Nieuws

Hyves goudmijn voor social engineers

maandag 27 september 2010, 10:15 door Redactie, 7 reacties

Sociale netwerksites als Hyves en LinkedIn bieden social engineers tal van mogelijkheden om vertrouwelijke bedrijfsinformatie te achterhalen, aldus Sharon Conheady. Conheady is directeur van First Defence Information Security en geeft op donderdag 4 november tijdens de Infosecurity beurs een lezing over 'Social Engineering and Social Media'. Security.nl sprak met de Britse social engineer, die regelmatig zelf de telefoon pakt en naar eigen zeggen nog nooit een opdracht heeft gefaald.

"Het is onvoorstelbaar hoeveel informatie mensen op sociale netwerksites zetten en daar kunnen social engineers misbruik van maken", stelt Conheady. Daarbij lopen niet alleen bedrijven risico, ook voor thuisgebruikers is het oppassen. Ze doelt dan op websites als Pleaserobme.com, die aan de hand van Twitter-berichten bijhouden wanneer iemand op vakantie is. Informatie die het wel heel eenvoudig voor inbrekers maakt om langs te komen.

De waarschuwingen voor social engineering gaan terug voordat het internet populair was. Het lijkt er echter op dat de meeste bedrijven en mensen zich meer zorgen over standaard webaanvallen en malware maken, dan listige social engineers die via de telefoon proberen binnen te dringen. Volgens Conheady zijn er wel degelijk voorbeelden van succesvolle social engineering-aanvallen, zoals met Google het geval was. De aanvallers hadden het voorzien op vrienden van Google-werknemers. De overgenomen Facebook accounts werden vervolgens gebruikt om de Google-werknemers naar een kwaadaardige website met IE6 exploit te lokken. Ook veel gerichte PDF-aanvallen zijn op social engineering gebaseerd en doen zich voor als e-mail van een kennis, bedrijfscontact of overheidsinstantie.

Pizza
De Britse kijkt regelmatig op sociale netwerksites wat mensen allemaal achterlaten, zoals geboortedatum, waar ze werken en sporten en allerlei persoonlijke voorkeuren. Conheady voerde één keer een social engineering-aanval uit bij iemand die zijn geboortedatum en favoriete pizza had vermeld. Op zijn verjaardag stuurde de Britse hem een e-mail met als bijlage zogenaamd een kortingsbon voor een pizza.

Kevin Mitnick maakte social engineering via de telefoon wereldberoemd. Conheady verwacht dat aanvallers de telefoon nog steeds zullen gebruiken, maar sites als Facebook en LinkedIn zeker zullen meenemen. "Je hebt zo'n grote groep om aan te vallen als je sociale netwerksites gebruikt."

Zowel voor bedrijven als eindgebruikers is het lastig om social engineering af te vangen. Van werknemers wordt verwacht dat ze meegestuurde bijlagen openen, zonder dat het verplicht is om eerst de headers van het bericht te controleren. Toch kan personeel trainingen volgen of zelfs via een live social engineering-aanval getest worden. Voor bedrijven die zich zorgen over social engineering maken adviseert Conheady om eens met alle werknemers bij elkaar te gaan zitten en een brainstorm te houden over hoe zij het bedrijf zouden aanvallen. "Zij kennen je organisatie van binnenuit en bedenken vaak zeer interessante manieren om je informatie te compromitteren."

Maar wie informeert de achteloze thuisgebruikers voor de problemen die ze door hun eigen gedrag veroorzaken? "Het informeren van thuisgebruikers is heel lastig en ik weet niet wie daarvoor verantwoordelijk is. Mensen moeten beseffen dat alles wat ze online plaatsen tegen hen te gebruiken is", aldus Conheady. Ze zou graag zien dat de overheid iets aan voorlichting gaat doen. "Als je het tot de ISP beperkt, heb je nog altijd social engineering over de telefoon. Wat gaat een provider daar aan doen?"

USB-sticks
Ze merkt op dat niet alle aanvallen via e-mail lopen. "Je kunt ook USB-sticks op de stoep voor het bedrijf achterlaten. "Neem bijvoorbeeld een USB-stick met een sticker waarop staat dat het de salarisgegevens van alle werknemers bevat. De meeste mensen vinden dat moeilijk om te weerstaan." Een aanval die Conheady zelf ook heeft toegepast. "Je laat wat USB-sticks bij de kopieermachine of op het toilet achter en je staat versteld over het aantal dat wordt ingeplugd. In andere gevallen deed ze zich voor als een schoonmaakster en kon zo bij bedrijven binnen wandelen.

Tijdens de Defcon conferentie werd bekend dat vrouwen lastig te social engineeren zijn, terwijl ze aan de andere kant als social engineer eenvoudiger informatie bij mannen kunnen lospeuteren. Een beeld dat Conheady niet herkent. "Het is van pretext en scenario afhankelijk dat je voor je aanval gebruikt. Als telecom engineer zou ik er toch behoorlijk verdacht uitzien." Toch is de Britse geen tegenstander van social media, omdat het zowel voor bedrijven als thuisgebruikers voordelen biedt. "Je kunt niet meer zeggen dat men geen social media moet gebruiken. Mensen moeten daarom beseffen en bewust zijn van wat ze online plaatsen en welke gevolgen dit kan hebben."

Wil je meer informatie over het programma of je gratis aanmelden voor de beurs, ga dan naar Infosecurity.nl.

Gevangenisstraf voor Comcast-hackers

Iran ontkent Stuxnet-aanval op kernreactor

Reacties (7)

27-09-2010, 10:46 door Anoniem

"Sociale netwerksites als Hyves en LinkedIn bieden social engineers tal van mogelijkheden om vertrouwelijke bedrijfsinformatie te achterhalen, aldus Sharon Conheady."

Nou dat vind ik dan wel weer erg verbazingwekkend.

27-09-2010, 11:37 door xy22

Een waarschuwing extra kan nooit kwaad, zeker niet van een professional als Conheady; er vliegen nog steeds mensen in.

De waarschuwingen voor social engineering gaan terug voordat het internet populair was.Het lijkt er echter op dat de meeste bedrijven en mensen zich meer zorgen over standaard webaanvallen en malware maken, dan listige social engineers die via de telefoon proberen binnen te dringen.

Vraag me alleen wel af wat precies de toegevoegde waarde is, op een site als Security.nl na:
- http://www.security.nl/artikel/17830/1/Besmette_Windows_update_verspreid_via_MySpace.html
- http://www.security.nl/artikel/29889/1/Afgeschermde_Facebook_profielen_lekken_priv%C3%A9gegevens.html
- http://www.security.nl/artikel/30327/1/Facebook_schendt_privacy_gebruikers.html
- http://www.security.nl/artikel/19082/1/%22Hyves-bezoekend_kantoorpersoneel_risico_voor_baas%22.html
enz. enz.
Ook al waarschuw je eindeloos, mensen blijven de fout ingaan. Nieuwsgierigheid zit in de aard van het beestje ;)

27-09-2010, 12:06 door Anoniem

Zo dan! Is de commissie Open Deur langs geweest?

27-09-2010, 13:43 door Preddie

Door xy22: Een waarschuwing extra kan nooit kwaad, zeker niet van een professional als Conheady; er vliegen nog steeds mensen in.

Zo lang er domme mensen zijn die er gebruik van maken blijf je dit soort berichtgeving krijgen. Maar zoals in zoveel in de Security moet er flink wat fout gaan voordat mensen maatregelen treffen. Het is een standaard gegeven dat ik bij veel mensen en bedrijven tegen kom.
Eerst is beveiliging niks voor hun, ze zijn immers nog nooit slachtoffer geworden. Het beveiligingsniveau op dat moment is schrikbarend laag, vervolgens vind er een incident plaats waardoor in eens de persoon of organisatie overbeveiligd moet worden. Vervolgens zakt het bewust zijn weg naar het oude niveau naarmate er geen incidenten plaats vinden tot dat het hele verhaal zich weer herhaald .....

27-09-2010, 13:45 door Anoniem

"Zowel voor bedrijven als eindgebruikers is het lastig om social engineering af te vangen. Van werknemers wordt verwacht dat ze meegestuurde bijlagen openen, zonder dat het verplicht is om eerst de headers van het bericht te controleren."

Dit zou je dan ook moeten vereenvoudigen. Het is heel simpel om email programma's zo aan te passen dat informatie uit de header gebruikt wordt om aan de gebruiker te laten zien uit welk land, en van welke organisatie een email afkomstig is.

Indien je email client aangeeft dat een email, welke ogenschijnlijk afkomstig lijkt te zijn van een collega in Amsterdam, in werkelijkheid verstuurd is door iemand in Rusland of China, dan zou er toch een belletje moeten gaan rinkelen. Of indien een email welke door een collega verstuurd wordt niet door de mailserver van je werk, maar door de mailserver van een heel andere provider is verwerkt.

Deze suggestie ligt bij de product development afdeling van Microsoft, dus ik hoop dat ze dit idee ook daadwerkelijk gaan implementeren om de effectiviteit van (spear-) phishing tegen te gaan. Biedt gebruikers de juiste informatie op een toegankelijke manier, zodat zij beter geinformeerd zijn. Geen enkele gebruiker zal bij iedere email de headers gaan bekijken, ongeacht of je zo'n controle wil verplichten in een beveiligingspolicy.

27-09-2010, 18:27 door Dev_Null

Myspace, Hyves, Facebook, Msn, Twitter....
De grootste en best georganiserde vorm van digitale vrijtijd vernietiging die je je maar kunt bedenken.

27-09-2010, 23:40 door Anoniem

En wat hebben we nu op Hyves voor de domme gebruikers ?

Het "Hyves Ranking Game-bordspel"

Vul nog meer gegevens in , natuurlijk ook van je vrienden ...

(gerichte gegevens-vergaring en duistere doeleinden.)

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer