Een aanrader voor wat betreft "Social Engineering" is het
lezen van Kevin Mitnick's boek "The Art of Deception", je
snapt door alle voorbeelden vrij snel hoe het werkt en hoe
het b.v. ook in jouw bedrijf zou kunnen werken. Als je een
beetje handig zoekt is het boek ook wel via google te vinden.
Bescherming tegen "Social Engineering" begint inderdaad met
"Security Awareness", maar dan moet het wel een blijvende
effort zijn (dus niet eenmalig een A4tje verspreiden).
Verder binnen het gebouw compartimentering toepassen, net
zoals je met firewalls zou doen, dus meerdere lagen van
toegangsmaatregelen in het gebouw en dan via je security
awareness er weer voor zorgen dat je medewerkers niemand
laten meeliften.

In nederland is dit bijna onmogelijk en is afhankelijk van hoe goed een
beveiligings organisatie is.Deze zijn verrantwoordelijk voor de personen
die een gebouw in en een uit gaan. Bezoekers of ander personeel kan
alleen na binnen volgens afpsraak. Bij twijvel wordt altijd de manager
geinformeerd over personeel die zich voor doet als "kpn monteur".Voor
middel en klein bedrijf wordt het makkelijker omdat deze een receptioniste
hebben en vaak dom zijn dus makkelijker beinvloedbaar.
Een grotere bedreiging in nl is de telefonie door dat er ongelovelijk
afdelingen zijn bijvoorbeeld het uwv etc is het makkelijker je voor te doen
als een medewerker vaak denkt dat personeel niet eens na helemaal als
je als manager voor zou doen.

HaHaHa,

Erg leuk allemaal, echter word de belangrijkste en zwakste
schakel voor het 'gemak' maar overgeslagen. De integriteit
van de beveiliger en zijn/haar organisatie. Al heb je 6
lagen van beveiliging, het is allemaal afhankelijk van
integriteit van medewerkers. Aangezien er steeds meer
arbeidsconflicten ontstaan, onstaat er ook steeds meer
rancune naar de (voormalig) werkgever toe. Deze ontslagen
personen zijn vaak bereid cruciale gegevens te verstrekken
om het voor 'inbrekers' zo makkelijk mogelijk te maken om
het bedrijf een 'hak' te zetten.

Ik heb geruime tijd geleden een bedrijf bezocht dat op
bepaalde niveau's biometrische toegangscontrole had
ingevoerd, echter was dit systeem zo complex voor de
beheerder dat deze gemakshalve alleen nieuwe gebruikers
toegevoegde en oude gegevens nimmer verwijderde onder het
mom van 'ze moeten eerst nog langs de bewaking in de hal van
het bedrijf'.

Oja, een telefoontje naar het zelfde bedrijf om door te
geven dat meneer X van bedrijf Y later arriveerde dan
afgesproken deed wonderen, de beveiliging werkte erg goed
mee om meneer X zo snel mogelijk toegang te verschaffen tot
het gebouw om tijdwinst te boeken voor zijn/haar verlate
afspraak.
Dit terwijl meneer X geen afspraak had!

Toegang tot gebouwen mag nimmer door 1 peroon geregeld
worden, juist daar moet men al beginnen met 2 of 3 lagen van
beveiliging. Beveiliger 1 ontvangt de bezoeker en meld dit
aan beveiliger 2 die de afspraak controleert en bevestigd
aan beveiliger 1 welke het dan overdraagt aan beveiliger 3
die de bezoeker begeleid naar zijn/haar afspraak locatie.
Uiteraard word de bezoeker bij vertrek ook weer naar de
centrale hal begeleid door de medewerker of beveiliger.
(Deze methode word inmiddels al door verschillende
ondernemingen toegepast)

B

Zolang bedrijven brakke PBX/VoIP systemen gebruiken die
'eenvoudig' gemanipuleerd kunnen worden kan een
buitenstaander zich telefonisch voordoen als een manager en
een bezoek afspraak laten noteren bij de beveiliging. Menig
PBX is slecht of helemaal niet beveiligd voor aanvallen van
buitenaf....

Of je bent een monteur die in een gezamelijk pand waar meerdere
bedrijven zijn gevestigend bezig. Dan is het soms ook wel nodig dat je
weer en loopt tussen de verschillende bedrijven. Dan is men vaak ook
naief, men zal niet even controleren bij het bedrijf wat een etage hoger zit of
het wel waar is het die monteurs zeggen. Of de patchruimte is wel op
fysiek op slot, maar de meterkast waar bij kleine bedrijven vaak router
hangt is niet op slot.

Ik kan je uit de praktijk melden dat het bij zowel grote als
kleine bedrijven over het algemeen juist heel makkelijk is
om binnen te komen. Vanuit m'n werk kom ik op heel veel
plaatsen en als je maar vriendelijk lacht en goedemorgen
roept dan wandel je zo verder. Uiteraard werkt dat niet bij
een portier waar je jezelf zou moeten melden, maar er zijn
tal van deuren die bij bedrijven open staan (denk eens aan
een expeditie bijvoorbeeld) en zolang je dus maar gewoon
doet of het de normaalste zaak van de wereld is dat jij daar
binnen loopt is er geen hond die je aan zal spreken. Het
gaat om de achteloosheid waarmee je naar binnen loopt, want
als je om je heen gaat kijken of je niet betrapt wordt gaat
het al snel mis.

Een voorbeeld? Bij een niet nader te noemen hele grote
aannemer in het zuiden van het land stond ik bijvoorbeeld
binnen 5 minuten in de serverruimte van het bedrijf door
simpel even naar een wc te vragen. Natuurlijk dient zo'n
ruimte afgesloten te zijn, dus daar zit het dan ook al
scheef maar degene die me de weg wees vroeg verder helemaal
nergens naar en ik liep dus zo naar binnen. Zo kan ik nog
tal van voorbeelden noemen, maar het gaat even om het idee
en om dan te zeggen dat het in Nederland bijna niet mogelijk
is... tsja... dan hoop ik dat je niet voor de beveiliging
van een bedrijf hoeft te zorgen want dan zie je een heleboel
dingen over het hoofd ben ik bang...

Gr. Fabienne.

Zoals ik al zei is dat afhankelijk van het beveiligings bedrijf het bedrijfs
mangement.Vaak is personeel zelf te laks zich aan beveiligings
regels te houden en dan vergeten dat ze op die manier het makkelijker
maken voor een een persoon die andere bedoelingen heeft.Dan zou een
portier dus ook minder snel toegangs controle toepassen en kan je
gewoon na binnen lopen.

Maar toch is er wel een verschil van iemand die in het bedrijfs leven werkt
weet ook alle wegen in het gebouw.Voor iemand die alleen achter een pc
zit en nooit in een kantoor gewerkt heeft zou al veel eerder door de mand
vallen.Dit is net zo met het aanmelden voor een afspraak.Iemand die niet
weet hoe die procedures werken wordt het al een stuk moeilijker.

Hieruit kan je dus ook opmaken dat mensen die aan social ingeneering
doen vaak zelf werkzaam waren in een kantoor en zo ook makkelijker
een portier kunnen bedriegen omdat ze de procedures kennen.

Ik hou er echt van ... tja je moet je personeel gewoon erop trainen vind ik
en een social engineer die coldreading onder de knie heeft kan met een
communicatie toegang krijgen tot welke systeem dan ook. Trouwens de
ISP's in Nederland zijn hiervoor kwetsbaar met een goed verhaal kun je
zeker je eigen wachtwoord achterhalen probeer het maar eens.

Wat ik niet begrijp in dit artikel is de link naar fysieke beveiliging. Iemand
die een gebouw binnen dringt en met een babbeltruc pleegt oplichting.
Hoezo "Social Engineering"?

Dan toch even een reactie van een "ervaringsdeskundige" ;)

Camera's zijn écht het laatste waar we ons druk over maken.
Over het algemeen worden CCTV beelden niet live bekeken, en voor zover
ze dat wél worden weet de centralist of operator vaak helemaal niet wát hij
zou moeten zien of juist niet....

De grootste hindernis die we moeten nemen is het krijgen van toegang tot
het gebouw.

Bij de meeste bedrijven zou er kunnen worden volstaan met een
telefonische controle naar de (vermeende) gastheer, op een moment dat
een "gast" zich meldt bij uw receptie/ toegang/ laadperron/ enz...
Wij zouden keihard door de mand vallen als al onze beweringen gewoon
even telefonisch werden gecontroleerd, kleine moeite toch?


Oversight

Jah dat klopt als je het modem adress en wachtwoord wil weten van een
persoon hoef je alleen maar de providers op te bellen net zo lang tot je de
juiste hebt en dan te vragen of ze je wachtwoord kunnen resetten omdat je
wachtwoord vergeten bent. En dan iets met "Mag ik u een rare vraag
stellen ziet u toevallig ook wat voor ip ik heb ben namelijk een router aan
het configureren en kan ik die gelijk even invoeren op de router" .

Moet u maar eens in de bedrijf proberen waar u werkt:

Goede morgen spreek ik met de administratie?

Ik hoop dat ik gelegen uitkom u spreekt met Karel Koolstra ik ben gehuurd
om de netwerk te updaten zo te zien is mijn collega ... [de naam van de
systeem beheerder] op dit moment afwezig.

Ik ben bezig met het upgraden van de database maar in dit nieuwe
systeem kunnen er een paar karakters niet voorkomen?

is het goed als ik het nu gelijk probeer dan bespaard u mij tijd.

wat is uw gebruikers naam ?

moment ok gevonden

wat is uw wachtwoord ok het werkt de systeem blijft ongewijzigd voor u
maar de server is geupdate bedankt voor uw medewerking.

goede dag

dit werkt echt :) ik heb nu een soort dialoog geschreven maar veel mensen
zijn gevoelig en als je de vertrouwen wint krijg je de gevraagde informatie

Hehehe of iets onzinnigs vanwege Terrorisme bestrijding doen wij
onderzoek na het veiligheids niveau in ons bedrijft heeft u even tijd?
Ok mag ik wat vragen wat u email gebruikers naan en wachtwoord is?
wilt u dan zo vriendelijk te zijn na start run cmd in te voeren en dan ipconfig?
en dan het ip adress voor te lezen.

Dank u wel voor u medewerking en fijne werkdag verder voor meer
informatie kan u altijd onze ictérs bellen voor als u iets verdachts op merkt.
ons telefoon nr is... afdeling ict en tot ziens!