image

Security Tip van de Week: wees alert op social engineering

maandag 11 maart 2013, 11:43 door Paul Judge, 10 reacties

In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.

Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.

Deze week de tip van Paul Judge

Social engineering: de gebruiker is de zwakste schakel in je beveiliging
Tegen social engineering is geen firewall of andere geavanceerde beveiligingsoplossing bestand. Het gaat er bij deze manier van hacken namelijk om dat de indringer binnenkomt bij een bedrijf via een gebruiker en daarmee alle IT-beveiliging omzeilt. Voorbeelden van deze persoonlijke manier van hacken zijn recente inbraken bij de New York Times en Washington Post. Vrij Nederland testte naar aanleiding van die hacks de eigen redactie om te laten zien hoe gemakkelijk het is om journalisten aan te vallen door middel van een simpele e-mail.

Dankzij internet ligt steeds meer persoonlijke informatie op straat, waardoor social engineers hun slag kunnen slaan door zich voor te doen als iemand anders en te doen alsof ze hun ‘slachtoffer’ kennen. Social engineers richten hun pijlen graag op bedrijven en doen dat via telefoon, het web, maar ook face-to-face. Hieronder volgen een aantal tips om de kans dat je bedrijf de dupe wordt van zo’n aanval te verkleinen.

Telefonisch contact:

  1. Vertel aan niemand je wachtwoorden (geldt ook voor internet en fysiek contact);
  2. Deel geen gevoelige bedrijfsinformatie met anderen, tenzij je de persoon aan de andere kant van de lijn persoonlijk kent. Ook als de beller zegt dat hij/zij een hogere positie heeft binnen het bedrijf, check dat dan eerst met je eigen leidinggevende;
  3. Geef de bovenstaande adviezen aan je collega’s als je vermoedt dat zij ook benaderd worden door dubieuze figuren.

Internet:
  1. Wees voorzichtig met URL’s op het web of in je e-mail. Beweeg voordat je klikt met je muis over de link om te zien of de link ook echt naar het betreffende adres leidt, of typ het adres zelf in plaats van er op te klikken;
  2. Pas op met afwijkende e-mails in je inbox, bijvoorbeeld van een onbekende afzender. Wanneer je antwoordt, check dan altijd de inhoud van je mail en de ontvangers in de cc. Als je een van de ontvangers niet kent, stuur dan niet zomaar gevoelige informatie toe.

Fysiek:
  1. Zorg voor toegangspasjes voor alle werknemers;
  2. Vraag alle bezoekers van je bedrijf zich te identificeren bij binnenkomst en geef hen een tijdelijke toegangspas;
  3. Licht je frontdeskmedewerkers of salesmedewerker in over social engineering, want zij zijn directe doelwitten;
  4. Laat afval, zoals oud papier en hardware, veilig verwerken zodat je social engineers geen reden geeft om in je afvalcontainers rond te snuffelen en alsnog gevoelige informatie op te duiken.

Verder geldt de algemene regel dat je altijd licht argwanend mag zijn wanneer een onbekend persoon contact met je opneemt, via welke weg dan ook. Hou er rekening mee dat social engineers zelfs in kroegen kunnen toeslaan, dus wees alert wanneer iemand zich aan de bar voordoet als salesmedewerker en wel héél erg geïnteresseerd is in je bedrijf.

Uiteindelijk is bewustwording over social engineering de beste manier om het tegen te gaan. Ga dus vooral - gewapend met bovenstaande tips - met je werknemers of leidinggevende in gesprek over hoe je dit binnen je bedrijf voor elkaar krijgt.

Paul Judge is hoofdonderzoeker van Barracuda Labs.

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Reacties (10)
11-03-2013, 11:58 door [Account Verwijderd]
[Verwijderd]
11-03-2013, 12:48 door Anoniem
Ja, zo moet dat in de Brave New Internet World. Waar zijn we toch in beland, jongens? Het zou mij niets verbazen wanneer een jongere generatie de kont tegen de krib gooit en die hele IT naar de hel wenst.
11-03-2013, 17:49 door Anoniem
Eigenlijk best verbazingwekkend dat mensen nog steeds met open ogen in sociale engineering trappen.
Dit bestaat al 100-en jaren. Welliswaar een offline versie (stuur een mooie vrouw op je mannelijk doelwit af en andersom) maar toch.
Als kind wordt je geleerd geen dingen van vreemden aan te leren maar online worden al die regels weer vergeten.
11-03-2013, 21:58 door swake
Pas op met afwijkende e-mails in je inbox, bijvoorbeeld van een onbekende afzender. Wanneer je antwoordt, check dan altijd de inhoud van je mail en de ontvangers in de cc. Als je een van de ontvangers niet kent, stuur dan niet zomaar gevoelige informatie toe.

Zelf ga ik nooit meerdere ontvangers in cc: plaatsen, maar in Bcc: Ik ga ook nooit de optie gebruiken "Allen beantwoorden".
12-03-2013, 00:26 door Anoniem
Ja dat is heel verstandig.
Ik stel het zeker niet op prijs als anderen mijn email adres zien omdat iemand c.c gebruikt i.p.v. b.c.c.
Doordat 1 van mijn vrienden alles met c.c. verstuurde, kreeg ik rare mailtjes van 1 van zijn (vage) kennissen.
12-03-2013, 09:00 door Anoniem
Zorg dat je je data secure hebt, niet de werkplekken.
Dan kun je meteen ook vanaf alle werkplekken werken (BYOD).
Breng 2 laags authenticatie binnen en een knap virus wat iets te vertellen heeft.

De bovengenoemde kranten zijn, kuch, laat ik op z'n zachts zeggen 'lang leve de lol netwerken'...
Een 8 jarige scriptkiddie kan daar nog wel binnen komen.

Bovendien denk ik dat heel veel medewerkers inderdaad denken 'de firewall houdt alle bad guys wel tegen'.
Maar dat komt omdat noob-ICTers dat altijd hebben geroepen.
Virusscanner houdt alle virussen tegen, de firewall alle hackers, dus waar moeten we ons nog druk om maken....

Ik denk dat gewoon het engineren van medewerkers en ze het laten zien een van de weinige manieren is om ze duidelijk te maken welke schakel zij zijn.
12-03-2013, 14:02 door Anoniem
Dit heeft weinig met Brave New World te maken, lees eerst je literatuur maar eens. Wat je met Brave New Internet World bedoeld in reactie op dit topic is me dan ook niet duidelijk. Dit topic gaat over bewustzijn creëren over de gevaren van social engineering. Het is in dit artikel toegespitst op bedrijven maar kun je net zo goed op je thuissituatie toepassen.
Kijk eerst eens op https://nl.wikipedia.org/wiki/Brave_New_World_(roman) en/of lees het boek.
12-03-2013, 15:54 door Mozes.Kriebel
Nog zo'n leuke: LinkedIn die je je mail wachtwoord vraagt om je adresboek te checken op potentiële contacten.... Brrr.
En dan de geruststellend bedoelde woorden: "Your contacts are safe with us! We'll import your address book to suggest connections and help you manage your contacts. And we won't store your password or email anyone without your permission." Yeah right.
12-03-2013, 16:13 door Anoniem
de foto op deze link alleen al spreekt boekdelen
13-03-2013, 08:39 door Ed Dekker
Goed verhaal.

Internet:
Wees voorzichtig met URL’s op het web of in je e-mail. Beweeg voordat je klikt met je muis over de link om te zien of de link ook echt naar het betreffende adres leidt, of typ het adres zelf in plaats van er op te klikken;
En in dit verhaal staan 3 URLs, maar die zijn natuurlijk volstrekt betrouwbaar :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.