image

Financiële crisis maakt banken kwetsbaar voor social engineering

donderdag 9 oktober 2008, 14:17 door Redactie, 0 reacties

De financiële crisis zorgt ervoor dat banken kwetsbaarder zijn voor social engineering en spear-phishing aanvallen, zo beweren onderzoekers. Vanwege de problemen is het makkelijker om angstig bankpersoneel te misleiden. Die zijn bijvoorbeeld eerder geneigd om met 'auditors' samen te werken of op linkjes in e-mailberichten over de status van de eigen bank te klikken. "Het is zeker eenvoudiger om sommige van deze client-side aanvallen uit te voeren, omdat bankpersoneel meer aandacht besteedt aan interne e-mails over de financiële status van de bank," aldus pentester Chris Nickerson.

Nickerson voert social engineering aanvallen uit en haalde voorheen een succesratio tussen de 60 tot 70 procent, maar weet nu ruim 70% van het personeel via de telefoon om de tuin te leiden. Ook David Maynor bevestigt dat het uitvoeren van aanvallen op de fysieke beveiliging eenvoudiger is geworden. Vorige week werd hij voor een federale auditor aangezien en kreeg toegang tot het lege kantoor van een manager. Hij wist een backup tape met transactiegegevens mee te nemen. Niemand vroeg hem om legitimatie, iedereen ging ervan uit dat hij een auditor was. "Er is een groot gevaar dat iedereen die een bank binnenloopt en zich als federale auditor voordoet, het personeel dan in paniek raakt en niet meer de credentials controleert."

Sommige social engineers zijn bang dat criminelen zich straks op de angstige bankmedewerkers zullen storten. Niet alleen via de telefoon, maar ook via spear-phishing aanvallen waarbij men kwaadaardige bijlagen inzet. "Het probleem met spear-phishing is dat we geen goede technologie of middelen hebben om het te stoppen. Daardoor zijn we overgeleverd aan het oordeel van de gebruiker, wat niet verstandig is, tenzij ze weten hoe deze aanvallen werken en waar ze op moeten letten," merkt Joshua Perrymon op.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.