image

Security professionals trappen in social network scam

vrijdag 8 augustus 2008, 11:54 door Redactie, 13 reacties

Niet alleen thuisgebruikers zijn via nepprofielen op sociale netwerksites te misleiden, ook mensen die als IT-beveiliger werkzaam zijn lopen risico. Onderzoekers demonstreerden tijdens de Black Hat conferentie in Las Vegas hoe ze met een zelf gemaakt profiel van firewall expert Marcus Ranum, het vertrouwen van talloze mensen wisten te krijgen, waaronder de zus van Ranum. Het profiel werd eerst gevuld met publiekelijk beschikbare informatie. De tweede stap bestond uit het vinden van mensen die iedereen aan hun vriendenlijst toevoegen. Op deze manier lijkt het nepprofiel toch legitiem. Als laatste zochten de onderzoekers een groep van security professionals.

Binnen een dag wisten ze meer dan 50 nieuwe vrienden te maken, waaronder chief security officers van grote ondernemingen en mensen die voor het Amerikaanse leger werken. "We waren verrast door het niveau van vertrouwen dat we aantroffen. We hadden niet verwacht zo succesvol te zijn," aldus Shawn Moyer. "Iedereen van deze mensen zou zonder problemen op een malware site hebben geklikt of ons profiel met een Trojaans paard hebben bekeken."

Volgens Nathan Hamiel, die ook aan het onderzoek meewerkte, is dit vertrouwen handig om mensen onbetrouwbare applicaties uit te laten voeren. In plaats van het misbruiken van lekken in applicaties, kunnen aanvallers zich als een betrouwbare bron voordoen en programma's aanbevelen die in werkelijkheid kwaadaardig zijn. "In plaats van uren, dagen of maanden te besteden om Javascript op computers uit te voeren, vroegen wij het gewoon."

Het probleem speelt in principe bij alle sociale netwerksites. Gebruikers wordt daarom geadviseerd om op te letten bij het verifieren van de mensen die ze als vriend toevoegen.

Reacties (13)
08-08-2008, 12:23 door Anoniem
En wat is nou het enorme risico als er iemand met een nep profiel in je social
network terecht zou komen ? Het is niet alsof je iedereen in zo'n netwerk
per definitie vertrouwd ofzo. Wat dat betreft is het niet veel boeiender als
iemand die ten onrechte in mijn Outlook address book terecht komt, of in
een IM contact lijst, zolang het niet iemand betreft waarvan je veronderstelt
deze persoonlijk te kennen, en waar je verder vertrouwelijke informatie mee
uitwisselt.
08-08-2008, 12:24 door Hot Burmees
Gelukkig heb ik geen vrienden ;)
08-08-2008, 12:45 door Anoniem
Of te wel, claim zo veel mogelijk social network logins die naar jou te
herleiden zouden zijn. Dit verkomt dat mensen het kapen en zich voor jou uit
geven.
08-08-2008, 13:01 door Anoniem
Zo zie je maar, de zwakste schakel is nog altijd de mens.
Het besturingssysteem komt op de tweede plaats.
08-08-2008, 14:29 door Anoniem
Zoals mijn voorganger terrecht opmerkt, de mens is en blijft de zwakste
schakel. Internet awareness training zou ook in Nederland net zoals in de VS
op veel plaatsen het geval is een verplichte training moet zijn die deel uitmaakt
van het Internet en email protocol. We leren onze kinderen op MSN toch ook
dat ze iemand pas mogen toevoegen als ze deze persoon in de " echte"
wereld ook kennen.
08-08-2008, 15:21 door [Account Verwijderd]
[Verwijderd]
08-08-2008, 15:28 door Anoniem
Door Anoniem
Zo zie je maar, de zwakste schakel is nog altijd de mens.
Het besturingssysteem komt op de tweede plaats.


idd, duidelijk PICNIC's (Problem in Chair, Not in Computer)
08-08-2008, 16:29 door Anoniem
Volgens mij ligt hier toch het probleem aan de kant van de het
besturingsysteem. Als ik in de echte wereld iemand tegenkom die ik denk te
vertrouwen geef ik toch echt niet gelijk de sleutel van mijn huis zodat hij er in
rond mag snuffelen. Dus als er door zoiets simpels als rondbrowsen op het
internet een Trojan op je pc kan komen vind ik dat toch echt een probleem van
de browser/besturingssysteem
08-08-2008, 17:00 door Anoniem
Door rookie
Security professionals met een profiel op een sociale
netwerk site zijn geen professionals!

Hier kan en moet ik me bij aansluiten, als je echt iets
betekent in die wereld wil je natuurlijk het liefst
'anoniem' zijn, er is namelijk een aannemelijk risico dat
b.v. je kinderen worden ontvoert om jouw te chanteren.....
Een echte security pro. zal zich dus inderdaad nooit
dusdanig profileren.
Dat hij een account als gekke-gerrit53 op een tuiniers site
heeft is daarentegen wel weer goed mogelijk... ;)
09-08-2008, 12:30 door Anoniem
Klopt, we zijn in IB-land een beetje doorgeschoten in het ligt altijd alleen aan
de 'mens-als-gebruiker-mantra'. Het is nog steeds een balans tussen mens
en machine. De ene keer iets meer richting mens de andere keer naar
machine.
09-08-2008, 18:05 door Anoniem
Door rookie
Security professionals met een profiel op een sociale
netwerk site zijn geen professionals!
er zijn ook sociale netwerken voor professionals hoor ;)

oh nee, helemaal vergeten, IT professionals zijn niet sociaal :D
11-08-2008, 08:37 door [Account Verwijderd]
[Verwijderd]
12-08-2008, 20:26 door Anoniem
Door rookie
Door Anoniem
Door rookie
Security professionals met een profiel op een sociale
netwerk site zijn geen professionals!
er zijn ook sociale netwerken voor professionals hoor ;)

oh nee, helemaal vergeten, IT professionals zijn niet
sociaal :D

Die sociale netwerken voor professionals zijn een twijfel
geval, maar toch is het beter om daar ook weg te blijven,
want hoe minder je gevonden wordt op internet hoe meer
credits je krijgt tijdens een sollicitatie.
ja klopt wel, was ook maar een grapje, maar voor ICTers is
het wel goed om ongezien te blijven, net zoals ik nooit mijn
eigen naam gebruik op het net, zelfs het hebben van een
mening werkt je tegen bij sollicitaties...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.