Social engineering (informatica)
Social engineering is een techniek waarbij een computerkraker een aanval op computersystemen tracht te ondernemen door de zwakste schakel in de computerbeveiliging, namelijk de mens, te kraken. Computerkrakers maken hierbij gebruik van menselijke eigenschappen zoals nieuwsgierigheid, vertrouwen, hebzucht, angst en onwetendheid. De aanval is gericht op het verkrijgen van vertrouwelijke of geheime informatie, waarmee de hacker dichter bij het aan te vallen object kan komen. De beroemdste kraker die van deze techniek gebruikmaakte, is Kevin Mitnick. Hij heeft zijn ervaringen verwoord in het boek The Art of Deception.
Doelen
[bewerken | brontekst bewerken]Kenmerkend voor social engineering is dat er geen aanval op de techniek zelf wordt uitgevoerd. Een aanvaller tracht om:
- de nieuwsgierigheid van een slachtoffer te wekken
- medelijden bij een slachtoffer te wekken
- een slachtoffer bang te maken
De aanvaller doet zichzelf voor als iemand anders. Dit doet de aanvaller met het doel via de aangenomen, vertrouwenwekkende rol informatie te verkrijgen die op een andere manier niet of met aanzienlijk meer inspanning of hogere kosten te krijgen is.
Technieken
[bewerken | brontekst bewerken]Er zijn drie aanvalstechnieken:
Persoonlijk contact
[bewerken | brontekst bewerken]De hacker probeert persoonlijk contact te leggen met het slachtoffer. Hij kan zich bijvoorbeeld voordoen als helpdeskmedewerker en de gebruiker opbellen met het verzoek aan diens gebruikersnaam en wachtwoord door te geven om een probleem te verhelpen. Vooraf aan dit contact verzamelt de hacker gerelateerde informatie over het slachtoffer zodat hij het slachtoffer een overtuigend verhaal kan vertellen. Hiervoor worden zoekmachines als Google, sociale netwerksites als Facebook en andere informatiebronnen op het internet gebruikt. Dit is in de praktijk een eenvoudige en effectieve techniek.
Een actueel voorbeeld is de kwestie rond het gebruik van de pretext-techniek (het voorwenden iemand anders te zijn) door de onderzoekers die voor de CEO van Hewlett-Packard door analyse van het privé telefoon- en e-mail-gebruik van mededirecteuren en journalisten hebben achterhaald wie verantwoordelijk was voor het laten uitlekken van strategische informatie naar de pers.
Een hacker verstuurt een e-mailtje met een belangwekkende tekst. Deze techniek wordt onder meer uitgevoerd bij de phishing-aanval, waarbij gebruikers ertoe worden verleid om op een authentiek ogende site vertrouwelijke gegevens zoals pincodes en creditcardnummers op te geven. Ook de vele e-mail-wormen, zoals Sober en Klez, hanteren deze techniek, waarbij een vertrouwenwekkend of bangmakend mailtje de gebruikers ertoe verleidt ongemerkt een trojaans paard te laten installeren. De aanvaller kan daarmee vervolgens de computer controleren en gebruiken voor zijn eigen doeleinden, zoals het versturen van spam.
Vishing is de telefoonvariant van phishing waarbij de aanvaller geen mail stuurt, maar telefonisch contact opneemt met het slachtoffer.
Rondsnuffelen
[bewerken | brontekst bewerken]De computerkraker probeert vertrouwelijke informatie te krijgen door het snuffelen in vuilnisbakken, containers en prullenbakken. Deze techniek heet dumpster diving. Ook probeert een aanvaller rond te neuzen op de diverse plaatsen bij kopieermachines waar weleens vertrouwelijke documenten worden weggegooid, of verzameld. Hierbij zal de hacker wel eerst een vorm van insluiping moeten uitvoeren om het gebouw waar de vertrouwelijke gegevens te vinden zijn binnen te komen.
Maatregelen
[bewerken | brontekst bewerken]De belangrijkste maatregel tegen social engineering is het creëren van beveiligingsbewustzijn (security awareness). Daarbij is het enerzijds van belang de eindgebruikers te informeren over het belang van informatiebeveiliging en hen anderzijds te trainen op het herkennen van oneigenlijk gebruik.