image

Complimenten openen deuren voor social engineer

vrijdag 13 september 2013, 10:28 door Redactie, 0 reacties

Het geven van complimenten is een goede tactiek voor social engineers die waardevolle informatie van hun slachtoffers proberen los te peuteren. Dat blijkt uit de resultaten van de Social Engineering Challenge, die voor de tweede keer door Sogeti werd georganiseerd.

Social Engineering is het manipuleren van een slachtoffer om deze vrijwillig een gecontroleerde actie te laten uitvoeren of om bij het slachtoffer (gevoelige) informatie los te krijgen. Deelnemers aan de wedstrijd moesten bij 25 organisaties uit de Top 500 Nederlandse bedrijven gegevens te zien achterhalen, zowel via internet als door de bedrijven te bellen. De bedrijven die deelnamen hadden zichzelf aangemeld.

De informatie die moest worden gezocht bestond uit welk besturingssysteem, browser, e-mailclient en PDF-lezer het bedrijf gebruikt, wat de URL van het intranet is, de naam van het interne draadloze netwerk en de namen van de cateraar, fysieke beveiliger, archiefvernietiger en IT-serviceorganisatie. Informatie die voor verdere aanvallen te gebruiken is.

Complimenten

Uit de resultaten blijkt dat het nog altijd relatief eenvoudig is om gegevens boven water te krijgen. Vleierij is de meest effectieve manier om informatie los te krijgen, aldus Sogeti. "Het geven van complimenten werd goed ontvangen en hielp in een aantal gevallen duidelijk om, waar een gesprek eerst nog wat moeizaam verliep, het gesprek open te breken."

Ook het bewust maken van een vergissing of het laten vallen van stiltes bleek effectief te zijn. Waar een deelnemer aan de Challenge begon met 'jullie cateraar is toch ...’, werd dit door het 'slachtoffer' plichtsgetrouw verbeterd dan wel ingevuld. Vragen werden door medewerkers zoveel mogelijk beantwoord en als men het even niet wist, werden instructies voor het achterhalen van de informatie gewillig opgevolgd.

"In deze gesprekken was het gebrek aan IT-kennis of de beperking in systeemrechten vaak de beperkende factor om meer aan de weet te komen. Hieruit blijkt eens te meer dat mensen het moeilijk vinden om 'nee' te zeggen", aldus het rapport met de resultaten. Daarin staat verder dat securitybewustzijn bij het personeel veruit de belangrijkste manier is om social engineering tegen te gaan.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.