Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Professionele social engineers zijn niet uit op je Facebook-geheimen

10 november 2015 - 10:244 minuten leestijdAdvertorialSecurity & Awareness
Redactie Computable
Redactie Computable

Iemand onder valse voorwendselen naar zijn wachtwoord vragen is vaak veel makkelijker dan die via hacking te achterhalen. Dit heet ook wel social engineering. Tijdens mijn werk krijg ik steeds vaker aanvragen voor complexe security-assessments waar social engineering onderdeel van is. Hiervoor worden vaak bedrijven ingehuurd die door middel van social engineering-campagnes de zwakste schakel in de beveilgingsketen testen, namelijk: de mens.

Over deze blogger

Darryl heeft meer dan  14 jaar ervaring in de IT-sector. Hij is momenteel werkzaam als Senior Security Consultant voor NCI Secured Intelligence, waar hij lid is van het GRC team. Hij is verder actief bij de Atlantic Canadian Information Security community, zowel als Board Member voor de Atlantic Security Conference (AtlSecCon) en als Lead Organizer voor Security B-Sides Cape Breton.


Eenvoudig gezegd is social engineering de kunst van het manipuleren van mensen, zodat ze vrijwillig vertrouwelijke informatie opgeven. Een veel voorkomende misvatting, zeker onder werknemers, is dat bedrijven die zich met social engineering bezighouden kwaadaardige bedoelingen hebben. Maar wees gerust, professionele social engineers zullen echt niet proberen om je Facebook-account te hacken om daarmee je diepste geheimen te achterhalen en deze door te spelen aan een werkgever. Hun voornaamste doel is het testen van de security awareness van het personeel. Het is namelijk veel makkelijker om iemand te verleiden om je het wachtwoord voor een systeem te geven, dan te proberen met hackpogingen op een systeem in te breken.

Social engineering-technieken

Een simpel voorbeeld. Een aanvaller loopt het bedrijfspand binnen het hangt een officieel ogende aankondiging op het prikbord, waarop staat dat het telefoonnummer van de helpdesk is veranderd. Als werknemers vervolgens voor hulp naar dit nummer bellen, vraagt de persoon aan de lijn hen naar hun wachtwoorden en loginnaam. De aanvaller krijgt hiermee toegang tot zowel bedrijfsinformatie als de privégegevens van de werknemer.

Een ander voorbeeld. Een aanvaller belt enkele willekeurige telefoonnummers in het bedrijf, en beweert van de helpdesk te zijn. Uiteindelijk zal hij bij iemand terecht komen die een legitiem probleem heeft. De aanvaller zal hem vervolgens helpen het probleem op te lossen en de gebruiker ondertussen instrueren om allerlei commando’s in te voeren die de aanvaller toegang geeft tot de computersystemen.

Nog een voorbeeld: een aanvaller zoekt een doelwit op een sociaal netwerk en begint een conversatie. Geleidelijk aan wint hij het vertrouwen van zijn doelwit en gebruik dit om gevoelige informatie te achterhalen.

Fysieke manipulatie

Naast deze vormen van telefonische en digitale manipulatie, zijn er ook directere methoden. Afhankelijk van de grootte van het bedrijf, kan een aanvaller zich vaak simpel fysiek toegang verschaffen tot een beveiligde afdeling. Met name als er onbeheerde elektronische systemen voor toegangscontrole worden gebruikt, kan dit uiterst eenvoudig zijn. Een aanvaller loopt simpelweg achter een persoon aan die rechtmatig toegang heeft. Zo’n werknemer zal de deur vaak zelfs voor hem openhouden, zeker als de aanvaller bijvoorbeeld een stapel documenten in zijn handen heeft en daar expliciet om vraagt. De werknemer zal dan vrijwel nooit de moeite doen om nog te vragen om identificatie.

Nog een voorbeeld, ten slotte. Een aanvaller laat een met malware geïnfecteerde usb-stick achter op voor de hand liggende locatie, zoals een toilet, lift, stoep of parkeerplaats. Vervolgens wacht hij tot een werknemer de stick in zijn computer steekt. Er  is immers altijd wel een werknemer die zo’n usb-stick vindt en uit nieuwsgierigheid wil weten wat er op staat. Door de stick te gebruiken kan automatisch malware op de pc van de werknemer geïnstalleerd worden. Zo krijgt de aanvaller toegang tot de pc van zijn slachtoffer en misschien wel het hele interne bedrijfsnetwerk.

Al deze technieken hebben kwaadaardige bedoelingen, maar de schade voor een bedrijf is afhankelijk van de partij die ze gebruikt. Professionele social engineers zullen de informatie die ze vinden tijdens hun aanvallen nooit misbruiken. Hun werk vereist namelijk een grote mate van vertrouwen, die bovendien contractueel wordt vastgelegd. Hun onderzoeksresultaten worden gedocumenteerd en uiteindelijk gepresenteerd aan het management, zodat er vervolgens maatregelen genomen kunnen worden om soortgelijke aanvallen in de toekomst te voorkomen.

Reden voor zorgen?

Maak je geen zorgen als je ontdekt dat je werkgever heeft besloten om een security assessment met social engineering te laten uitvoeren. Op de lange termijn zullen de resultaten van dit soort onderzoeken helpen om zowel de security awareness van het bedrijf als van de werknemers te verbeteren. Beschouw het daarom als een oefening of test, de volgende keer dat je een telefoontje van de ‘helpdesk’ krijgt. 

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Beveiliging begint bij de Server

    Waarom lifecycle-denken cruciaal is voor IT-security

    Computable.nl

    Staat van Digitale Connectiviteit binnen de Bouw- en Installatiebranche 2025

    Digitale connectiviteit is de kern van veel processen in de bouw en volgens insiders van strategisch belang voor de toekomst van de sector. Waar sta jij?

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Meer lezen

    Filter
    OpinieCloud & Infrastructuur

    Ddos-aanvallen (en waarom L3-filtering niet optioneel is)

    ActueelInnovatie & Transformatie

    Kort: Innovatiezone in Almere, grote Defensiedeal Pro Warehouse (en meer)

    AchtergrondSecurity & Awareness

    Dit gaat NIS2 jouw bedrijf aan tijd en geld kosten

    compliance
    OpinieGovernance & Privacy

    Waarom Dora- en NIS2-compliance beginnen met assetmanagement

    OpinieSecurity & Awareness

    5 stappen ter voorbereiding op de verkorte levensduur van TLS-certificaten

    ActueelCarrière

    Kort: Brunel viert 50ste verjaardag, Wortell wint gunning veiligheidsregio (en meer)

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Ontdek de toekomst van IT-support en m...

    Op 16 september 2025 vindt in de Jaarbeurs in Utrecht een gloednieuw event plaats dat volledig is gericht op IT-professionals:...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine
    • Topics

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs