Social engineering (informatica)
Van Wikipedia
Social engineering is een techniek waarbij een computerkraker een aanval op computersystemen tracht te ondernemen door de zwakste schakel in de computerbeveiliging, namelijk de mens, te kraken. De aanval is erop gericht om vertrouwelijke of geheime informatie los te krijgen, waarmee de hacker dichter bij het aan te vallen object kan komen. De beroemdste kraker die van deze techniek gebruik maakte is Kevin Mitnick. Hij heeft zijn ervaringen verwoord in het boek The Art of Deception.
Inhoud |
[bewerk] Doelen
Kenmerkend voor Social engineering is dat er geen aanval op de techniek zelf wordt uitgevoerd. Een aanvaller tracht om
- de nieuwsgierigheid van een slachtoffer te wekken
- medelijden bij een slachtoffer te wekken
- een slachtoffer bang te maken
De aanvaller doet zichzelf voor als iemand anders. Dit doet de aanvaller met het doel om via de aangenomen, vertrouwenwekkende, rol informatie te verkrijgen die op een andere manier niet of met aanzienlijk meer inspanning of hogere kosten te krijgen is.
[bewerk] Techieken
Er zijn drie aanvalstechnieken
[bewerk] Persoonlijk contact
De hacker probeert persoonlijk contact te leggen met het slachtoffer. Dat kan gebeuren door de gebruiker te bellen als helpdeskmedewerker, met het verzoek aan de gebruiker om diens gebruikersnaam en wachtwoord door te geven om een probleem te verhelpen. Dit is in de praktijk een eenvoudige en effectieve techniek. Het blijkt zelfs dat gebruikers in ruil voor een reep chocolade hun wachtwoord verklappen.
Een actueel voorbeeld is de kwestie rond het gebruik van de pretext techniek (het voorwenden iemand anders te zijn) door de onderzoekers die voor de CEO van Hewlett-Packard door analyse van het privé telefoon en e-mail gebruik van mededirecteuren en journalisten hebben achterhaald wie verantwoordelijk was voor het laten uitlekken van strategische informatie naar de pers.
[bewerk] E-mail
Een hacker verstuurt een e-mailtje met een belangwekkende tekst. Deze techniek wordt onder meer uitgevoerd bij de Phishing aanval, waarbij gebruikers ertoe worden verleid om op een authentiek ogende site vertrouwelijke gegevens zoals PINcodes en creditcardnummers op te geven. Ook de vele e-mail wormen, zoals Sober en Klez, hanteren deze techniek, waarbij een vertrouwenwekkend of bangmakend mailtje de gebruikers ertoe verleidt om ongemerkt een trojaans paard te laten installeren. De aanvaller kan daarmee vervolgens de computer controleren en gebruiken voor zijn eigen doeleinden, zoals het versturen van spam.
[bewerk] Rondsnuffelen
De computerkraker probeert vertrouwelijke informatie te krijgen door het snuffelen in vuilnisbakken, containers en prullenbakken. Deze techniek heet dumpster diving. Ook probeert een aanvaller rond te neuzen op de diverse plaatsen bij kopieermachines waar wel eens vertrouwelijke documenten worden weggegooid, of verzameld. Hierbij zal de hacker wel eerst een vorm van insluiping moeten uitvoeren om het gebouw waar de vertrouwelijke gegevens te vinden zijn binnen te komen.
[bewerk] Maatregelen
De belangrijkste maatregel tegen Social engineering is het creëren van beveiligingsbewustzijn (security awareness). Daarbij is het enerzijds van belang de eindgebruikers te informeren over het belang van informatiebeveiliging en hen anderzijds te trainen op het herkennen van oneigenlijk gebruik.
