Phishing
Bij phishing wordt door middel van websites en fake e-mails geprobeerd om persoonlijke gegevens te verkrijgen. Een voorbeeld hiervan is het sturen van een mail die afkomstig lijkt te zijn van een populaire website (spoofbericht) zoals eBay. In deze mails wordt de ontvanger gevraagd om een link in te tikken of om bepaalde gegevens te versturen ter controle. Phishers proberen verkregen accounts uit op alle gangbare websites omdat ze weten dat mensen accounts hergebruiken.

Een meer geavanceerde vorm van phishing is het zogenaamde spear phishing. Deze vorm bedient zich van dezelfde technieken als phishing doch het doel van spear phishing is toegang te verkrijgen tot het volledige computersysteem van een bedrijf in plaats van de gegevens van een individu.

Vishing is een andere vorm van social engineering via de telefoon, om persoonlijke en financiële informatie te verkrijgen. Daarbij wordt intensief gebruikt gemaakt van technologische snufjes zoals caller ID spoofing (methode om de ontvanger een ander nummer te laten zien dat het eigenlijke) wat redelijk eenvoudig is via voice over IP (VoIP), De benaming Vishing is een samenvoeging van “voice" and “phishing”.

Scareware
De zogenaamde scareware, ook wel rogue software genoemd is de laatste tijd erg in opmars op het internet. Volgens McAfee, de Amerikaanse beveiligingsfirma, zijn er dagelijks één miljoen mensen het slachtoffer van scareware.

Scareware, vaak in de verschijningsvorm van pop ups die de gebruiker vertellen dat diens computer is geïnfecteerd of te langzaam is, bieden een oplossing die er uitziet als een betrouwbaar product. Het blijkt een wolf in schaapskleren te zijn…

Als een gebruiker tegen betaling deze niet functionerende software installeert kost dat niet alleen geld, maar wordt de computer tevens opengesteld voor aanvallen. Denk aan identiteitsfraude of de installatie van andere malware.

Één aanbieder van nep virusscanners, het Oekraïense Innovative Marketing is, zo toonde McAfee onlangs aan, zo succesvol dat ze 600 mensen in dienst hebben, vanuit echte kantoren werken, call centers gebruiken en jaarlijks 120 miljoen euro verdienen. Een andere naam voor het verschijnsel waarbij gebruik wordt gemaakt van schadelijke advertenties, is malvertising (malicious advertising).

Non-delivery of merchandise
Bij deze vorm van social engineering doet de verkoper zich voor als een partij die iets wil verkopen of een dienst kan leveren doch na betaling laat de verkoper niets meer van zich horen.

Het probleem is dat het verzuimen om bestelde (en betaalde) spullen te leveren volgens de wet geen diefstal is. Diefstal betekent namelijk dat een ander zichzelf iets wederrechtelijk toe-eigent. Daarvan is geen sprake als de verkoper vrijwillig geld heeft afgestaan. Er is dan weliswaar sprake van wanprestatie en contractbreuk, maar dat valt onder het civiel recht en wordt beschouwd als een conflict tussen burgers onderling, waarvoor niet per definitie aangifte kan worden gedaan bij de politie. Dit betekent in concreto dat de koper zijn recht moet halen via een civiele procedure. Dat is duur, omslachtig, en zelden kostendekkend.

Een variant op de fake sales, is de verkoop van fake goederen: nep medicijnen, nep iPhones, etc. Nog een variant is de Paypal chargeback scam. Hierbij wordt betaald voor goederen of diensten en wanneer de leverancier de producten heeft geleverd vraagt de koper het geld terug via Paypal door te beweren dat de leverancier nooit geleverd heeft.

Whaling
Een nieuwe truc van de social engineers is het zogenaamde whaling waarbij sociale netwerksites wordt misbruikt. Nadat ze een Facebook of Hyves account hacken versturen ze naar alle contacten een mail om geld te sturen (help ik zit in het buitenland, dringend geld nodig, want beroofd, etc.) De social engineer kijkt vooral naar mensen die regelmatig in het buitenland verblijven en veel ‘friends’ hebben. Vrienden gaan hierop in en storten geld. De benaming whaling komt van het vangen van een grote vis.

Soul theft
De term soul theft is een knipoog naar de tijd dat inboorlingen uit verre landen dachten dat hun ziel werd gestolen als er een foto van hen werd genomen.

In de virtuele wereld betekent soul theft dat een foto van een persoon wordt gebruikt door een ander. Bijvoorbeeld om een nep profiel op een netwerksite op te bouwen. Met behulp van deze de foto wordt getracht het vertrouwen van andere mensen te wekken. Zo kan een volwassene zich voordoen als veel jonger, om op deze wijze tieners te benaderen.

Een andere vorm van soul theft is het (her)gebruiken van foto’s van knappe vrouwen, op sites voor buitenlandse bruiden. Deze ‘bruiden’ zijn zogenaamd op zoek naar een huwelijkskandidaat (uiterlijk en geld niet belangrijk). Mannen worden verleid tot gratis inschrijving en vervolgens tot betaalde berichtuitwisseling en het opsturen van geld voor vliegtickets.

Spying en eavesdropping
Het bespioneren en afluisteren lijkt een ver van mijn bed show voor de doorsnee gebruiker, maar het meekijken over de schouder (shoulder surfing) is een van de eenvoudigste manieren om login informatie te verkrijgen.

Gevolgen social engineering

De gevolgen van social engineering aanvallen kunnen aanzienlijk zijn:
Is de aanval gericht op bedrijven of organisaties dan bestaat de mogelijkheid van negatieve berichtgeving en imagoschade, concurrentieverlies, financiële schade tot aan faillissement toe.
Is de aanval gericht op individuele personen dan bestaat de kans op financiële schade, imago schade, identiteitsfraude, gebroken hart, verkrachting of zelfs het verlies van een baan.

Bescherming tegen social engineering, voor burgers

Voor burgers is vooral voorzichtigheid het motto. Val niet voor de ‘too nice to be true’ verhalen:

• Loterijen keren geen geld uit zonder inleg.
• Mooie buitenlandse vrouwen staan niet te wachten op een lelijke Nederlandse man die dertig jaarouder is.
• Niemand krijgt geld uit erfenissen van familieleden die generaties geleden geëmigreerd zijn. Die verhalen zijn inderdaad te mooi om waar te zijn.

De do’s

• Wees voorzichtig met geld sturen naar websites. Betaal achteraf of maak gebruik van een broker zoals Paypal die het geld kan terugvorderen van de verkoper.
• Gebruik voor élk website account een ander e-mail adres of maak gebruik van een password manager.
• Gebruik een niet eenvoudig te raden wachtwoord en verander dit regelmatig. Een handig hulpmiddel is passwordchart, waarmee een gemakkelijk wachtwoord kan worden omgezet naar een moeilijk te raden wachtwoord.
• Doe altijd (ook voor kleine bedragen) aangifte via https://www.mijnpolitiebureau.nl/. Deze site kent een speciale pagina: meldpunt internetoplichting.

Succes!

Reageren?