Security Professionals - ipfw add deny all from eindgebruikers to any

Social Engineering

14-06-2015, 17:54 door Social-, 22 reacties
De reden dat toch ongewenste personen toegang krijgen tot systemen, is volgens Manske te wijten aan psychologische zwaktes in de mens waarop SE-aanvallers inspelen en onvoldoende verdediging hiertegen vanuit informatiebeveiliging.

Mensen die deze technische controles proberen te omzeilen, gebruiken methoden om zich anders voor te stellen in combinatie met emoties van hun slachtoffer om zo uiteindelijk toegang te krijgen tot informatie. Met andere woorden social-engineers lokken sterke emoties uit bij hun slachtoffers, voldoende zodat deze zich gedwongen voelt om informatie te overhandigen en daarbij behorende procedures over te slaan Thornburg. Rusch beschrijft dit als de “mental shortcut”, het slachtoffer heeft voor zichzelf voldoende onderbouwing om tot actie over te gaan.

Mijn vraag is nou de bewustwoording van de mens het probleem van Social Engineering of wat anders?
Reacties (22)
14-06-2015, 19:10 door Ralvo - Bijgewerkt: 14-06-2015, 19:15
Social engineering is feitelijk gebruik maken van de zwakheden van mensen. Het verleiden om te klikken op dubieuze linkjes, het afgeven van wachtwoorden en inlogcodes en meer van dat soort dingen.

Als je pech hebt, kan een goede Social Engineer gewoon met een goede smoes je kantoorgebouw binnenlopen en toegang krijgen tot kantoren en zelfs de serverruimte.

Het gaat hierbij niet eens om het uitlokken van sterke emoties bij de slachtoffers, maar eerder om het succesvol opvoeren van een toneelstukje. Verkleed jezelf eens als schoonmaker en zie vervolgens hoe makkelijk je overal binnenkomt. Mensen houden zelfs de lift voor je open. TV-programma's als Rambam zijn daar een mooi voorbeeld van. Met relatief weinig moeite en middelen lopen ze gewoon bijna overal binnen en krijgen daar zelfs een lintje voor, ;)

Social engineering is een "spelletje" dat draait om het uitbuiten van de goedgelovigheid van mensen. En daar kun je dus verdomd ver mee komen.

Ik denk dat de mens zich er te weinig bewust van is dat hij/zij gemakkelijk het slachtoffer kan worden van social engineering.
15-06-2015, 23:37 door Social-
Ralvo bedankt voor je reactie heb je een mail waar ik je op kan bereiken?

Gr.
Student_
15-06-2015, 23:53 door Anoniem
Door Ralvo:
Social engineering is een "spelletje" dat draait om het uitbuiten van de goedgelovigheid van mensen. En daar kun je dus verdomd ver mee komen.
Door student_84: Ralvo bedankt voor je reactie heb je een mail waar ik je op kan bereiken?

Gr.
Student_
Door student_84: Ralvo bedankt voor je reactie heb je een mail waar ik je op kan bereiken?

Gr.
Student_
Door student_84: Ralvo bedankt voor je reactie heb je een mail waar ik je op kan bereiken?

Gr.
Student_

Wat dacht je, ik probeer het meteen in de praktijk toe te passen op Ralvo?
16-06-2015, 00:03 door [Account Verwijderd]
Één reactie was beter geweest om je standpunt te bewijzen. 3 Maakt het "too obvious".
16-06-2015, 15:44 door Anoniem
Social engineering is iemand zó bespelen dat hij/zij gaat doen wat je verlangt. Het is al ouder dan de weg naar Rome.
's Werelds eerste social enginering werd toegepast door de "sprekende slang": zie het bijbelboek Genesis, hoofdstuk 3.

Ongeacht of het in Genesis 3 nu wel of niet geschiedenis betreft, kunnen mensen er veel van leren.
Want het algemene patroon van iemand die social engineering toepast, is hier immers duidelijk in te herkennen:
stap 1: Iemand (liefst met weinig kennis en ervaring) enigszins overdonderen en voldoende vertrouwen winnen
stap 2: Listige leugens (halve waarheden) gebruiken
stap 3: Inspelen op iemands begeerte en/of eergevoel, en op reeds bestaande relaties

Herken dus het patroon en trap er niet in. Een gewaarschuwd mens telt voor twee.
16-06-2015, 16:24 door Anoniem
Mijn vraag is nou de bewustwoording van de mens het probleem van Social Engineering of wat anders?
There is no patch for human stupidity.

Klinkt flauw, maar wel een waarheid. Mensen zijn van nature goedgelovig. En dat is ook goed, anders zou deze samenleving niet kunnen zijn wat zij is. Aan een ene kant staat vertrouwen, aan de andere kant staat beveiliging. Beveiliging begint waar vertrouwen ophoudt. Beveiliging is vaak noodzakelijk, maar ook vertrouwen is noodzakelijk. Kijk maar eens goed om je heen hoe vaak je anderen vertrouwt. Als je bij een zebrapad staat, vertrouw je erop dat autobestuurders je niet scheppen, je vertrouwt de supermarkt, bakker, slager en vele anderen dat zij veilig eten leveren, je vertrouwt de bank dat ze niet je geld stelen (ja, dit is een verhaal apart :) ), je vertrouwt de dokter en apotheek dat ze je de juiste en veilige medicijnen geven, je vertrouwt autoleveranciers en verkopers dat deze je een veilige auto leveren. En zo kan je nog wel doorgaan. Een samenleving zonder vertrouwen is onmogelijk.

Dit noodzakelijke vertrouwen zit al in de mens zelf. De samenleving die we nu hebben is ook op natuurlijke wijze gegroeid en niet geforceerd. En van deze menselijke eigenschap maken criminele social engineers misbruik. Dat zal nooit echt ophouden, vrees ik. Je kan een boel tegengaan, maar ook criminelen worden handiger en slimmer. Zij hebben meer tijd en energie voor het misbruiken dan wij allen bereid zijn om erin te steken qua tegengaan.
17-06-2015, 11:45 door Anoniem
De andere kant van het verhaal is dat het gemakkelijke vertrouwen ook noodzakelijk is voor het normale verloop, stel je maar eens hoeveel tijd het zou kosten wanneer iedereen die schoonmaker ging vragen om een pasje? Begin zelf eens met het consequent afschermen van het toetsenbordje wanneer je je pincode intoetst en hoe je je daar bij voelt.
17-06-2015, 12:36 door Ralvo
Door Anoniem: De andere kant van het verhaal is dat het gemakkelijke vertrouwen ook noodzakelijk is voor het normale verloop, stel je maar eens hoeveel tijd het zou kosten wanneer iedereen die schoonmaker ging vragen om een pasje? Begin zelf eens met het consequent afschermen van het toetsenbordje wanneer je je pincode intoetst en hoe je je daar bij voelt.
Dat is ook de crux in security: de balans tussen veiligheid en gebruiksgemak. Je wil zelf ook niet in een soort bankkluis wonen. Het is behoorlijk veilig, maar je wil ook wel eens naar buiten kijken of de achterdeur open zetten in de zomer.

Met een beetje gezond verstand is er best een goed compromis te vinden, maar je moet dan wel in je achterhoofd houden dat dat een compromis is en dat 100% beveiliging niet bestaat.
17-06-2015, 15:24 door User2048
Het "probleem" is dat mensen sociale wezens zijn en van nature anderen willen helpen.

Bewustwording (of in goed Nederlands "awareness") is een deel van de oplossing. Vandaar dat we platgegooid worden met campagnes van bijvoorbeeld de banken.
18-06-2015, 10:43 door Social-
Door User2048: Het "probleem" is dat mensen sociale wezens zijn en van nature anderen willen helpen.

Bewustwording (of in goed Nederlands "awareness") is een deel van de oplossing. Vandaar dat we platgegooid worden met campagnes van bijvoorbeeld de banken.


Je suggereert dat het aan andere aspecten ligt. Welke andere aspecten zou het liggen dan?
In de literatuur van de volgende auteurs wordt er alleen over awareness gesproken.

Chitrey et al, 2012, workman, 2007; Appelgate, 2009, algarni and Yue, 2013.
18-06-2015, 10:45 door Social-
Door Anoniem: Social engineering is iemand zó bespelen dat hij/zij gaat doen wat je verlangt. Het is al ouder dan de weg naar Rome.
's Werelds eerste social enginering werd toegepast door de "sprekende slang": zie het bijbelboek Genesis, hoofdstuk 3.

Ongeacht of het in Genesis 3 nu wel of niet geschiedenis betreft, kunnen mensen er veel van leren.
Want het algemene patroon van iemand die social engineering toepast, is hier immers duidelijk in te herkennen:
stap 1: Iemand (liefst met weinig kennis en ervaring) enigszins overdonderen en voldoende vertrouwen winnen
stap 2: Listige leugens (halve waarheden) gebruiken
stap 3: Inspelen op iemands begeerte en/of eergevoel, en op reeds bestaande relaties

Herken dus het patroon en trap er niet in. Een gewaarschuwd mens telt voor twee.


Kun je dit ook ergens online terug vinden? Zo ja welke Url
18-06-2015, 12:29 door Anoniem
Kun je dit ook ergens online terug vinden? Zo ja welke Url
Nee dat niet.
Het schoot me zo te binnen, en ik realiseerde me dat je dit patroon wel erg vaak ziet. Bijvoorbeeld:

stap 1: je krijgt onverwachts een mailtje die van je bank afkomstig lijkt te zijn, en het ziet er behoorlijk echt uit.
stap 2: je wordt in de mail voorgelogen om op een link te klikken, die naar een valse banksite of malwareserver leidt.
stap 3: Men belooft in de mail bijv. ook nog een cadeautje of een kans op een mooie prijs als je meewerkt.

Hierin zit eenzelfde patroon als in Genesis 3:1-5.

(het bijbelverhaal is natuurlijk wel terug te vinden op internet: even googlen op "Genesis 3")
18-06-2015, 13:20 door Social-
Hoe zou je Social engineering dreigingen kunnen herkennen, inschatten en in kosten om kunnen zetten?
18-06-2015, 13:53 door Social-
dag allemaal,


Ik ben zeer geinteresseerd in de proces aanpak die er gehanteert kan worden bij het vinden van een kwetsbaarheid.
Dagelijks komen er nieuwe kwetsbaarheden aan het licht, die zowel betrekking kunnen hebben op software en/of hardware.

echter heb ik behoefte aan de kwetsbaarheden die te maken hebben met de mens (Social engineer aanval)
18-06-2015, 15:54 door Ralvo
@Social-: Volgens mij zit er een kwetsbaarheid in de linkerknop van je muis, waardoor je dezelfde reactie meerdere malen plaatst. ;)
18-06-2015, 16:55 door Erik van Straten
18-06-2015, 13:53 door Social-:Ik ben zeer geinteresseerd in de proces aanpak die er gehanteert kan worden bij het vinden van een kwetsbaarheid.
Dagelijks komen er nieuwe kwetsbaarheden aan het licht, die zowel betrekking kunnen hebben op software en/of hardware.

echter heb ik behoefte aan de kwetsbaarheden die te maken hebben met de mens (Social engineer aanval)
We gaan natuurlijk niet jouw afstudeeropdracht schrijven ;-) maar misschien helpt het volgende.

Een bekende "social engineer" in Nederland is Alberto Stegeman, zie https://nl.wikipedia.org/wiki/Undercover_in_Nederland. Google maar eens naar: alberto stegeman schiphol , dan krijg je een aardig idee van wat er fout kan gaan en hoe er vervolgens wordt gereageerd.

Je kunt ook een stel van de maandelijks "OUCH!" papers (ook Nederlandstalig) erop naslaan om te zien op welke punten mensen allemaal belazerd kunnen worden, zie http://www.securingthehuman.org/resources/newsletters/ouch/2015.

Je kunt ook proberen de Eiffeltoren te verkopen als oud ijzer. Als jou dit lukt ben je zeker niet de eerste...
19-06-2015, 20:08 door Anoniem
Hier kun je ook meer lezen over het onderwerp.

https://www.nl.capgemini.com/bronnen/de-zwakste-schakel-in-de-informatiebeveiliging

Goed stuk met alle psychologische truuks uitgelegd
20-06-2015, 13:23 door Anoniem
Mijn vraag is nou de bewustwoording van de mens het probleem van Social Engineering of wat anders?
Volgens mij zit het zo:
Mensen die heel spontaan zijn en zich van geen kwaad bewust zijn, zijn meestal gemakkelijk om de tuin te leiden.
Mensen die op hun hoede zijn en zich wél van kwaad bewust zijn, zijn een stuk moeilijker om de tuin te leiden.
Maar loopt de "aanval" via een relatie die hij/zij vertrouwt, dan kan het toch nog lukken.

Een klassiek voorbeeld van dit laatste, is het bijbelverhaal van Simson en Delila in het bijbelboek "Rechters",
hoofdstuk 16. Het geheim van de grote kracht van Simson zat in zijn lange haar. De vijand kwam daar maar niet achter.
Simson kreeg echter een relatie met Delila, die daarna door de Filistijnse stadsvorsten werd "gebruikt" om het geheim bij Simson te ontfutselen. Na lang aandringen lukte dit haar uiteindelijk, en wist de vijand Simson te overmeesteren.
Nog weer eens een typisch geval van "social engineering", behalve dan dat hier geen IT-systemen bij betrokken waren.

Bewustwording (van kwetsbaarheid en van eventuele kwade bedoelingen) en gebrek aan zelfbeheersing
spelen dus inderdaad een rol. Maar ook relatie(s).
Je zou "social engineering" in de IT misschien "listige manipulatie met behulp van de relationele sfeer" kunnen noemen,
en wel met de bedoeling om daarmee informatie te achterhalen die kan helpen om systemen binnen te dringen.
Ook Google en informatie die je op Facebook prijsgeeft, leveren hiertoe een bijdrage, maar lang niet iedereen beseft dat.
(werd gistermiddag (19 juni) gedemonstreerd in de thema-uitzending van "Cyber Security" op RTLZ (RTL7).
Als je gisteren niet hebt gekeken, kun je het misschien nog op internet opzoeken, en terugkijken)
21-06-2015, 01:07 door Anoniem
Door Erik van Straten:
Je kunt ook proberen de Eiffeltoren te verkopen als oud ijzer. Als jou dit lukt ben je zeker niet de eerste...

Zoiets klinkt misschien absurd, maar met tien minuten lopen kijk ik uit op een voormalige electriciteitscentrale die door een oudijzerhandelaar is gekocht en stukje bij beetje wordt ontmanteld....
21-06-2015, 06:20 door Erik van Straten
21-06-2015, 01:07 door Anoniem:
Door Erik van Straten:
Je kunt ook proberen de Eiffeltoren te verkopen als oud ijzer. Als jou dit lukt ben je zeker niet de eerste...

Zoiets klinkt misschien absurd, maar met tien minuten lopen kijk ik uit op een voormalige electriciteitscentrale die door een oudijzerhandelaar is gekocht en stukje bij beetje wordt ontmanteld....
Wellicht, maar het zou mij verbazen als de echte eigenaar van die elektriciteitscentrale nog niet weet dat iemand anders zijn centrale heeft verkocht...

Met mijn hint wilde ik de TS niet al te veel voorkauwen, maar aangezien "Social-" niet meer reageert vermoed ik dat zij/hij het stage/afstudeerverslag al heeft moeten inleveren.

In elk geval kan het geen kwaad om https://en.wikipedia.org/wiki/Victor_Lustig eens te lezen. Voor iedereen die zich tegen social engineering wil wapenen, is het goed om de "10 regels voor social engineers" te kennen (die helaas niet zijn opgenomen in de Nederlandstalige versie van genoemd Wikipedia artikel).
21-06-2015, 09:25 door Anoniem
Ik heb beroepsmatig dagelijks te maken sterk manipulerende mensen (vaak sociopaten, en nee die zitten niet vast in een instituut), zelfs iemand zoals ik trapt er nog wel eens in. Al ben ik beter voorbereid dan 99% van andere mensen.

Bijvoorbeeld: er belt iemand met onbekend nummer. Ik zeg "hallo", de ander vraagt "met wie spreek ik?". Dan zeg ik "met wie spreek ik?" De meeste gebelde mensen zullen gewoon vertellen wie ze zijn. Dat is eenvoudige manipulatie gebaseerd op omgangsvormen (stel een vraag, krijg een sociaal wenselijk antwoord).
22-06-2015, 09:16 door Erik van Straten
Wellicht ook aardig in dit kader: Yonathan Kleinsma toont in zijn laatste blog (1 juni j.l.) screenshots van een nep-antivirus (FakeAV) campagne waarvan hij de bijbehorende malware geanalyseerd heeft: http://blog.0x3a.com/post/120423677154/unusual-njrat-campaign-originating-from-saudi.

Door pop-ups door de web browser te laten tonen, en o.a. icoontjes van "My Documents" en "Hard drive (C:)" in de webpagina aan te vullen met bijv. "2 Viruses Found" zullen er best gebruikers zijn die op het verkeerde been gezet worden.

De "Windows Security Alert" dialoogbox die vervolgens opent is helemaal overtuigend, die ziet eruit als een waarschuwing die uit Windows komt i.p.v. vanuit de browser (en dus de server van de aanvallers/social engineers). Alleen is dat geen echte dialogbox: ook als je op de "X" rechtsboven klikt, in een poging de box te sluiten, wordt "Antivirus 2015" als download aangeboden. En, zoals ervaren mensen zullen vermoeden, dat programma heeft niets met het beschermen van jouw computer te maken, integendeel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.