- Door
- Rashid Niamat
- geplaatst op
- 20 april 2015 08:01 uur
Vorige week was het weer eens raak, een grote tv zender was duidelijk zichtbaar het slachtoffer van een hack. Het publiek hoorde snel: het was erg makkelijk voor de hackers geweest want ze waren achter een wachtwoord gekomen. Velen zullen zich hebben afgevraagd: hoe is dat toch mogelijk?
Het antwoord op die vraag: social engineering. Voor insiders een van de oudste termen die te linken is aan hacken, defacen en dergelijke. Het is door die ouderdom ook een term waarvan velen vinden dat zij er immuun voor zijn. Bij ons kan dat niet gebeuren want… gevolgd door een plausibel klinkend antwoord. Helaas de cijfers laten gewoon iets anders zien. Overal ter wereld, in elke sector, bij bedrijven groot en klein, is social engineering een van de meest succesvolle tools.
En er is nog een reden social engineering onder geen beding af te doen als iets dat alleen anderen betreft. De cijfers van het recent DBIR laten zien: wereldwijd was in 2014 in 70% van alle hacks, databreaches en dergelijke sprake van een aanval via ‘secondary systems’ (elders wordt ‘stepping stones’ als begrip gebruikt). De criminelen zetten de aanval niet frontaal in op het einddoel, maar proberen via systemen van leveranciers toegang te krijgen. Wie daar vervolgens op inzoomt, ziet dat het secondary system zowel kan zowel de website van de leverancier zijn als de systemen (frontend en backend) van de hoster waar hij gebruik van maakt. En raad eens wat een van de meest effectieve en daarom ingezette manieren blijkt te zijn via die route een digitale inbraak te plegen: inderdaad social engineering.
Daarom is social engineering iets waar nog meer aandacht aan besteed moet worden. De eerste stap is het duidelijk afspreken met de klant wie onder welke omstandigheid om welke informatie kan vragen, uiteraard gekoppeld aan een gedegen identificatiesysteem. Twee kanten uit moet het zijn: de klant hoort het van zijn provider en de provider weet exact wie namens de klant waarover contact mag opnemen.
En voor wie meer wil weten over de social engineering: recent is hier wetenschappelijk onderzoek naar gedaan in opdracht van Lanxess, TH Wildau en het vaktijdschrift KES. Hoewel in het Duits, en daarmee niet voor iedereen makkelijke kost, levert de samenvatting ‘Bluff Me If U Can’ (PDF) de nodige handvatten waarmee de eigen organisatie en de bestaande communicatie met klanten en leveranciers kritisch kan worden bekeken. Eigenlijk is dit soort onderzoek verplichte kost voor iedereen, want iedereen is potentieel slachtoffer van social engineering.
