Tijdens de social engineering wedstrijd die IT-aanbieder Sogeti tijdens de Hack in the Box Amsterdam conferentie organiseerde, is het bedrijf zelf gesocial engineered. Social engineering-expert Marcel wist allerlei gegevens te achterhalen, zoals gebruikte browser, browserversie, PDF-lezer en versie, schoonmaakbedrijf en nog veel meer, zo laat hij in een interview met Security.nl weten.

Oorspronkelijk was Marcel niet van plan om mee te doen. Sogeti had de wedstrijd onlangs aangekondigd. Deelnemers kregen voordat de wedstrijd begon een doelwit aangewezen. Marcel hoorde echter pas gisterenavond dat hij Sogeti zelf moest "aanvallen". Zijn voorbereiding van vijf minuten bestond uit het Googlen van het telefoonnummer van het hoofdkantoor. De social engineer koos vervolgens bewust voor de receptie. "Ik ga altijd door de voordeur, dat valt het minste op. Zeker voor het script dat ik in mijn hoofd had."

Student
Marcel had een scenario in zijn hoofd bedacht. Hij zou zich voordoen als een student die een onderzoek over de beleving van kantoorautomatisering uitvoerde. Daarbij kon hij eenvoudig allerlei vragen aan mensen stellen. "Bijvoorbeeld wat voor browsers mensen gebruikten en of ze thuis een betere hadden. Tussen neus en lippen door vroeg ik welke versie ze gebruikten. Of wat ze van PDF vonden en waarmee ze dit soort documenten bekeken." Het is belangrijk om niet continu vragen te stellen, want dat valt op, aldus Marcel.

"De voorbereiding is zeer belangrijk. Zonder dat ga je kapot bij de eerste die je spreekt." Voor zichzelf had Marcel een studenten-identiteit verzonnen, inclusief niet bestaand e-mailadres. "Bij het begin van het gesprek heb ik meteen geklaagd dat er veel op school niet werkt. E-mail komt niet aan en dat ze ook nog eens met de telefooncentrale bezig zijn. Daarmee ondervang je dat ze vraagt of ze je kan terugmailen of terugbellen."

Verder liet hij weten dat er drie typen bedrijven werden onderzocht, commercieel, non-profit en overheid. "Vervolgens vertelde ik ze dat ik in deze categorie ook KPN en Cap had gebeld. Waarmee je peers aangeeft die het ook prima vonden. Een soort verleidingsmethode om te laten zien dat het oké is, aangezien de 'broer' ook al heeft meegewerkt."

Vertrouwen
"Vertrouwen kun je heel eenvoudig kweken." Daarna richtte Marcel zich op een persoon in de organisatie. "Ik vroeg om iemand die heel technisch is, iemand die helemaal niet technisch is en iemand van het management. Vervolgens vroeg ik om de liefste persoon in het bedrijf die niet technisch is, aangezien ik iemand zoek die even met me wil praten."

Volgens Marcel is het belangrijk om het niet te groot te maken. "Kan ik gewoon even wat vragen stellen. Als je het groot maakt ga je stuk." Een iemand van Sogeti vertelde zoveel dat Marcel het gesprek afkapte.

Mitnick
Via LinkedIn wist hij een naam van de P&O-manager te achterhalen. Aan de receptioniste vroeg hij om met haar te worden doorverbonden, wat gewoon gebeurde. Marcel wist zelfs een afspraak met de manager te maken. "Onder het mom van dat als ikklaar was met mijn studie, ik daar wel wilde komen werken. Dan praat je al op een heel ander niveau."

Voor beginnende social engineers adviseert Marcel de boeken van Kevin Mitnick. "Hij laat goed zien wat de risico's zijn en is een autoriteit op zijn gebied."

Echt enthousiast is hij over het boek 'How to win friends and influence people' van Dale Carnegie uit 1935. "Die man heeft een filosofie waardoor mensen alles voor hem deden." En dat is precies wat een social engineer wil. Of Marcel de competitie ook heeft gewonnen is nog onbekend, op het moment van schrijven stond hij wel bovenaan het klassement.