Nieuws

maandag 25 september 2017

Social Engineering

Door: Ernst de Rijk, business area manager Security Awareness

Wanneer er op gebied van informatiebeveiliging wordt gesproken over maatregelen, denken  we hierbij snel aan technische maatregelen. Echter deze maatregelen zijn in feite net zo sterk als de zwakste schakel, en bij veel organisaties is dat nog altijd de medewerker. Tijdens de dagelijkse werkzaamheden is een medewerker continu in staat de eigen organisatie een ernstig security-incident toe te brengen en hierbij de organisatie grote schade te berokkenen. Dit gebeurt veelal door een onbewuste foutieve handeling en daarom is het van belang de medewerker continu te wijzen op goede beveiligingsgewoonten. Want dergelijke gewoontes toepassen tijdens de dagelijkse werkzaamheden blijft een verantwoordelijkheid van de medewerker zelf.

Gezond verstand
Het behoeft geen twijfel om te stellen dat elk type medewerker een potentieel slachtoffer is, variërend van een financieel medewerker tot directiesecretaresse. Elke medewerker beperkt dit risico met gezond verstand en iets meer argwaan. Vooraf bepalen of je je zakelijke mail wilt openen op je laptop of telefoongesprekken wilt voeren in een openbare ruimte, is één van deze goede gewoonten. Meekijken of luisteren kunnen kwaadwillende nuttige informatie verschaffen, welke later mogelijk in een gerichte aanval kan worden ingezet. Het kan dus verstandig zijn om je laptop gesloten te houden of een zakelijk gesprek niet in dergelijke openbare ruimten te voeren.

Elke vorm van informatie is interessant
Bij social engineering wordt misbruik gemaakt van menselijke eigenschappen als naïviteit, nieuwsgierigheid, hebzucht, angst en hulpvaardigheid. Social engineering is een techniek waarbij op verschillende manieren deze gedragingen van de medewerker worden misbruikt. En de kwaadwillende zoekt deze vertrouwelijke informatie overal en bij iedereen! Daarbij is alle informatie bruikbaar. Denk hierbij aan namen, adressen, functies, gegevens over familieleden, hobby’s, maar informatie over huisdieren kan zelfs interessant zijn. Ook algemene bedrijfsinformatie zoals afdelingsnamen telefoonnummers, software en bedrijfslogo’s zijn zeer bruikbare informatie.

Social engineering, hoe dan?
Bij social engineering moet er in sommige gevallen echt moeite worden gedaan om belangrijke informatie te stelen. Maar soms is het kinderspel omdat de kwaadwillende gebruik maakt van onze slechte gewoontes. Iedereen kent waarschijnlijk wel de voorbeelden van achtergebleven verhuisdozen met juridische stukken in een leeg pand of een defecte PC met privacy gevoelige informatie bij het huisvuil. Helaas zijn dergelijke vergissingen nog orde van de dag.  Enkele voorbeelden zijn:

  • Tailgaten
    Het verkrijgen van ongeautoriseerde toegang door met iemand mee te lopen met behulp van een smoes als “pasje vergeten” of “leverancier” werkt echt. Gebruik maken van de hulpvaardige medewerkers is een koud kunstje

  • Clean desk – Clear screen
    Eenmaal binnen, kunnen kwaadwillende een organisatie ernstige schade toebrengen. Binnen elke organisatie kan na binnenkomst het verzamelen pas echt beginnen. Op bureaus, op niet afgesloten computers, in vergaderruimtes of bij de printers is waardevolle interessante informatie te vinden.

  • Dumpster diving
    En als het niet lukt om binnen te komen is er altijd wel de mogelijkheid om te snuffelen in het (papier-)afval van de organisatie. Er zijn immers nog veel organisaties waar oud papier met uiterst waardevolle informatie op ondeugdelijke manier wordt verwerkt. In feite kunnen dergelijke incidenten, mogelijk een officieel datalek betekenen

  • Phishing en Vhishing
    Een zeer lucratieve methode om informatie zoals login-gegevens van je bank proberen te verkrijgen via mail of tijdens een telefoongesprek. In dit soort gevallen vertrouwt de gebruiker de afzender of de persoon aan de andere kant van de lijn

  • Internet & Social media
    Een manier van bruikbare informatie verzamelen kan uiteraard op internet. Via Google, Whois of slideshare is deze informatie eenvoudig te vinden. Daarnaast laat bijna iedereen sporen achter op  social media, zoals Twitter, LinkedIn en Facebook. Met deze informatie is het mogelijk het vertrouwen te winnen bij een potentieel slachtoffer.

Hoe bescherm je je tegen social engineering?
Alleen techniek is duidelijk niet afdoende, een kaartlezer op de deur welke wordt opengehouden heeft geen zin en filteren van mail heeft er tot op heden nog niet voor gezorgd dat een gebruiker zonder omkijken willekeurige bijlagen kan openen. Een alerte gebruiker kan social engineering in een vroeg stadium ontdekken. Met de volgende tips kan je het risico, om slachtoffer te worden, verlagen:

  • Denk eerst goed na.
    Kwaadwillende willen dat je eerst handelt en daarna gaat nadenken. Als in een verzoek een gevoel van grote druk wordt opgelegd, wees dan sceptisch! Laat de opgelegde urgentie nooit je zorgvuldige beoordeling beïnvloeden.

  • Onderzoek de feiten.
    Wees alert bij het ontvangen van ongewenste berichten. Als een email eruit ziet alsof het afkomstig is van een bekend bedrijf, maar het bericht onduidelijk overkomt of om gegevens verzoekt, welke u niet wilt delen, controleer via internet of de gebruikte gegevens juist zijn of neem contact op met een contactpersoon van het betreffende bedrijf.

  • Reageer niet op financiële verzoeken of wachtwoorden
    Verwijder elk verzoek om financiële informatie of wachtwoorden. Als u wordt gevraagd om een ​​bericht te beantwoorden met persoonlijke gegevens, gaat het bijna altijd om oplichterij. Officiële instanties zullen u niet vragen deze gegevens te delen via e-mail of telefoon.

  • Verleen vreemden geen toegang
    Het verlenen van toegang aan bezoekers behoort te worden uitgevoerd via een standaardprocedure. Laat het oordeel of iemand naar binnen mag over aan bijvoorbeeld de receptie. Indien noodzakelijk begeleid de bezoeker naar de gewenste afdeling, maar laat de bezoeker niet alleen in het pand. Dit geldt eveneens voor het begeleiden van de bezoeker wanneer deze het pand weer verlaat.

  • Wees opgeruimd
    Zorg bij het verlaten van je werkplek dat deze is opgeruimd en dat er geen belangrijke informatie rondslingert. Dergelijke informatie behoort te worden opgeborgen in afsluitbare kasten. De werkplek moet worden vergrendeld en laat geen losliggende laptops, telefoons of sleutels achter.

  • Internet vergeet nooit
    Veel informatie is terug te vinden op internet en social media. Controleer je privacy-instellingen en vergewis je ervan wat je met wie deelt. Ga niet in op elke uitnodiging en het kan geen kwaad om af en toe eens te controleren wat er over jou of je organisatie te vinden is.

 
Wees bewust van wat je deelt of deel niets!

Print

Tags:

Nieuwsbrief

 

Blijf op de hoogte van de laatste security ontwikkelingen door je nu in te schrijven voor de Vest nieuwsbrief!


Ja, ik wil die nieuwsbrief!


 


Security 15 Minutes Live

Met Marc Hullegie

IT Tomorrow

met Marc Hullegie