Dit artikel is gepubliceerd in het vakblad Security Management (2017, nr.6)
Cybercriminelen maken steeds vaker gebruik van social engineering: ze passen psychologische trucs toe om door de dringen tot de kroonjuwelen van een organisatie. De trends op een rij. Inclusief handreikingen voor preventie.
Een nachtkluis met paspoorten en rijbewijzen. De geheugens van stemcomputers. De tapgegevens van de politie. De procescontrolesystemen voor bruggen, sluizen en gemalen. Het zijn voorbeelden van systemen waartoe Jan de Boer, cybersecurity consultant bij Capgemini, als onderdeel van een Social Engineering Audit toegang wist te krijgen. “Zo’n test laat zien hoe kinderlijk eenvoudig het is om bij bedrijven en organisaties binnen te dringen – fysiek, maar bijvoorbeeld ook via phishing – als je maar een aantal slimme psychologische trucs hanteert.”
Aanvallen door misbruik van menselijke eigenschappen
De Boer houdt zich al bijna twintig jaar bezig met het thema social engineering. De term social engineering is afkomstig van Condor (ofwel Kevin Mitnick), een van ’s werelds bekendste hackers. Hij hackte systemen van onder meer het Pentagon, de NSA, Dell en Compaq. De techniek die Mitnick gebruikte, heet tegenwoordig social engineering of head hacking: een aanvalstechniek waarbij misbruik wordt gemaakt van menselijke eigenschappen om vertrouwelijke gegevens te verkrijgen of iemand te verleiden een bepaalde handeling te verrichten.
Elke organisatie heeft Kroonjuwelen
De Boer voerde zogenoemde Social Engineering Audits uit voor onder meer gemeenten, ministeries, ziekenhuizen, retailers en telecomproviders. “Van de kwetsbaarheden voor diefstal van vertrouwelijke gegevens – en van andere kroonjuwelen van een organisatie – is men zich vaak onvoldoende bewust. Terwijl alle sectoren dergelijke kwetsbaarheden kennen: van overheidsorganisaties tot de nutsbedrijven en retailers. Want iedere organisatie heeft kroonjuwelen, of het nu gaat om het geheime recept van Coca Cola of de wapens van een militaire organisatie”, zegt Guido Voorendt, die als cybersecurity consultant […] vaak samenwerkt met De Boer. “Van tachtig procent van de medewerkers kunnen we tijdens onze Phishing Audit de inloggegevens van hun werkcomputer ontfutselen.”
Combinatie van social engeneering en phishing
Hedendaagse technieken bieden hackers steeds meer mogelijkheden om social engineering toe te passen. Phishing per e-mail en telefoon zijn daarvan de bekendste voorbeelden. Maar ook het verspreiden van ransomware en het nabootsen van websites en wifi-verbindingen behoren tot het repertoire van social engineers. “De combinatie van social engineering en phishing is steeds meer in trek”, zegt De Boer over de nieuwste trend. “Je krijgt bijvoorbeeld een telefoontje van een mevrouw die vragen heeft over je bankrekening. En vervolgens krijg je een mailtje van je bank die je vraagt om via een link een aantal gegevens te bevestigen.”
Reputatieschade
Voorendt vult aan: “Het grootste deel van de cyberaanvallen is tegenwoordig een combinatie van verschillende technieken. Het begint met phishing en mondt uit in bijvoorbeeld identiteitsfraude. Criminelen gaan steeds zorgvuldiger te werk. Dat blijkt alleen al uit phishing e-mails die niet meer van echt zijn te onderscheiden. Voor bedrijven en organisaties die op deze manier slachtoffer worden van diefstal van vertrouwelijke informatie gaat de schade veel verder dan geld. De reputatieschade is misschien wel vele malen groter.”
Social engeneering neemt verder toe
Uit een rapport van KPMG blijkt dat in 2012 in de Verenigde Staten gemiddeld tussen de acht en achttien procent van de vertrouwelijke informatie door middel van social engineering verdwijnt. En social engineering neemt alleen maar toe, blijkt uit een recente analyse van het Nationaal Cyber Security Centrum. De Boer plaatst wel een kanttekening bij de cijfers. “De meldplicht datalekken verplicht organisaties sinds 2016 om een ernstige hack direct te melden bij de Autoriteit Persoonsgegevens. Vroeger werden datalekken minder vaak gemeld, maar vonden ze wel degelijk plaats.” De Europese verordening die in 2018 de huidige Wet bescherming persoonsgegevens vervangt, vergroot het bewustzijn van cyberrisico’s – en daarmee mogelijk ook de meldingsbereidheid.
De zwakste schakel
Als cybercriminelen echt toegang willen krijgen, vinden ze altijd wel een weg, zegt De Boer. “Het is mij in een Social Engineering Audit nog nooit gelukt om níet fysiek binnen te komen. Maar de kans om slachtoffer te worden van social engineering kun je wel verkleinen.” In zijn boek ‘De zwakste schakel in de informatiebeveiliging. Menselijke aspecten rond de bescherming van gegevens’ vat De Boer het als volgt samen: ken de wapens van je tegenstanders, bepaal de tegenmaatregelen, en oefen daarmee.
Creëren van meer bewustzijn en draagvlak
Een Social Engineering Audit is de eerste stap daarin. Een mystery man zal dan proberen toegang te krijgen tot de organisatie en de informatiesystemen. Zo’n korte, relatief betaalbare audit geeft snel inzichten in kwetsbaarheden en bedreigingen en in de (in)effectiviteit van beveiligingsmaatregelen. De rapportage van de audit zorgt voor veiligheidsbewustzijn bij zowel het management als de medewerkers. Voorendt: “Medewerkers én management ervaren eigenhandig hoe makkelijk het is om slachtoffer te worden van phishing. Dit leidt tot meer bewustzijn van informatiebeveiliging én tot een groter draagvlak voor manieren om de kwetsbaarheden aan te pakken. Een klassieke win-win.”
Leren van je fouten
De Boer vult aan: “Veel medewerkers en managers schrikken zich te pletter als ze de resultaten van een Social Engineering Audit of phishing audit onder ogen krijgen. De beste vervolgstap is dan om te constateren dat je kwetsbaar bent geweest en er direct van gaat leren. Een organisatie die daar open voor staat en medewerkers niet afrekent op fouten kan echt stappen zetten in preventie.”
Bewustwordingsprogramma
Een Social Engineering Audit kan fungeren als nulmeting voor een uitgebreid bewustwordingsprogramma. Zo’n programma bevat bijvoorbeeld een training voor specifieke doelgroepen, waaronder beveiligings- en bewakingspersoneel en secretariaatsmedewerkers. Ook een geavanceerde cyberoefening behoort tot de opties. Zo kan een meervoudige aanval worden gesimuleerd, waarmee medewerkers worden getest en getraind op hun weerbaarheid. Tot slot is er aandacht voor technische maatregelen, zoals tweefactor authenticatie, firewalls, wachtwoordenbeleid en toegangscontroles.
De Boer en Voorendt zijn daarnaast voorstander van bewustwordingscampagnes van de overheid, zoals de website Veilig Internetten en de jaarlijkse campagne Alert Online. Volgens Voorendt kan daar nog wel een tandje bij. “Aan preventie en voorlichting gebeurt eigenlijk nooit genoeg. Wat op dit moment helpt, is dat cybercrime bijna dagelijks in het nieuws is. Als tv-programma’s zoals Opgelicht en EenVandaag daarvan verslag doen, zorgt dat direct voor bewustwording bij de kijkers. En mensen aanzetten tot denken over de risico’s en mogelijke gevolgen is een essentiële stap in de strijd tegen social engineering en cybercrime.”
Het boek ‘De zwakste schakel in de informatiebeveiliging. Menselijke aspecten rond de bescherming van gegevens’ is gratis te downloaden
Auteur: Lynsey Dubbeld is freelance trendanalist en tekstschrijver.