Social Engineering

  1. Home
  2. Artikelen
  3. Hoe werkt Social Engineering?
Voorkomende technieken Human Hacking

Voorkomende technieken van Human Hacking (Social Engineering)

  • 23 juni 2022
  • TrI-C

Er zijn meerdere methoden om personen heimelijk te benaderen met malverserende bedoelingen. Soms slechts via een mailwisseling met misleidende teksten en een simpele doorklik mogelijkheid (activeer via deze button (Phishing)). Maar soms ook in combinatie met andere vormen zoals; Spoofing, Laptop distraction, Baiting, Baiting, Shoulder surfing, Dumpster diving, Simswap, SMiShing, CEO fraud, etc. allemaal technieken die gebruikt kunnen worden in combinatie met elkaar of in combinatie met telefonische- of fysieke contacten. Ze kunnen ook gebruikt worden in of in combinatie met beeldvergaderingen. Ook Deep fake’s doen meer hun intrede, een techniek waarin op beeld personen iets zeggen wat ze normaliter niet zouden zeggen. Een gemanipuleerd beeld wat bijna niet van echt te onderscheiden is.

Social engineers maken misbruik van de afhankelijkheid van mobiele apparaten.

De technieken worden vernieuwd, meer ontwikkeld, verfijnd en ingezet in de tijdgeest waarin ze renderen. Zo was een tijd lang de Simswap techniek interessant om te gebruiken. De meest in het oog springende hack was die van Jack Dorsey, voormalig CEO van Twitter, die zijn telefoon gehackt (aug. 2019) zag waardoor schade werd opgelopen1. Vandaag de dag blijven "SMiShing-aanvallen toenemen naarmate meer bedrijven overstappen op een extern/hybride personeelsbestand". Dat valt op te maken uit een onderzoek van het Pew Research Center2. Volgens deze gegevens werkt 59% van de Amerikaanse werknemers de hele tijd of het grootste deel van de tijd vanuit huis. Hierdoor gebruiken werknemers meer mobiele apparaten zoals een telefoon of tablet om toegang te krijgen tot bedrijfsinformatie en accounts.
Social engineers maken misbruik van de afhankelijkheid van mobiele apparaten. Ze gebruiken populaire apps voor mobiele berichten en digitale kanalen die de productiviteit ondersteunen. Apps als Facebook Messenger, WhatsApp, LinkedIn, Zoom, Microsoft Teams, Google lenen zich hier uitstekend voor. Hierdoor vormt SMiShing een significante bedreiging voor bedrijven en organisaties.

Het woord SMiShing komt van de combinatie SMS (Short Message Service), de oorspronkelijke technologie waarmee mobiel sms'en begon en Phishing. In beide gevallen is het doel van de human hacker om bedrijfs-, persoonlijke- of financiële informatie/middelen te stelen. Maar onschuldiger en moeilijker te weerstaan, is een hulpverzoek. Daarnaast is een hulpverzoek een sociale invulling van alledaagse zaken en daarom moeilijker te onderscheiden van een malverserende actie.
Een slachtoffer geeft in een ander geval gehoor aan een dergelijk verzoek, hier zijn voorbeeld: ‘Het slachtoffer is zoals hij dat zelf zegt "an Amazon addict", m.a.w. hij bestelt het meeste van zijn aankopen bij de webwinkel Amazon. Toen op enig moment een mailtje van Amazon in zijn mailbox verscheen over een achterstallige betaling voor de aankoop van een boek, klikte hij, adequate betaler als hij is, op de bijgevoegde button. Hij realiseerde zicht direct dat hij prematuur handelde. Normaal controleert hij de herkomst van de mail en de URL, maar dit keer niet. Het feit dat hij Amazon vertrouwt vanwege zijn ervaring m.b.t. hun service bleekt dus een valkuil, hij werd onderdeel van een 'Phishingaanval'.

Misbruik van de goedheid van de ander ligt hierbij voor de hand.

Dat vertrouwen is één van de belangrijkste doelen van een social engineer. Wil de human hacker mensen ic. slachtoffers handelingen laten verrichten, dient hij/zij het vertrouwen te hebben van de ander. Is er geen vertrouwensrelatie dan zal de hack moeizamer tot stand komen of lukt de hack niet. Dit wetende is op zijn zachts gezegd frustrerend, want moet je dan iedereen wantrouwen totdat het tegendeel bewezen is en mag je daarbij nog uitgaan van vanzelfsprekendheden? Het is logisch (en min of meer cultureel bepaald) service te bieden, de telefoon op te nemen, de deur open te houden, iemand te begeleiden, de baas te vertrouwen etc. Het past niet alleen in onze Nederlandse cultuur, maar in de meeste culturen. De sociale vaardigheden, het empathisch vermogen, de hulpvaardigheid, etc, zijn menselijke factoren (Human Factor), maar ze zijn ook in de basis de uitgangspunten voor het handelen van de human hacker. Misbruik van de goedheid van de ander ligt hierbij voor de hand.

Toen de medewerkers aan de Teams-vergadering deelnamen, dachten ze dat ze de CEO live op beeld zagen.

Een ander voorbeeld: "Een geavanceerde Teams-aanval". Zoals gerapporteerd door VentureBeat3, stuurde een human hacker, die zich voordeed als een CEO (Chief Executive Officer) van en groot bedrijf, waarvan bekend is dat hij op zakenreis naar China is, een WhatsApp-bericht naar verschillende werknemers van het bedrijf. Zijn verzoek betreft het beleggen van een Teams-vergadering. Toen de medewerkers aan de Teams-vergadering deelnamen, dachten ze dat ze de CEO live op beeld zagen. Het was echter echt een 'scraped video feed'4 van de CEO uit een vorig tv-interview. Om de fraude overtuigender te maken, voegde de human hacker een nepachtergrond toe om het te laten lijken dat de CEO echt in China was. De moeilijkheid was dat er geen audiofeed voor de Teams-vergadering beschikbaar was. De 'CEO' brabbelde dat hij problemen ondervond met de audiofeed en vertelde de werknemers dat; "aangezien ik dit niet aan de praat kan krijgen, jullie mij de informatie op deze SharePoint-link moet sturen.". Het gevolg is dat de 'CEO' bij data kan waar hij normaliter geen toegang toe heeft. Het zien en herkennen van hun 'CEO' schepte vertrouwen en creëerde op deze manier hulpvaardigheid. Een van de sociale deugden om mensen en in dit geval de baas te willen helpen.

Hoe gaan organisaties om met human hack aanvallen, hoe herken je een social engineer. Hoe herken je een human hack en specifieker hoe herken je nu een SMiShing aanval. Als die vragen gerechtvaardigd zijn, dan geldt ook het adagium; wat eraan te doen.
Is er kennis aan boord die weet hoe een hackaanval in zijn werk gaat? Maar kennis alleen is niet voldoende, de kennis omzetten in handelen vergt wellicht aanpassingen van gedrag. Weten de werknemers wat te doen (melden en tegengegaan) en is gedrag te sturen zodat eenieder een goede bescherming biedt aan de veiligheid van collega’s en de organisatie. Cyber security houdt niet op bij het installeren van firewalls en Virusscanners. Het besef groeit meer en meer dat werknemers adequaat begeleid moet worden in (veilig) gedrag t.a.v. o.a. gebruik van IT-apparatuur maar ook in de intermenselijke relaties/verhoudingen. In de sociale interactie schuilt het gevaar van overredingskracht. Dat wil zeggen dat de ander overtuigend en rationeel (soms emotioneel) kan communiceren om de gesprekspartner van gedachten te laten veranderen. Hierdoor kan een vertrouwensband snel groeien, weliswaar niet helemaal in de richting zoals de organisatie graag zou willen zien.

Je kunt nou eenmaal niet 24/7 op aan staan of awareness tonen

Naast het beveiligen van de digitale snelweg, zullen organisaties ook de aandacht voor werknemers moeten laten groeien. Bij het opleiden alleen, houdt dat niet op. En ervan uitgaan dat het met de competentie 'integriteit' wel goed zit, al helemaal niet. De werknemer zal uiteindelijk de aangereikte kennis zelfstandig moeten kunnen implementeren in het gedrag en de operationele handelingen als onderdeel van een standaard optreden. Er zal dus aandacht besteed moeten worden aan sturing van het gedrag van mensen. Je kunt nou eenmaal niet 24/7 op aan staan of awareness tonen, er zijn momenten van verslappende aandacht. Door gedrag te sturen en werknemers te wijzen op hun plaats in de organisatie, ze in laten zien welk belang de functie die zij bekleden heeft, geeft dat verantwoordelijkheid waar je als organisatie aan mag appelleren.

Triple I communicatie verzorgt trainingen en workshops voor poortwachters, (middel)management maar vooral voor de werkvloer om personeel meer kennis te laten nemen van het fenomeen social engineering. Dat betekent niet dat zij zelf opgeleid worden tot social engineer. Maar onderwerpen als welke 5 fases liggen ten grondslag aan een aanval (engagement model). Waar richt een social engineer zich op (gedragsstijlen). De vertaalslag van de informatie naar de eigen gedrag en organisatie kunnen maken en aanbeveling doen op het gebied van personeelsbeleid, compartimentering, omgang met bedrijfsgegevens, etc.. Voor meer informatie: www.tri-c.nl.

1 Bij een sim-swap overtuigt of koopt een hacker een provider-werknemer om het nummer dat aan een simkaart is gekoppeld, over te zetten naar een ander apparaat, waarna ze twee-factor-authenticatiecodes die per sms worden verzonden, kunnen onderscheppen. (Het is moeilijk om een vastberaden SIM-swapper te stoppen, maar schakel over van sms-twee-factor naar een authenticator-app).
2 Pew Research Center is een onpartijdige feitentank die het publiek informeert over de problemen, houdingen en trends die de wereld vormgeven.
3 VentureBeat is een Amerikaanse technologiewebsite met het hoofdkantoor in San Francisco, Californië. Het publiceert nieuws, analyses, lange functies, interviews en video's. VentureBeat, opgericht in 2006, is de toonaangevende bron voor.
4 Een 'scraped video feed' is content die gekopieerd is van andere sites/video’s, met als doel inkomsten te genereren/te manipuleren op basis van gekopieerde content.

Naar overzicht

Benieuwd hoe we u kunnen helpen?

Maak een afspraak!