Social Engineering Gestructureerd Model
Jelmer Boer Patrick van Kalken
Social Engineering Gestructureerd Model Jelmer Boer Patrick van Kalken Versie 26 November 2009 Scriptie ten behoeve van de opleiding IT Audit van de Vrije Universiteit gevestigd te Amsterdam
Social Engineering - Gestructureerd Model
Inleiding “Mensen zijn de zwakste schakel in de informatiebeveiliging” [48, 61, 64, 74]. In de beveiligingswereld wordt vaak onderscheid gemaakt tussen enerzijds fysieke en anderzijds logische beveiliging, waarbij fysieke beveiliging ingaat op de beveiliging van de toegang tot onder andere gebouwen en serverruimten en logische beveiliging op de toegang tot informatiesystemen. Traditioneel staat het begrip ‘beveiligen’ voor het beschermen van waarden, het treffen van maatregelen ter bescherming van mensen en middelen. In de dagelijkse praktijk worden vele aspecten van beveiliging van kostbare of kwetsbare bedrijfsinformatie beoordeeld. Men controleert veelal op basis van de documenten die aanwezig zijn, neemt regelmatig steekproeven op beschikbare informatie en controleert de integriteit van de gebruikte beveiligingssystemen. Zo ook binnen het IT audit werkveld, waar men met de IT General Controls (Change Management, Logische Toegangsbeveiliging en andere (continuïteits)maatregelen die een stabiele en beheerste IT omgeving garanderen) onder andere de integriteit, rechtmatigheid en kwaliteit van de beschikbare informatie binnen een organisatie beoordeelt. Uiteindelijk is het echter de mens die de IT General Controls inricht en bedient. Het grote gevaar ligt hier bij de medewerker die een inschatting maakt van een situatie waar de beveiliging ter discussie staat. De integriteit van medewerkers en het risicobewustzijn is moeilijk (zoniet onmogelijk) te beoordelen. Dit komt onder andere doordat de persoonlijke integriteit van medewerkers kan worden beïnvloed door het soort bedrijf en de bedrijfscultuur. De mate waarin medewerkers zich bewust zijn van beveiligingsrisico’s en eventuele maatregelen is een bekende factor bij het succes van beveiliging. Men kan zichzelf de vraag stellen wat de waarde is van het auditen van IT General Controls zonder rekening te houden met de integriteit en het bewustzijn van informatiebeveiliging en risico’s onder de medewerkers. Het misbruik maken van het vertrouwen van de mens in algemene zin bestaat in vele verschillende vormen. Zo ook in de IT wereld. Voor zover wij weten is een gestructureerde aanpak voor het tegengaan van deze ‘criminaliteit’ binnen het IT audit werkveld nog niet geformuleerd. Wij zijn dan ook geen literatuur tegengekomen bij de uitvoering van het onderzoek welke een preventieve aanpak beschrijft. Een bekende term voor dergelijke misleiding is ‘Social Engineering’. Deze term vormt de kern van dit onderzoek. In de dagelijkse praktijk wordt deze vorm van risico bij een IT General Controls audit doorgaans nog niet beoordeeld. Richtlijnen voor het beoordelen van het risico op Social Engineering kunnen van waarde zijn voor bedrijven die vatbaar zijn voor Social Engineering. Wanneer men verder redeneert, kunnen deze richtlijnen wellicht bruikbaar zijn binnen het IT Audit werkveld als normenkader voor het beoordelen van de integriteit en het bewustzijn van de risico’s van Social Engineering onder de medewerkers. Door middel van een uitgebreide literatuurstudie en beschrijving, interviews met de bedrijfscoach binnen Ernst & Young (Ad Buckens), de scriptiebegeleider (Joris Hulstijn), de helpdesk van een anoniem en de VU, het toetsen van praktijkvoorbeelden (Kevin Mitnick [74]) en onze eigen kennis en inzichten, hebben we deze scriptie samengesteld.
Pagina 1
Social Engineering - Gestructureerd Model Vanuit het onderwerp Social Engineering hebben we de volgende onderzoeksvraag samengesteld: Is het tegengaan van Social Engineering te structureren? Het structureren van maatregelen tegen Social Engineering is een lastig punt omdat er rekening gehouden moet worden met het menselijke gedrag (psychologie). Standaard maatregelen zoals minimale lengte van een wachtwoord zullen niet werken. Hierdoor zullen maatregelen bedacht moeten worden die het bewust zijn van de risico’s van Social Engineering verhogen. Om antwoord te geven op deze onderzoeksvraag hebben wij de vraag verdeeld in een aantal subvragen: 1. Wat is Social Engineering? 2. Structureer en benoem welke verschillende vormen van Social Engineering er zijn? 3. Hoe erg is Social Engineering in juridische zin? 4. Hoe bewust is men zich in de praktijk van de risico’s van Social Engineering? 5. Wat zijn de relevante consequenties voor het IT Audit werkveld? 6. Hoe kan een structuur van maatregelen tegen Social Engineering eruit zien? De scriptie is als volgt opgebouwd: 1. In sectie 1 ‘Social Engineering’ beantwoorden wij de subvragen ‘Wat is Social Engineering?’, ‘Structureer en benoem welke verschillende vormen van Social Engineering er zijn?’ en ‘Hoe erg is Social Engineering, dat wil zeggen, wat zijn de juridische consequenties?’ door middel van literatuurstudie en het houden van interviews met collega auditors en vakdeskundigen. Deze activiteiten hebben tot doel om (voor zover mogelijk) alle bekende vormen van Social Engineering te benoemen. Tevens zullen wij in deze sectie preventiemomenten definiëren in het door ons opgestelde model rondom een Social Engineering aanval. 2. In sectie 2 ‘Praktijk’ toetsen wij het bewustzijn met betrekking tot Social Engineering. Dit wordt getoetst door twee praktijktesten die wij zelf uitvoeren en door middel van analyse op 10 scenario’s van Social Engineering aanvallen uit het boek ‘The art of deception’ door Kevin Mitnick [74]. 3. In sectie 3 ‘Evaluatie’ evalueren wij de resultaten en geven wij antwoord op de subvraag ‘Hoe bewust is men zich in de praktijk van de risico’s van Social Engineering?’ Tevens zullen wij in deze sectie op basis van de resultaten een koppeling maken met en antwoord geven op de subvraag ‘Wat zijn de relevante consequenties voor het IT Audit werkveld?’ 4. In sectie 4 ‘Conclusie’ zullen wij op basis van de opgedane kennis trachten een handreiking te geven om de verschillende vormen van Social Engineering tegen te gaan. Dit dient als antwoord op de vraag ‘Hoe kan een structuur van maatregelen tegen Social Engineering eruit zien?’ Met structuur bedoelen wij hier een overzicht van maatregelen gebaseerd op de uitkomsten van de scenario’s en praktijktesten. Voor de methode van onderzoek voor het praktijkgedeelte hebben wij primair gekozen voor het beoordelen van scenario’s uit het boek van Kevin Mitnick (The Art of Deception) [74]. Wij vinden dit een goede methode aangezien Kevin Mitnick een van de vooraanstaande personen is op het gebied van Social Engineering. De door ons geselecteerde scenario’s zijn bruikbaar voor deze scriptie omdat de scenario’s voldoende inhoud bevatten en omdat verschillende Social Engineering technieken worden gebruikt.
Pagina 2
Social Engineering - Gestructureerd Model De geselecteerde scenario’s vinden plaats in de Verenigde Staten. De scenario’s zijn representatief omdat ze verglijkbaar in de Nederlandse maatschappij uitgevoerd kunnen worden. De gebruikte Social Engineering technieken zijn in elk land toepasbaar. Juridisch gezien gelden in de Verenigde Staten andere wetten. We kunnen echter de scenarios wel tegen de Nederlandse wetgeving aanhouden aangezien de scenario’s verglijkbaar zijn met een Nederlandse situatie. We moeten echter wel een tweetal kanttekeningen plaatsen: • Het boek van Kevin Mitnick (The Art of Deception) [74] is inmiddels gedateerd en geautomatiseerde beveiligingsmaatregelen zijn de laatste jaren aanzienlijk verbeterd. Een voorbeeld is de toegang tot Internet welke steeds vaker gecentraliseerd is binnen de organisatie. De toegangswegen tot het netwerk worden daarmee in toenemende mate beperkt. • De Amerikaanse cultuur is anders dan de Europese. Amerikaanse beveiligingsspecialisten kijken anders tegen beveiligingsmaatregelen aan dan Nederlandse. Tevens hebben wij voor twee praktijktesten in Nederland gekozen om niet enkel en alleen onze conclusies te baseren op de scenario’s van Kevin Mitnick.
Pagina 3
Social Engineering - Gestructureerd Model
Inhoudsopgave 1 1.1 1.2 1.3
1.4 1.5 1.6
1.7
1.8 2 2.1
2.2
Social Engineering Definitie Het proces De ‘Social Engineer’ 1.3.1 Doel 1.3.2 Fraudedriehoek Plan of Attack Informatie vergaren Social Event 1.6.1 Acceleratoren 1.6.2 Psychologische principes van Cialdini Maatregelen 1.7.1 Social Engineer 1.7.2 Informatie vergaren 1.7.3 Social Event Juridische aspecten
5 5 6 7 7 8 9 11 14 14 18 23 24 25 25 28
Praktijk Praktijktests 2.1.1 Praktijk VU Amsterdam 2.1.2 Praktijk anoniem bedrijf Scenario’s uit ‘The art of Deception’ door Kevin D. Mitnick 2.2.1 Scenario 1 (Pagina 4) 2.2.2 Scenario 2 (Pagina 16) 2.2.3 Scenario 3 (Pagina 22) 2.2.4 Scenario 4 (Pagina 26) 2.2.5 Scenario 5 (Pagina 42) 2.2.6 Scenario 6 (Pagina 48) 2.2.7 Scenario 7 (Pagina 55) 2.2.8 Scenario 8 (Pagina 61) 2.2.9 Scenario 9 (Pagina 64) 2.2.10 Scenario 10 (Pagina 77)
32 32 33 38 41 42 46 50 55 57 60 62 67 70 79
3 3.1
Evaluatie Overzicht van karakterestieken
82 83
4
Conclusie
86
Bijlagen Bijlage 1.
89 89
Bronnen
Pagina 4
Social Engineering - Gestructureerd Model
1
Social Engineering
In deze sectie hebben wij onze theorie achter Social Engineering met behulp van beschikbare literatuur gedefinieerd en beschreven. Allereerst is een overzicht weergegeven van definities die te vinden zijn in de literatuur. Vervolgens hebben wij Social Engineering benaderd als een proces. Dit proces is gehanteerd als model voor de uitwerking van de praktijkscenario’s in sectie 2 Praktijk. De belangrijkste fasen in het model zijn nader toegelicht en er is een literatuurstudie verricht ter ondersteuning van het door ons ontwikkelde model. In het model zijn een aantal momenten geïdentificeerd waarbij het proces kan worden stopgezet en de Social Engineer niet bij het uiteindelijke doel kan komen. Tot slot is de juridische kant van Social Engineering belicht.
1.1
Definitie
Steeds vaker wordt de term ‘Social Engineering’ [37] gebruikt bij diefstal van kostbare informatie of pogingen daartoe. Echter, wat is ‘Social Engineering’ en wordt de term niet ongepast gebruikt? In dit onderzoek wordt getracht een model te definieren waarmee Social Engineering in een duidelijk kader wordt geplaatst. Met dit kader kan een duidelijk onderscheid worden gemaakt wat wel en wat niet onder de term ‘Social Engineering’ valt. Met een duidelijke definitie zijn ook de maatregelen eenvoudiger te definiëren. Enkele definities van de term ‘Social Engineering’ uit de literatuur: C. Paradowski [67]: “The art and science of getting people to comply to your wishes” T. Thornburgh [69]: “Social Engineering is a social / psychological process by which an individual can gain information from an individual about targeted organization” M. Hermansson [60]: “Social Engineering is the term for using human deception as means for information theft” M. Allen [48]: “Social Engineering can be regarded as ‘people hacking’, basically its hacker jargon for soliciting unwitting participation from a person inside a company rather than breaking into the system independently” C. Jones [62]: “Breaking an organisation’s security by interaction with people” Onze definitie is uit de bovenstaande definities, het literatuuronderzoek en praktijkcases ontstaan. Onze definitie is als volgt: “Social Engineering is het manipuleren van mensen tot het geven van informatie wat onder normale omstandigheden niet zou gebeuren”
Pagina 5
Social Engineering - Gestructureerd Model
1.2
Het proces
In onze visie is Social Engineering een proces met input en output. We hebben dit proces in het onderstaande figuur weergegeven:
Social Engineer
Plan of attack Personal Information Internet
Media and Papers
Company information
Gather information
Adjust Plan when required
Others Others
No
Social Event
Reached end goal?
Milestone goal
Target person
Yes
End goal
Het proces bestaat onder andere uit de volgende hoofdbestanddelen, die we verder uit zullen diepen in de volgende secties: - Social Engineer, de persoon die voornemens is een misdrijf te plegen - Plan of Attack, het plan dat de Social Engineer hanteert om zijn doel te bereiken - Gather Information, het vergaren van de benodigde informatie om een goede relatie op te bouwen - Social Event, het werkelijke Social Engeneering Event waarbij het contact met het slachtoffer wordt aangelegd In dit schema is de kwaliteitscircel van Deming (Plan, Do, Check/Study, Act wheel) opgenomen [5, 20]. Deze fasen kunnen als volgt worden gelinkt: - Plan ‘Gather information’ - Do ‘Social Event’ - Check/Study ‘Reached end goal?’ - Act ‘Adjust Plan when required’ Dit iteratieve proces kan gevolgd worden tot het uiteindelijke doel bereikt is, tenzij de aanval wordt verijdeld. Pagina 6
Social Engineering - Gestructureerd Model
1.3
De ‘Social Engineer’
De Social Engineer is het brein achter het uitvoeren van een aanval. Deze persoon (of groep van personen met een gezamenlijk doel) kan elke vorm van relatie hebben met het uiteindelijke slachtoffer. De genoemde relatie kan zelfs binnen een huwelijk plaatsvinden. Geen relatie kan in dit geval ook een vorm zijn. Echter, om tot het doel te komen zal de Social Engineer toch een meergraads relatie (relatie van een relatie, et cetera) moeten hebben om: - Het doel te onderkennen (zonder een vorm van relatie zal kennis over het doel niet bestaan) - Een aanvalsroute te kunnen bepalen (een ketting van potentiële relaties moet kunnen worden opgezet)
1.3.1 Doel Het doel van ‘Social Engineering’ is het verkrijgen van waardevolle zaken. Waar deze zaken vervolgens voor worden gebruikt, valt buiten de scope van dit onderzoek (motivatie van de dader kan bijvoorbeeld zelfverrijking zijn, maar ook wraakgevoelens). De voorwaarden voor het uitvoeren van een ‘Social Engineering’ aanval past in het profiel van de fraudedriehoek (evenals vrijwel alle misdaden) (zie sectie 1.3.2 Fraudedriehoek). In het huidige economische klimaat is het plegen van fraude gevoelsmatig een groter risico dan in een florerende economie. Dit wordt ook bevestigd in een recent onderzoek waarin de onderzochte organisaties aangeven dat ze de kans op fraude in het huidige economische klimaat (anno 2009) hoger inschatten (42% van de organisaties)[54]. Een ex-werknemer die zijn oud werkgever nog wil benadelen of nog waarde aan de organisatie wil onttrekken, kan dat vaak nog relatief eenvoudig doen en bedient zich daarbij veelal onbewust van Social Engineering technieken.
Pagina 7
Social Engineering - Gestructureerd Model
1.3.2 Fraudedriehoek Het begrip fraude laat zich niet gemakkelijk definiëren. Om van fraude te kunnen spreken moet er sprake zijn van een drietal kenmerken en is als het volgt te defineren: “Fraude betreft een opzettelijke handeling waarbij door het geven van en onjuiste voorstelling van zaken een gepretendeerde rechtvaardiging voor de handeling ontstaat, waardoor een onrechtmatig voordeel wordt verkregen.” [75]. Het voordeel waarna wordt erwezen in de definitie is in de meeste gevallen een financieel gewin. Niet alleen met geld maar ook met goederen, tijd en informatie kan gefraudeerd worden. Bij goederen valt te denken aan diefstal voor eigen gebruik of om privé door te verkopen. Bij tijd aan structureel en onnodig overwerk, alleen of in groepsverband. Ook onterecht ziek melden om ander werk te kunnen doen valt onder frauderen met tijd. De concurrentie kan op bedrijfsgevoelige informatie uit zijn. Maar ook eigen personeel kan informatie gebruiken om voor zichzelf te beginnen. Dit laatste wordt ook wel een paleisrevolutie genoemd [73]. In het kader van Social Engineering zal met name gefraudeerd worden met informatie en goederen. Om van fraude te kunnen spreken moet er sprake zijn van een doelbewust handelen dat versluierd wordt om zodoende een niet wettelijk toegestaan voordeel te krijgen. Zoals hierboven beschreven kan er met geld, goederen, tijd en informatie gefraudeerd worden. De fraudedriehoek wordt in de accountancy gehanteerd als voorwaarde voor het uitvoeren van fraude. Om inzicht te krijgen in het ontstaan van fraude is een verdere analyse noodzakelijk. Niet alleen ‘door wie’ fraude wordt gepleegd, maar ook welke ‘factoren’ een rol spelen met de aanzet tot het frauderen is van belang. Voor een analyse van deze factoren komt de “Fraudedriehoek” [75] goed van pas.
De Fraudedriehoek bestaat uit de volgende elementen: - Pressure (Druk) - Opportunity (Gelegenheid) - Rationale (Rationalisatie) Een bekend spreekwoord is, de gelegenheid maakt de dief. Voor fraude komen er nog twee andere factoren bij kijken. Dit zijn druk en rationalisatie. Wanneer een van de elementen afwezig is, is de kans op fraude minimaal tot nihil.
Pagina 8
Social Engineering - Gestructureerd Model Pressure (Druk) Om fraude te plegen, of in de Social Engineering context een relatie aan te gaan ten behoeve van het achterhalen van waardevolle informatie, moet er druk aanwezig zijn. Deze druk kan in verschillende vormen bestaan. Voorbeelden van druk zijn: - Schulden - Verplichtingen - Behoeftes Zonder deze druk zal de behoefte niet bestaan om een ‘misdaad’ te begaan. Opportunity (Gelegenheid) Een gelegenheid moet zich voordoen om tot misdaad over te gaan. Wanneer geen gelegenheid bestaat voor het aangaan van relaties teneinde een ‘Social Engineering’ misdaad te begaan, zal de misdaad niet plaats vinden. Rationale (Rationalisatie) Voor het plegen van een misdaad (waaronder Social Engineering valt) zal de dader voor zichzelf moeten rechtvaardigen waarom de daad wordt uitgevoerd. Voorkomende rationalisaties zijn onder andere: - ‘Ik heb het verdiend’ - ‘Ik ben het verplicht aan…’ - ‘… heeft het ook, dus ik mag …’ Daarnaast kunnen wraakgevoelens een rol spelen in de overweging om een misdaad te begaan.
1.4
Plan of Attack
Aan een Social Engineering aanval zal een strategie ten grondslag liggen. Hoe moeilijker het doel te bereiken is, des te inventiever zal de aanvalstrategie moeten zijn. Hierdoor zal ook de intentie van de Social Engineer tot uiting komen. Afhankelijk van de intentie zal de Social Engineer meer aandacht besteden aan het uitwerken van een plan. Structuur In het aanvalsplan kunnen we twee verschillende typen aanvallen onderkennen. Een aanval met een gestructureerde doelgerichte aanpak, of een aanval waarbij zoveel mogelijk informatie wordt vergaard zonder structuur. Daar waar geen structuur aanwezig is, zal het doel naar alle waarschijnlijkheid ook niet duidelijk zijn. De Social Engineer zal door middel van diverse methoden willekeurige informatie zien te achterhalen die wellicht waardevol kan zijn. De benodigde informatie zal ook minder zijn, omdat het doel niet duidelijk is. Deze aanpak heeft minder kans van slagen dan een gestructureerde aanpak. Bij een gestructureerde aanpak heeft de Social Engineer een duidelijk doel voor ogen. De Social Engineer weet welke informatie bij het slachtoffer moet worden ‘verkregen’ om het doel te bereiken. Door het duidelijk stellen van deze vraag wordt ook duidelijk welke informatie benodigd is om het slachtoffer te benaderen. Op deze manier kan een plan worden opgesteld om tot het uiteindelijke doel te komen.
Pagina 9
Social Engineering - Gestructureerd Model Relaties versus Complexiteit De complexiteit van het plan is afhankelijk van de relationele afstand tot het uiteindelijke doel (ofwel hoeveelheid relaties die gelegd moeten worden). Elke iteratie brengt een extra complexiteit met zich mee. Hoe verder het doel van de Social Engineer af staat, des te complexer wordt het plan van aanval. De kans dat een aanval wordt herkend wordt ook groter aangezien meer mensen met de aanval te maken krijgen.
Veel van de Social Engineering aanvallen zijn relatief eenvoudig aangezien er slechts één iteratieslag e wordt gehanteerd (1 graads relatie). Het hoofd slachtoffer wordt direct benaderd voor de juiste informatie om tot het doel te komen. Denk hierbij aan het achterhalen van Username/Password combinaties door de eindgebruiker direct te bellen. Het wordt echter al complexer wanneer eerst de secretaresse of receptie moet worden gebeld om de e naam van het hoofdslachtoffer te achterhalen (2 graads relatie). Een wetenswaardigheid, volgens Duncan J. Watts - Six Degrees ‘The science of a connected age’ [77] heeft ieder persoon binnen 6 stappen een relatie met elk willekeurig ander persoon op aarde.
De complexiteit van de aanval is sterk afhankelijk van de afstand tot het uiteindelijke doel. Dit is echter niet de enige factor die een rol speelt. De vertrouwelijkheid van de beoogde informatie maakt het complexer om deze te achterhalen.
Pagina 10
Social Engineering - Gestructureerd Model
1.5
Informatie vergaren
Ter voorbereiding van het aangaan van een relatie (het eigenlijke ‘Social Event’) kan gebruik worden gemaakt van verschillende middelen. Deze middelen kunnen worden gebruikt als bronnen van informatie om het maken van contact eenvoudiger te maken (zie sectie 1.6.1 Acceleratoren voor een overzicht van mogelijke versnellers voor het maken van contact). In onze definitie is het gebruik maken van deze middelen slechts de voorbereiding van het daadwerkelijke ‘Social Event’, dus geen onderdeel hier de werkelijke aanval. Door de middelen onderdeel te maken van de definitie, ontstaat een wildgroei aan definities en daarmee groeit de onduidelijkheid. De hoeveelheid middelen die gebruikt kan worden ten behoeve van Social Engineering is onbeperkt. Alles waar informatie vandaan te halen is, kan als middel worden gebruikt ter voorbereiding. Dit kan persoonlijke informatie zijn, zoals een agenda met privé afspraken of publiekelijk toegankelijke informatie zoals een helpdesk telefoonnummer maar ook waardevolle informatie. Bij waardevolle informatie kan men denken aan: - Jaarrekeningen - Strategische plannen - Organisatiestructuren - Processflows - Nieuwe producten / ontwerpen - Persoonslijsten (Naam, adres, woonplaats, e-mail adressen en telefoonnummers) - Functieomschrijvingen - Klantinformatie Combinaties van deze documenten kunnen op zichzelf al tot zeer waardevolle informatie leiden, echter dit valt in onze ogen nog niet onder het werkelijke contact (wat in ons model het ‘Social Event is’) daar in de onderstaande gevallen nog geen interactie plaatsvindt met personen. Om te komen tot de informatie die benodigd is voor het aangaan van een relatie kunnen verschillende middelen worden gehanteerd. In de literatuur is een aantal bekende voorbeelden genoemd: Search Engines Op Internet zijn diverse Search Engines beschikbaar. Bekende voorbeelden hiervan zijn ‘Google’, “Altavista’ en ‘MSN Search’. Deze Search Engines zijn in staat documenten op te leveren die mogelijk informatie bevatten ter voorbereiding van het aangaan van een relatie (wellicht bevat de documentatie informatie waardoor de relatie überhaupt niet meer nodig is) [47]. Newsgroups / Forums Nieuwsgroepen en forums bestaan uit een verzameling van berichten aangaande een specifiek onderwerp. Op deze forums kunnen discussies worden gestart rond onderwerpen van interesse. Op veel van deze forums laten gebruikers hun gegevens (vaak e-mail adressen) achter. Uit de berichten die zijn achtergelaten, kan wellicht worden achterhaald wat voor functie de persoon in kwestie uitvoert ofwel of de persoon relaties heeft met personen van belang [21, 22, 23].
Pagina 11
Social Engineering - Gestructureerd Model Job sites Op internet zijn diverse job sites aanwezig. Deze sites bieden een podium voor werkgevers om zichzelf voor te stellen. Naast het bedrijfsprofiel en andere relevante informatie wordt mogelijk ook duidelijk waar veel verschuivingen plaatsvinden (er zijn immers vacatures open) en de organisatie dus kwetsbaar is. Maar ook individuele personen stellen zich voor als mogelijke werknemers. Hierbij is vaak een CV toegevoegd waarin het gehele professionele en soms het privé leven wordt gedeeld. Uit deze informatie kan waardevolle informatie worden gefilterd om een relatie op te kunnen bouwen. Een voorbeeld hiervan zijn ‘hobbies’. Een gezamenlijke hobby schept al snel een band. Corporate website Veel bedrijfsinformatie wordt getoond op de corporate websites. Belangrijke projecten die succesvol zijn afgerond worden trots gepubliceerd waarbij de verantwoordelijke persoon met naam, toenaam en functie wordt genoemd. Soms ook met foto, waardoor herkenning mogelijk wordt gemaakt. Tevens is van corporate websites veel financiële informatie te vinden in bijvoorbeeld Jaarverslagen. Social networks Op het internet zijn vele zogenaamde social networks te vinden. Een social network is een systeem waarbij mensen zich als gebruiker registreren. Wanneer je geregistreerd bent, ben je onderdeel van het social network en kun je op zoek gaan naar vrienden, familie, collega’s en bekenden. Waar de Social Engineer op zoek is naar specifieke informatie over een persoon teneinde een relatie met die persoon op te bouwen, is veel persoonlijke informatie op de profielpagina van de persoon terug te vinden. Een ander voorbeeld van een variatie op de social networks zijn datingsites waarop veel privé informatie wordt gedeeld. Ook chatboxen zijn een bron van informatie waarbij op profielpagina’s vaak persoonlijke informatie als hobby’s, favoriet eten en dergelijke worden gedeeld. De vergaarde informatie uit de profielpagina’s kunnen hier als middel worden aangemerkt. Maar wanneer communicatie (in een chatbox chatten of een e-mail versturen) wordt gestart, is in feite gestart met het opbouwen van een relatie, wat onderdeel van het ‘Social Event’ is. Telefoongids In de telefoongids is gemakkelijk te achterhalen wat de NAW gegevens en het telefoonnummer van bepaalde personen zijn. Met deze informatie kan communicatie opgezet worden ten behoeve van het ‘Social Event’. Naast de telefoongids kan de Gouden Gids of verglijkbare gidsen een bron van informatie zijn. Krant In de krant staan vaak advertenties die waardevolle informatie bevatten. Bij nieuwsfeiten worden betrokkenen bij naam genoemd. Naar aanleiding van het feit kan wellicht een opening worden gevonden voor het leggen van relaties bij plaatsvervangende collega’s. Ook advertenties of overlijdensberichten bieden een bron van informatie.
Pagina 12
Social Engineering - Gestructureerd Model Eavesdropping Het simpelweg afluisteren van personeel. Dit kan door zelf aanwezig te zijn, maar denk hierbij ook aan het gebruik van afluisterapparatuur [8, 9]. Een andere vorm van Eavesdropping kan ook het gebruik van een keylogger zijn. Dit is een applicatie die geïnstaleerd kan worden op het systeem van het slachtoffer om de toetsaanslagen op te nemen. Als de logs op een later moment worden uitgelezen, kan de Social Engineer lezen wat de toetsaansagen zijn geweest. Hier kunnen bijvoorbeeld Username en Password in staan of de tekst uit vertrouwelijke documenten die geschreven zijn door het slachtoffer [19]. Desk sniffing Desk sniffing wil eigenlijk zeggen ‘het doorzoeken van een bureau’. Bij Desk sniffing wordt een werkplek doorzocht naar relevantie informatie. Veel kostbare informatie wordt genoteerd op post-it’s of kladblokken. Deze worden soms roekeloos achtergelaten op het bureau. Een veel voorkomend probleem is het noteren van het password op een post-it die op het beeldscherm wordt geplakt. Ondanks dat desk sniffing vaak wordt aangemerk als ‘Social Engineering’, valt dit in onze ogen echter niet onder onze definitie. Er is immers geen sprake van het opbouwen van een relatie. Het kan daarentegen wel worden gehanteerd als een middel ter voorbereiding van het ‘Social Event’. Een variatie op Desk sniffing is ‘Dumpster Diving’ [7] waarbij niet de werkplek, maar de afvalcontainer wordt doorzocht.
Pagina 13
Social Engineering - Gestructureerd Model
1.6
Social Event
Het Social Event is in onze ogen het daadwerkelijke ‘Social Enginering’. Bij deze handeling wordt het contact gelegd met het slachtoffer om het doel te bereiken.
1.6.1 Acceleratoren De Social Engineer kan gebruik maken van verschillende acceleratoren voor zijn aanval. Een accelerator is een ‘truc’ om de relatie gemakkelijker tot stand te brengen en sneller of eenvoudiger tot het doel te komen van het Social Event. In deze paragraaf wordt ingegaan op welke acceleratoren de Social Engineer kan gebruiken en op welke wijze hij deze acceleratoren kan inzetten.
1.6.1.1Positionering De Social Engineer maakt bij een directe aanval gebruik van verschillende positioneringen om te proberen de aanval succesvol uit te voeren. Uit de bestudeerde literatuur blijkt dat een Social Engineer veel verschillende positioneringen toepast om te misleiden, te manipuleren en in te spelen op het niet bewust zijn van het slachtoffer. De verschillende bronnen hebben hun eigen visie hoe deze verschillende positioneringen ingezet kunnen worden en welke gevolgen dit heeft. Een eenduidige structuur is hierdoor moeilijk aan te brengen. Daarom wordt een algemene beschrijving gegeven van de geïnventariseerde positioneringen uit de bestudeerde literatuur. Vleierij Vleierij is een manier van communicatie over en weer waarbij het slachtoffer overmatig of onoprecht wordt geprezen of gecomplimenteerd [13]. De Social Engineer probeert met deze positionering in te spelen op bepaalde menselijke eigenschappen om zo een comfortabele situatie te creëren. De Social Engineer probeert vervolgens deze comfortabele situatie uit te buiten [49, 57]. Intimidatie Intimidatie is een manier van communicatie over en weer waarbij het slachtoffer opzettelijk bang wordt gemaakt om hem of haar er toe te zetten iets te doen. De Social Engineer kan zich bijvoorbeeld voordoen als een autoriteit. Intimidatie wordt gebruikt om een oncomfortabele situatie te creëren. Het slachtoffer komt niet graag in zo´n situatie terecht en zal zo snel mogelijk uit deze situatie willen komen en daardoor eerder zijn geneigd aan bepaalde verzoeken te voldoen [49, 52, 62]. Flirten Flirten is een manier van communicatie over en weer waarbij avances worden gemaakt en de seksuele interesse van het slachtoffer wordt opgewekt. Met flirten wordt er een comfortabele situatie gecreëerd die uitgebuit kan worden [50, 57].
Pagina 14
Social Engineering - Gestructureerd Model Vriendelijk zijn Deze manier van communicatie over en weer spreekt voor zich. Door vriendelijk te zijn wordt ingespeeld op de eigenschap van het slachtoffer om aardig gevonden te willen worden. Het gaat hierbij om het creëren van een aangename situatie en het vergroten van de geloofwaardigheid waardoor het slachtoffer hulpvaardiger wordt [56, 57]. Bedrijfsjargon gebruiken Het gebruik van bedrijfsjargon zoals bedrijfsafkortingen, afdelingen, bedrijfsprocessen en dergelijke vergroot de geloofwaardigheid [52, 69]. Namedropping Bij namedropping worden de namen van medewerkers gebruikt om een geloofwaardige identiteit bij het slachtoffer te creëren. Dit vergroot het vertrouwen waardoor het slachtoffer sneller zal voldoen aan bepaalde verzoeken [49, 62, 68, 69]. Diffusion of responsibility (verdeling van verantwoordelijkheid) Dit is een positionering die wordt gebruikt om het slachtoffer te laten geloven dat hij niet alleen verantwoordelijk is voor bepaalde acties. Dit verlaagt de drempel om te voldoen aan een verzoek [56, 57, 59, 68]. Urgency (urgentie) Met urgentie creëert de Social Engineer een situatie waaruit blijkt dat er haast achter een verzoek zit en dat dit verzoek met spoed moet worden uitgevoerd. Het slachtoffer wordt met klem verzocht om te voldoen aan dit verzoek omdat er anders voor iedereen, dus ook voor het slachtoffer dat wordt beïnvloed, negatieve consequenties aan verbonden zijn. Doordat het slachtoffer snel moet handelen, kan dit een mentale kortsluiting [68] als gevolg hebben waardoor het slachtoffer een onjuiste beslissing neemt omdat hij geconfronteerd wordt met de mogelijke gevolgen[54]. Overloading (overbelasting) Overloading is het overladen van het slachtoffer met informatie waardoor het slachtoffer niet in staat is deze informatie effectief te verwerken. Het slachtoffer kan niet meer logisch redeneren [68] waardoor het slachtoffer de informatie slechts tot zich neemt in plaats van deze te evalueren. Het slachtoffer zal hierdoor eerder geneigd zijn aan bepaalde verzoeken te voldoen. Een vorm van overloading is het beginnen van een discussie over een onderwerp waarvan het slachtoffer niet op de hoogte is. Het slachtoffer heeft tijd nodig om bekend te worden met het onderwerp maar die tijd is er niet. Het slachtoffer zal sneller argumenten accepteren zonder dat deze goed zijn doordacht [56, 63]. Strong affect (sterke beïnvloeding) Strong affect is het veroorzaken van een verhoogde emotionele toestand van het slachtoffer. Het slachtoffer wordt geconfronteerd met een gevoel van verassing, anticipatie, of boosheid waardoor minder goed met de aangedragen informatie wordt omgegaan. Bij strong affect wordt ingespeeld op de verandering van de geestelijke toestand van het slachtoffer waardoor het slachtoffer niet meer logisch kan denken [68] en daardoor eerder toegeeft aan verzoeken [69].
Pagina 15
Social Engineering - Gestructureerd Model Direct approach (directe benadering) Direct approach is de directe benadering van het slachtoffer, en waarbij zonder omweg wordt gevraagd te voldoen aan een verzoek. Deze positionering is het meest risicovol omdat dit argwaan kan opwekken waardoor het verzoek geweigerd kan worden [52, 68]. Authority (autoriteit) Authority is een positionering die wordt gebruikt om het slachtoffer te intimideren. Door zich voor te doen als een belangrijke persoon, of aan te geven dat een opdracht vervuld moet worden voor een belangrijke persoon wordt het slachtoffer onder druk gezet om aan een bepaald verzoek te voldoen [49, 52, 57].
1.6.1.2Situatie Met behulp van de verschillende benaderingen kan de Social Engineer proberen bepaalde situaties te creëren. Deze situaties hebben betrekking op de gemoedstoestand van de mens. In de bestudeerde literatuur komt niet nadrukkelijk naar voren welke situaties er gecreëerd worden. Wel wordt bij een aantal technieken aangegeven op welke eigenschappen, waaronder emoties, wordt ingespeeld. Grofweg kunnen twee situaties gecreërd worden. Comfortabele situatie De comfortabele situatie is een situatie waarin het slachtoffer een gevoel van controle heeft, zich veilig voelt en zich op zijn gemak voelt [65]. Door het slachtoffer op zijn gemak te stellen door bijvoorbeeld vleierij, flirten, vriendelijk te zijn of namedropping toe te passen kan de Social Engineer een comfortabele situatie creëren [52, 68, 69]. Deze situatie kan gebruikt worden om één of meerdere doelen te bereiken. Het voordeel van het creeëren van de comfortabele situatie is dat wanneer deze niet aanslaat, de onconfortabele situatie nog kan worden geprobeerd. Dit is andersom lastiger dan niet onmogelijk. Oncomfortabele situatie Dit is een situatie waar het slachtoffer zich niet graag in bevindt en waar hij zo snel mogelijk uit wil. Het slachtoffer voelt zich bedreigd, heeft de situatie niet meer in de hand, is bang om in de problemen te komen en kan meestal niet meer logisch redeneren [68, 70]. Door bijvoorbeeld te intimideren, overloading of authority toe te passen kan het slachtoffer onder druk worden gezet[65]. Omdat het slachtoffer zo snel mogelijk uit deze oncomfortabele situatie wil komen, zal hij mogelijk sneller besluiten om aan een verzoek van de Social Engineer te voldoen zonder dit besluit goed overwogen te hebben [56, 69]. Voorbeelden Als een Social Engineer een bepaalde aanval uitvoert dan probeert hij door het gebruik van verschillende acceleratoren een bepaalde situatie te creëren, die hij vervolgens probeert uit te buiten. De Social Engineer kan hierbij gestructureerd en/of ongestructureerd te werk gaan. Een voorbeeld van een gestructureerde manier is dat de Social Engineer vooraf bepaalt of hij het slachtoffer in een comfortabele of oncomfortabele positie wil brengen. Door een bepaald slachtoffer op te bellen kan de Social Engineer acceleratoren zoals vleierij, strong affect en vriendelijk zijn gebruiken om zo
Pagina 16
Social Engineering - Gestructureerd Model het slachtoffer op zijn gemak te stellen. Hiermee bereikt de Social Engineer een comfortabele situatie en wint hij het vertrouwen van het slachtoffer waardoor hij één of meerdere doelen kan bereiken. Een voorbeeld van een ongestructureerde manier is het opbellen van een slachtoffer, waar de Social Engineer het gebruik van acceleratoren af laat hangen van het verloop van het gesprek met het slachtoffer. De Social Engineer belt het slachtoffer op en constateert dat het slachtoffer erg behulpzaam is. De Social Engineer kan authority, urgency en intimidatie gebruiken en zo het slachtoffer in een oncomfortabele positie brengen. Dit is dus een situatie die de Social Engineer naar aanleiding van het verloop van het gesprek creëert.
1.6.1.3Menselijke eigenschappen Met de kennis van de acceleratoren en situaties kan de Social Engineer inspelen op de eigenschappen van de mens of deze juist uitbuiten. Ieder mens kent behalve een aantal unieke eigenschappen ook een aantal eigenschappen die iedereen in meer of mindere mate bezit. De Social Engineer gebruikt deze eigenschappen bij het voorbereiden en uitvoeren van een aanval. De literatuurstudie heeft een aantal algemene eigenschappen van de mens opgeleverd, Overigens betekent dit niet dat hiermee het overzicht volledig is. Achteloosheid Dit heeft betrekking op de onoplettendheid, nonchalance en onwetendheid van de mens. Omdat een mens niet voordurend bezig is de omgeving te observeren, zal hij niet alles wat er in die omgeving gebeurt waarnemen. De nonchalance van de mens heeft betrekking op het negeren van de geldende regels en wat er in de omgeving gebeurt. Dit kan bewust zijn, maar ook als gevolg van onwetendheid [54, 65, 68]. Lage betrokkenheid De mens voelt zich betrokken bij zaken die hem direct aangaan. Dat kan bijvoorbeeld zijn vanwege zijn positie binnen een organisatie. Bij zaken die niet direct betrekking hebben op de werkzaamheden behorende bij zijn functie of positie voelt de mens zich minder betrokken en bovendien kan de kennis op dit gebied ontbreken. In deze situatie is de mens eerder geneigd om dingen aan te nemen van een ander persoon. Bovendien is het moeilijk voor de mens om in te schatten wat de implicaties van een bepaalde actie kunnen zijn [62]. Behulpzaam willen zijn Mensen willen graag behulpzaam zijn [62]. Doordat de mens graag behulpzaam wil zijn, kan de Social Engineer hier gebruik en/of misbruik van maken door een beroep te doen op de mens [58]. Mensen vertrouwen Mensen vertrouwen graag andere mensen. Een Social Engineer kan hier gebruik en/of misbruik van maken door met een overtuigend verhaal te komen. De mens zal bij een overtuigend verhaal snel aannemen dat het in orde is en de Social Engineer vertrouwen voor wie hij zegt te zijn [57]. Gemogen willen worden
Pagina 17
Social Engineering - Gestructureerd Model Over het algemeen willen mensen aardig worden gevonden. Als mensen je mogen, betekent het dat je geaccepteerd en gerespecteerd wordt, wat je een goed gevoel geeft. Als iemand jou graag mag, dan heb je voor die persoon ook vaak meer over [62]. Integer willen zijn Over het algemeen willen mensen integer overkomen. Integer zijn heeft betrekking op het doen wat je zegt, en zeggen wat je doet [25]. Een integer persoon houdt zich aan wat hij heeft gezegd of beloofd en wijkt ook in moeilijke tijden niet af van zijn principes, loyaliteit en afspraken [56, 60]. Emoties Een Social Engineer kan het rationele denken van een slachtoffer beïnvloeden door in te spelen op de emoties van de mens. Emoties zijn persoonlijke interne ondervindingen waarmee een verzameling van lichamelijke reacties gepaard kan gaan [11]. Volgens Ekman [10], een professor psychologie aan de Universiteit van Californië, zijn er zes basis emoties namelijk: woede, vreugde, angst, verdriet, verbazing en afschuw [11]. Daarnaast worden ook: acceptatie, afgunst, anticipatie, berouw, bewondering, haat, hoop, jaloezie, liefde, minachting, schaamte, schuldgevoel, spijt, trots, verveling, verwijt, wanhoop, medeleven en hebzucht als emoties beschouwd [2, 48, 56, 69]. Nieuwsgierigheid Mensen zijn van nature nieuwsgierig [58]. Een Social Engineer kan hier dankbaar gebruik van maken door de interesse van de mens op te wekken. De mens zal zijn nieuwsgierigheid niet weten te bedwingen en zal doen wat de Social Engineer als vooropgezet plan had uitgedacht. Een goed voorbeeld hiervan wordt gegeven in artikel [18] waarbij USB sticks met een trojan (software waarbij ongewenst toegang wordt gegeven tot een systeem [43]) in een parkeergarage van een bedrijf worden verspreid. Het eerste dat de medewerkers deden die de USB sticks vonden, was de USB stick op de computer aansluiten waarna de trojan op het systeem werd geïnstalleerd. Deze aanpak wordt ook wel Item Dropping genoemd.
1.6.2 Psychologische principes van Cialdini Naast de positionering, situaties en eigenschappen van de mens zijn er psychologische principes die de Social Engineer kan volgen om te proberen een Social Engineering aanval succesvol uit te voeren. Om een beter inzicht te krijgen in hoe de mens gemanipuleerd en misleid kan worden wordt een uitstap gemaakt naar het vakgebied van de psychologie. In de bestudeerde literatuur [56, 60] wordt verwezen naar het werk van Robert Cialdini [71]. Cialdini [33] doet al meer dan dertig jaar onderzoek naar manipulatie, compliance en onderhandeling. Hij heeft daarmee als expert op dit gebied een internationale reputatie opgebouwd. In zijn boek “Influence” [71] geeft Cialdini aan dat er duizenden tactieken bestaan om mensen naar je hand te zetten, waarvan de meerderheid is onder te brengen binnen een zestal verschillende categorieën. Elk van deze zes categorieën wordt geleid door een fundamenteel psychologisch principe dat richting geeft aan het menselijk gedrag. Een Social Engineer kan deze principes toepassen in zijn Social Engineering aanvallen. Doordat de principes context onafhankelijk zijn, dient de Social Engineer er zijn eigen invulling aan te geven. De zes basis principes van Cialdini zijn:
Pagina 18
Social Engineering - Gestructureerd Model Wederkerigheid (Reciprocation, geven en nemen, voor wat hoort wat) De beslissing om mee te werken aan een verzoek van een ander kan worden gemanipuleerd door wederkerigheid. Het wederkerigheidprincipe is zeer krachtig en overweldigt vaak alle andere factoren die normaal gesproken de beslissing bepalen. Tevens kan het wederkerigheidprincipe gebruikt worden om een gunst van een ander uit te lokken. Door iemand een ongevraagde gunst te verlenen is die persoon op dat moment minder in staat om zelf te bepalen wie hij iets schuldig is. Voor wat hoort wat en als iemand jou een gunst verleent dan moet je een gunst terug verlenen. Tenslotte spoort het wederkerigheidprincipe aan tot ongelijke gunsten door een schuldgevoel, oncomfortabele situatie of situatie waarin sociale omgangsvormen in het geding komen, te creëren. Hierdoor zal een persoon eerder instemmen met een gunst die groter is dan de gunst die hij zelf heeft ontvangen. Behalve in de hierboven genoemde situaties waarbij er druk wordt uitgeoefend op de ontvanger van een gunst door een reeds gemaakte concessie is er nog een tweede variant. Bij deze tweede variant leidt het wederkerigheidprincipe tot een compromisproces. In dit compromisproces wordt een verzoek gedaan tot een grote gunst met de intentie om de andere persoon te laten instemmen met een kleinere gunst. Deze techniek wordt ook wel rejection-then-retreat of door-in-the-face techniek genoemd. In de praktijk betekent dit dat er eerst een verzoek tot grote gunst aan een persoon wordt gedaan waarvan zeker is dat het verzoek geweigerd zal worden. Als het verzoek tot grote gunst geweigerd wordt, zal de verzoeker een verzoek doen tot een kleinere gunst. Omdat de persoon in kwestie de verzoeker tegemoet zal willen komen, is de kans groot dat hij akkoord gaat met het verzoek. Volgens Cialdini [71] werkt de rejectionthen-retreat techniek ook bij verzoeken tot respectievelijk grote gunsten, voorwaarde is echter wel dat de gunst altijd kleiner moet zijn dan de gunst in het voorgaande verzoek [24, 60]. Een voorbeeld van het wederkerigheidprincipe bij Social Engineering is als een Social Engineer een Reverse Social Engineering aanval gebruikt. Hierbij biedt de Social Engineer zich aan als de redder in nood door het probleem van de persoon (dat de Social Engineer opzettelijk zelf heeft veroorzaakt) op te lossen. Omdat de Social Engineer door een gunst te verlenen als een held wordt gezien, zal de persoon nu eerder instemmen met een verzoek dat de Social Engineer aan de mens doet [62]. Commitment en Consistentie Commitment en consistentie heeft betrekking op het feit dat wanneer je een belofte maakt, je deze ook moet nakomen en wanneer je een standpunt inneemt, je bij dit standpunt moet blijven [25]. Mensen willen graag consistent overkomen in wat ze zeggen, waarin ze geloven, hoe ze zichzelf een houding geven en hoe ze handelen [71]. De sleutel om een persoon over te halen om te voldoen aan jouw wensen is door ervoor te zorgen dat een persoon een bepaald standpunt of positie inneemt dat in lijn ligt met een later verzoek tot een gunst. De kunst is om de persoon in kwestie te sturen naar een bepaald standpunt of positie. Hierdoor is de kans groot dat de desbetreffende persoon later instemt met het verzoek tot een gunst die consistent is met zijn eerder ingenomen standpunt of positie [24, 60, 71]. De Social Engineer kan gebruik maken van het committent en consistentie principe door een slim standpunt of positie te bedenken dat hij het slachtoffer wil laten innemen. De Social Engineer zal dit standpunt of positie vervolgens geloofwaardig moeten proberen te maken. Als het slachtoffer zijn standpunt of positie heeft Ingenomen, kan de Social Engineer een poging doen om het consistente gedrag van het slachtoffer uit te buiten door een verzoek tot een gunst te doen dat in lijn ligt met het ingenomen standpunt of positie van het slachtoffer.
Pagina 19
Social Engineering - Gestructureerd Model Sociale bewijskracht (Social Proof) Sociale bewijskracht heeft betrekking op het feit dat als anderen iets doen, jij dat ook gaat doen [24]. Mensen bepalen in een bepaalde situatie wat goed is door te kijken naar hoe andere mensen in dezelfde situatie handelen. Een voorbeeld van dit principe in de praktijk is het vragen aan iemand om een gunst en hierbij aan te geven dat andere mensen in dezelfde situatie ook deze gunst hebben verleend. Sociale bewijskracht is in twee situaties het meest effectief. In de eerste situatie is er sprake van onzekerheid bij de mens, waarbij de mens eerder geneigd is om de acties van anderen als correct aan te nemen. In de tweede situatie is er sprake van overeenkomstigheid, waardoor de mens eerder geneigd is om andere mensen te volgen waarmee hij zich gelijkwaardig voelt [24, 60, 71]. Een voorbeeld van het gebruik van het Social Proof principe wordt hieronder weergegeven. De Social Engineer belt een slachtoffer en probeert het slachtoffer over te halen om te voldoen aan zijn verzoek. De Social Engineer beweert dat de andere collega’s van het slachtoffer nooit moeilijk doen bij hetzelfde verzoek. Bovendien beweert de Social Engineer dat hij dit verzoek regelmatig doet en dat nooit iemand hier moeilijk over doet. Of het werkelijk lukt om het slachtoffer over te halen hangt af van de overtuigingskracht van de Social Engineer en de onzekerheid van het slachtoffer. Sympathie Mensen zeggen eerder ja tegen personen die ze kennen en sympathiek vinden. Hiervan kan een persoon die een ander persoon naar zijn hand wil zetten gebruik maken door de nadruk te leggen op een aantal factoren dat hun aantrekkelijkheid vergroot en hun innemende persoonlijkheid beter tot uiting laat komen [71]. De eerste factor die de sympathie opwekt is fysieke aantrekkingskracht. Hoewel altijd al werd gedacht dat fysieke schoonheid een voordeel oplevert in sociale interactie, blijkt uit onderzoek [60] dat het voordeel zelfs groter is dan verwacht. Aantrekkelijke mensen zijn beter in het misleiden van mensen om zo te krijgen wat ze willen hebben en om de houding van anderen te veranderen. De tweede factor die sympathie opwerkt is gelijksoortigheid. Mensen zijn eerder geneigd om in te gaan op een verzoek dat wordt gedaan door mensen die net zo zijn als zij zelf. De derde factor is lof. Door het geven van complimenten kan sympathie worden opgewekt. Deze complimenten mogen dan echter niet doorzichtig zijn omdat dit juist een tegengesteld effect kan hebben. De vierde factor kan sympathie bevorderen doordat mensen door herhaaldelijk contact met elkaar vertrouwd raken. Uitgangspunt hierbij is dat het contact onder positieve omstandigheden plaatsvindt. De vijfde factor om sympathie op te wekken is associatie. Mensen brengen zichzelf graag in verband met positieve dingen [24, 60, 71]. Een Social Engineer probeert bijvoorbeeld in een telefoongesprek met een slachtoffer te achterhalen wat zijn interesses zijn (hobby’s, sport, eten, etc). De Social Engineer probeert vervolgens het slachtoffer te overtuigen dat hij ook deze interesses heeft, waardoor sympathie door gelijksoortigheid wordt opgewekt. Vanwege de sympathie die het slachtoffer nu heeft voor de Social Engineer zal hij eerder geneigd zijn om in te gaan op een verzoek van de Social Engineer. Autoriteit Autoriteit heeft betrekking op het recht om acties van andere personen te beïnvloeden, te sturen en te controleren. Autoriteit kan worden bepaald door de wet, traditie, geldende morele regels, of door toestemming van de personen die onder gezag staan [1]. Uit onderzoek van onder andere Milgram in 1974 [71] is gebleken dat autoriteit een zeer sterk middel is om mensen te manipuleren. Autoriteit kan mensen ertoe aanzetten om acties te ondernemen waar ze niet achter staan. De oorsprong van het gehoorzamen aan autoriteiten ligt bij de opvoeding. Tijdens de opvoeding wordt geleerd dat
Pagina 20
Social Engineering - Gestructureerd Model gehoorzaamheid leidend is als goed gedrag. Autoriteit kan ook gebaseerd zijn op zogenaamde symbolen in plaats van de werkelijke inhoud [60]. Er wordt hierbij onderscheid gemaakt in een drietal symbolen. Het eerste symbool heeft betrekking op de titel die een bepaalde persoon heeft. Een titel kan aangeboren zijn, zoals bij mensen van adel het geval is, maar een titel kan ook resultaat zijn van een jarenlange investering in studie of onderzoek. Mensen zullen personen met een bepaalde titel een hogere status toekennen, waarmee zij automatisch een hogere autoriteit vertegenwoordigen. Het tweede symbool van autoriteit dat mensen kan beïnvloeden is kleding. Met kleding kan een bepaalde vorm van autoriteit worden uitgestraald, denk aan de politie, rechters, chirurgen, leger, etc. Het derde symbool is typisch Amerikaans en minder relevant in dit onderzoek. Het heeft betrekking op het respect dat eigenaren van prestigieuze auto’s krijgen van anderen [1, 60, 71]. Helpdesks zijn volgens Impersonation casestudies het meest voorkomende doelwit van Social Engineering aanvallen [70]. De Social Engineer belt bijvoorbeeld de helpdesk van een organisatie en doet zich voor als een belangrijke werknemer, bijvoorbeeld de adjunct directeur of de secretaris van de adjunct directeur. De Social Engineer voegt hiermee een element van intimidatie toe. De desbetreffende helpdeskmedewerker zal niet snel een verzoek afslaan als het de adjunct directeur is die belangrijke informatie nodig heeft waar de toekomst van de organisatie vanaf hangt. De Social Engineer kan er bovendien nog een schepje bovenop doen door tegen de helpdeskmedewerker te zeggen dat weigering verstrekkende gevolgen voor hem kan hebben [70]. Schaarste Schaarste zorgt ervoor dat mensen meer waarde hechten aan bepaalde kansen. Een bekend voorbeeld is de reactie van een klant als hij geïnformeerd wordt over het feit dat van een product nog maar een beperkt aantal op voorraad is. De klant zal eerder geneigd zijn om het product nu toch te kopen. Schaarste heeft de beslissing van de klant beïnvloed door het zwaarder mee te laten wegen in de eventuele aanschaf van het product. Deze techniek wordt ook wel beperkt aantal genoemd [71]. Daarnaast bestaat er binnen het schaarste principe ook nog de techniek van “deadline” waarbij geprobeerd wordt een persoon ervan te overtuigen dat de kans die hem wordt geboden slechts voor beperkte tijd geldig is. Behalve de reden dat schaarste ervoor zorgt dat mensen meer waarde hechten aan bepaalde kansen, zorgt schaarste er ook voor dat de vrijheid van mensen beperkt wordt. Mensen reageren hierop door de schaarste zelfs meer dan daarvoor te willen opvullen en zo de vrijheid weer te vergroten. Het schaarsteprincipe is naast de waarde die er aan goederen wordt gehecht ook van toepassing op de waarde die aan informatie wordt gehecht. Onderzoek heeft aangetoond dat beperking van toegang tot informatie ervoor zorgt dat mensen deze juist willen hebben en er meer voor over hebben om deze te krijgen [60]. Het schaarste principe werkt het best bij nieuwe schaarse informatie en / of producten en wanneer er gestreden moet worden met andere mensen om schaarse informatie en / of producten [24, 60, 71]. De Social Engineer kan gebruik maken van het schaarsteprincipe door een schaars goed, bijvoorbeeld de laatste kaartjes van een concert, als prijs weg te geven voor het volledig invullen van een enquête. Deze methode van werken wordt ook wel phishing [26, 27, 28] genoemd. Het slachtoffer wil de kaartjes natuurlijk graag hebben en vult daarom zo volledig mogelijk het enquête formulier in. De Social Engineer heeft nu op slinkse wijze allerlei informatie van het slachtoffer weten los te krijgen. De kaartjes zal het slachtoffer waarschijnlijk nooit ontvangen.
Pagina 21
Social Engineering - Gestructureerd Model In de door ons bestudeerde literatuur wordt het schaarste principe van Cialdini voornamelijk gebruikt door middel van phishing. In onze visie valt phishing buiten de definitie van Social Engineering omdat dit niet daadwerkelijk tijdens een Social Event plaatsvindt. In het vervolg van deze scriptie wordt het Cialdini principe schaarste niet meegenomen in de analyses omdat dit buiten de scope van deze scriptie valt. Conclusie In deze sectie is een drietal factoren beschreven die de Social Engineer kunnen helpen om zijn doel te bereiken. Dit zijn de principes van Cialdini, de acceleratoren en de menselijke eigenschappen. Deze factoren sluiten soms één op één op elkaar aan, overlappen elkaar op bepaalde delen of vullen elkaar juist aan. Om een inzichtelijk geheel te krijgen hebben wij deze factoren in onderstaande tabel samengevat. Principes van Cialdini
Acceleratoren
Menselijke eigenschappen
Wederkerigheid
Intimidatie Urgentie Overbelasting Sterke beïnvloeding
Achteloosheid Lage betrokkenheid Behulpzaam willen zijn Gemogen willen worden Emoties
Commitment en Consistentie Vleierij Flirten Vriendelijk zijn Bedrijfsjargon gebruiken
Behulpzaam willen zijn Mensen vertrouwen Gemogen willen worden Integer willen zijn Nieuwsgierigheid
Sociale bewijskracht
Bedrijfsjargon gebruiken Namedropping Verdeling van verantwoordelijkheid Overbelasting Sterke beïnvloeding
Achteloosheid Lage betrokkenheid Behulpzaam willen zijn Mensen vertrouwen
Sympathie
Vleierij Flirten Vriendelijk zijn Verdeling van verantwoordelijkheid
Behulpzaam willen zijn Mensen vertrouwen Emoties
Autoriteit
Intimidatie Bedrijfsjargon gebruiken Namedropping Urgentie Directe benadering Autoriteit
Behulpzaam willen zijn Mensen vertrouwen Gemogen willen worden
In deze tabel zijn de principes van Cialdini leidend. Wij hebben naar ons eigen inzicht en visie op Social Engineering de acceleratoren en menselijke eigenschappen gekoppeld aan de principes van Cialdini. Enerzijds zullen de acceleratoren en menselijke eigenschappen direct aansluiten op de principes van Cialdini. Anderzijds hebben wij acceleratoren en menselijke eigenschappen gekoppeld aan de principes van Cialdini indien deze gebruikt kunnen worden binnen de principes om het doel van de Social Engineer te bereiken. Voor het vervolg van deze scriptie zullen wij bij de praktijk situaties, de evaluatie en de conclusie alleen gebruik maken van de principes van Cialdini.
Pagina 22
Social Engineering - Gestructureerd Model
1.7
Maatregelen
Beveiligingsgraad Er zijn maatregelen te treffen om de slagingskans van een aanval door Social Engineering te minimaliseren. Echter, teveel maatregelen kunnen het evenwicht tussen beveiliging en flexibiliteit verstoren. Veel maatregelen zorgen voor vertraging in het proces. Te veel maatregelen zouden het proces dusdanig kunnen vertragen dat een onwerkbare situatie ontstaat (74). Dit evenwicht is hieronder grafisch weergegeven.
De flexibiliteit van de organisatie neemt af naarmate meer maatregelen worden getroffen om de beveiliging aan te scherpen. Het implementeren van extra maatregelen zal een weloverwogen beslissing moeten zijn [34, 35]. De vertrouwenlijkheid van de informatie in de organisatie bepaalt mede de behoefte aan beveiliging. Een bank zal een hogere graad van beveiliging moeten toepassen op haar systemen dan een groothandel in feestartikelen. Afhankelijk van de behoefte aan flexibiliteit en het type bedrijf kan vastgesteld worden welke beveiligingsgraad benodigd is. Dit zou opgenomen kunnen worden in het informatie beveiligingsbeleid. Bijvoorbeeld als onderdeel van een implementatie van de code voor informatiebeveiliging [3, 4, 17, 45, 64].
Pagina 23
Social Engineering - Gestructureerd Model Preventie in het proces In het proces kunnen 3 ‘preventie momenten’ worden gedefinieerd.
Deze momenten zijn: - Bij de Social Engineer zelf - Bij het vergaren van informatie - Bij het Social Event Tijdens deze momenten is het mogelijk om maatregelen te treffen om het proces te doorbreken. Door het proces te doorbreken kan de aanval worden verijdeld of, op zijn minst, worden bemoeilijkt.
1.7.1 Social Engineer De Social Engineer zal pas tot actie overgaan wanneer aan de fraudedriehoek wordt voldaan (zie sectie 1.3.2 Fraudedriehoek). Door een van de drie benodigde triggers weg te nemen zal de kans op een aanval aanzienlijk verminderen. Echter, dit is enkel mogelijk wanneer er een directe relatie bestaat met de Social Engineer. Bij een arbeidsrelatie kan gedacht worden aan een personeelsbeleid dat preventief werkt. Hierbij valt te denken aan: - Een goede Work life balance [46] - Een marktconform vergoedingsbeleid (salaris, bonussen en secundaire voorwaarden) - Een juiste ‘Tone at the top’ [41, 76] Pagina 24
Social Engineering - Gestructureerd Model
Daar waar de Social Engineer geen directe relatie heeft tot het slachtoffer, kan de fraudedriehoek moeilijk worden doorbroken. Preventie kan in dit geval door een sociaal maatschappelijke netwerk worden uitgevoerd. Hierbij valt te denken aan het sociale vangnet dat in Nederland bestaat of de sociale dienst. Dit valt echter buiten de scope van dit onderzoek.
1.7.2 Informatie vergaren Informatie in algemene zin is in grote mate onbeheerd. Daardoor is veel informatie voor de Social Engineer vrijwel vrij toegankelijk. Veel informatie zou kunnen worden beschermd door de juiste maatregelen te treffen. Dit zijn de standaard beveiligingsmethoden waarover voldoende informatie beschikbaar is. Enkele voorbeelden die onterecht worden geschaard onder Social Engineering: - Desk sniffing: Dit zou door een ‘Clean Desk, Clear Screen’ policy uitstekend kunnen worden beveiligd. - Waste bin diving (of dumpster diving): Dit zou door middel van een papierversnipperaar of een ‘confidential information waste bin’ worden beveiligd [7]. - Hacking: Diverse beveiligingsmethoden als firewalls en authenticatie protocollen kunnen deze vormen van criminaliteit verijdelen. - Afluisteren: Het afluisteren van mensen kan niet worden gezien als Social Engineering aangezien niemand wordt misleid. Het wordt anders wanneer iemand is misleid door de Social Engineer om op een positie te komen om iemand af te kunnen luisteren. Het is tevens goed mogelijk om vertrouwelijke informatie alleen te bespreken in afgesloten ruimtes (meetingrooms) [8, 9]. Een groot deel van de informatie is vrij toegankelijk. Denk aan social networks. Hier liggen in veel gevallen geen beveiligingsprotocollen vast. Het is daardoor ook lastig om deze informatie te beveiligen. De enige beveiliging ligt bij diegene die de informatie publiceert. Deze moet zich bewust zijn van de informatie die wordt gepubliceerd. Men zou zich de vraag moeten stellen ‘Kan deze informatie misbruikt worden, en zo ja, hoe?’ De kans op diefstal van informatie kan door de implementatie van een informatiebeveiligingsbeleid worden geminimaliseerd. Hiervoor kan de code voor informatiebeveiliging [3, 4, 17, 45, 64] worden gehanteerd. Deze code voor informatiebeveiliging gaat onder andere in op dataclasificatie wat kan helpen bij de bewustwording van de vertrouwelijkheid van de informatie (zie secties 1.5 Informatie vergaren en 3 Evaluatie).
1.7.3 Social Event De daadwerkelijke interactie vindt plaats bij het Social Event. Dit is het moment waarop de Social Engineer werkelijk een relatie aangaat met het slachtoffer. De enige manier om hier het Social Engineering proces te doorbreken is het bewustzijn van het slachtoffer. Wanneer het slachtoffer geen acht slaat op de mogelijkheid van een Social Engineering aanval kan het proces lastig worden doorbroken. Om het gedachtenproces te ondersteunen zou het volgende proces kunnen worden gehanteerd:
Pagina 25
Social Engineering - Gestructureerd Model
Approach
Do I know the person personally?
No
Yes
Can I really trust the person based on our relationship?
No
Yes
Authentication Method Available?
No
Yes
Perform Authentication
Authentication Passed?
No
Yes
Are you having doubts?
Yes
No
Am I allowed to provide this information?
No
Yes
Was the justification feasable?
No
Yes
Provide Info
Deny Info
Dit proces is door onszelf ontwikkeld en gebaseerd op onze eigen inzichten en inzichten verkregen uit de diverse bronnen. Ken ik de persoon persoonlijk? (Do I know the person personally?) In het geval de persoon bekend is, is er zekerheid over de authenticiteit van de persoon en zal verdere authenticatie wellicht niet nodig zijn.
Pagina 26
Social Engineering - Gestructureerd Model Kan ik de persoon vertrouwen op basis van onze relatie? (Can I trust the person based on our relationship?) Als een relatie bestaat, is de relatie dan voldoende sterk om de authenticatie over te slaan? Men kan zich de vraag stellen of de relatie bestaat voor de persoon om uiteindelijk achter de gewenste informatie te komen. Als de relatie slechts kort bestaat, zou deze niet kwalificeren als voldoende sterk. Een ander voorbeeld van een zwakke relatie kan er een zijn die alleen bestaat via e-mail. Wanneer enige twijfel bestaat, mag nooit risico genomen worden en zal de relatie als te zwak moeten worden beschouwd. Authenticatiemiddelen beschikbaar? (Authentication method available?) Wanneer authenticatiemiddelen beschikbaar zijn binnen het bedrijf, moeten deze gehanteerd worden. Denk hier aan de geheime vraag waar alleen de juiste persoon het antwoord op weet of een terugbel procedure. Voer authenticatiemethode uit (Perform Authentication) Daar waar een methode beschikbaar is, voer deze dan uit. Authenticatie geslaagd? (Auhentication passed?) Afhankelijk van het al dan niet slagen van de authenticatie wordt doorgegaan met het proces of wordt de informatie uitgifte geweigerd. Heeft u bedenkingen? (Are you having doubts?) De vraag of iemand bedenkingen heeft, is een zeer ‘softe’ vraag. Hier is niet direct ‘ja’ of ‘nee’ op te antwoorden en is niet te toetsen. Reden om te twijfelen is bijvoorbeeld de structuur van het gesprek tot dan toe. Wordt hier bijvoorbeeld vlijend gesproken, worden ontwijkende antwoorden gegeven of is er twijfel te horen in de stem. Wanneer er niet met zekerheid gezegd kan worden dat er een positieve authenticatie heeft plaatsgevonden, onderzoek dan verder of stop met het gesprek zonder informatie te verschaffen. Mag ik de informatie verschaffen? (Am I allowed to provide this information?) Ben ik überhaupt geautoriseerd om de opgevraagde informatie te delen? Wanneer de informatie niet voor distributie beschikbaar is door company policy (of iets van dergelijke strekking) mag de informatie ‘onder geen enkele voorwaarde’ worden verschaft. Was de uitleg voor de behoefte aannemelijk (Was the justification feasible?) Om de informatie te verkrijgen is een uitleg gegeven door de aanvrager. Je kunt jezelf afvragen of dit een logische verklaring is. Zaken als enquêtes, journalistiek of spoedklussen zouden moeten lijden tot extra aandacht. Wanneer alle vragen naar tevredenheid en zonder twijfel zijn beantwoord, kan worden overgegaan tot verstrekking van de gegevens. In alle overige gevallen zal de informatie niet verstrekt worden. In het geval van sterke twijfel moet worden overwogen dit te melden aan een centraal meldpunt als een security officer (waar beschikbaar).
Pagina 27
Social Engineering - Gestructureerd Model
1.8
Juridische aspecten
Bij Social Engineering wordt vaak privacy of bedrijfsgevoelige informatie op een oneerlijke manier verkregen. In deze paragraaf wordt de relevante wet- en regelgeving toegelicht in het kader van Social Engineering, om zo een antwoord te geven op de subvraag ”Hoe erg is Social Engineering in juridische zin?” Wet-en regelgeving Voor de beschrijving van de wet-en regelgeving is het boek Recht en Computer als uitgangspunt gehanteerd, geschreven door prof. H. Franken [72]. In het boek wordt de stand van zaken wat betreft weten regelgeving, rechtspraak en technische ontwikkelingen binnen ICT beschreven en geëvalueerd. Uit het boek blijkt dat wet-en regelgeving de afgelopen jaren steeds is aangepast aan technologische ontwikkelingen. Nieuwe wetten zijn ontstaan of worden aangepast, denk hierbij aan de Wet Computercriminaliteit (september 2006). Een goed voorbeeld van een aangepaste wet is de invloed van de digitalisering op de Archiefwet. Bovendien zijn er heel veel wetten die nauw aan elkaar verbonden zijn. Opvallend is in hoeveel wetten voorschriften staan die van toepassing zijn op informatiesystemen. De overheid krijgt steeds meer de beschikking over informatieverzamelingen met betrekking tot het gedrag van burgers en bedrijven. Die informatie kan voor alle mogelijke doeleinden worden gebruikt. Maar het is ook mogelijk dat die kennis gebruikt wordt voor minder vanzelfsprekende doeleinden. Niet voor niets is de privacy wetgeving een actueel onderwerp. Dit is ook van toepassing bij Social Engineering. De bescherming van persoonsgegevens Privacy kan volgens prof. H. Franken als volgt worden omschreven: “De aanspraak van individuen of groepen zelf te bepalen wanneer, hoe en in welke mate gegevens over hen worden meegedeeld aan derden.” In de jaren 60 is in Nederland de discussie ontstaan over noodzakelijke privacynormering. Met de komst van de computer en de daardoor ontstane mogelijkheden van opslag, verwerking en bewerking van persoonsgegevens werden de potentiële privacyrisico's voor de meeste mensen pas duidelijk. Toen de regering voornemens was om een centraal administratie- en persoonsnummer in te voeren is besloten om de Commissie Coopmans in te stellen. Deze commissie kreeg de opdracht te rapporteren over wenselijke regulering op het terrein van de bescherming van de persoonlijke levenssfeer in verband met persoonsregistraties. In 1976 verscheen het eindrapport van de commissie, met daarin de volgende drie thema's: - De noodzaak van doorzichtigheid ofwel transparantie betreffende de registratie en het gebruik van persoonsgegevens (oplossing zou zijn het instellen van een register van informatiesystemen); - Geregistreerden moeten het recht hebben op inzage (en eventueel correctie) van de betreffende gegevens in de registratie; - Het instellen van een overheidsinstantie die toezicht houdt op het naleven van de wet. In 1981 is het verdrag van Straatsburg opgesteld. Dit verdrag is geldig voor alle landen die het verdrag ratificeren en had als doelstelling het beschermen van de privacy en het waarborgen van het evenwicht tussen privacy en 'free flow of information'. In artikel 5 zijn de minimumgrondbeginselen voor de bescherming van persoonsgegevens opgenomen te weten: - De plicht om persoonsgegevens op een eerlijke manier te verkrijgen en te verwerken;
Pagina 28
Social Engineering - Gestructureerd Model -
Slechts gegevens te registreren voor bepaalde, legitieme doeleinden en deze niet in strijd met die doeleinden te gebruiken.
Uitgaande van deze doelstellingen dienen de gegevens toereikend, terzake dienend en niet overmatig te zijn. Ze moeten nauwkeurig zijn, worden bijgewerkt en zodanig worden bewaard dat de betrokkenen niet langer te identificeren zijn dan voor het doel strikt noodzakelijk is. Artikel 7 geeft aan dat de geregistreerde persoonsgegevens op een passende wijze moeten worden beveiligd tegen toevallige of ongeoorloofde vernietiging, toegang, wijziging of verspreiding. De thema's van de commissie Coopmans zijn opgenomen in de Wet Persoonsregistraties die in 1989 in werking is getreden waarbij de bepalingen van het verdrag van Straatsburg zijn meegenomen. Nieuwe Europese richtlijnen zorgden ervoor dat de wet in 2001 vervangen is door de Wet Bescherming Persoonsgegevens (WBP). Net als in de oude wet is er sprake van doelomschrijving, een toezichthoudende instantie, een meldingsplicht bij deze instantie en voorwaarden inzake de beveiliging van de persoonsgegevens. Nieuw is dat de wet ook geldt voor geautomatiseerde verwerkingshandelingen. In plaats van een aantal open normen is er nu een limitatieve opsomming van gronden voor rechtmatige verwerking en worden de open normen aangevuld met noodzakelijkheidscriteria waaraan moet worden voldaan. Beveiliging van gegevens Uit voorgaande paragraaf kan worden opgemaakt dat de beveiliging van gegevens steeds belangrijker wordt voor organisaties. Tegen de schending van geheimen, het manipuleren van gegevens en de verstoring van gegevensoverdracht door personen (zowel binnen als buiten de organisatie) kunnen de volgende maatregelen worden onderscheiden: - Technische maatregelen, bijvoorbeeld het treffen van voorzieningen met betrekking tot de beveiliging van netwerken; - Organisatorische maatregelen, bijvoorbeeld scheiding van functies (door onder andere gebruik te maken van procedures); - Fysieke maatregelen, bijvoorbeeld het treffen van voorzieningen met betrekking tot de locatie; - Logische maatregelen, beveiligen in programmatuur onder andere encryptie en toegangs- en autorisatieprocedures; - Juridische maatregelen, contractuele bepalingen opnemen in een aanstellingsovereenkomst. De laatste jaren worden werknemers bewust gemaakt van de risico's die ICT-gebruik met zich mee brengt. In het Strafrecht was een drietal categorieën gegevens beschermd, te weten staatsgeheimen, persoonlijke levenssfeer (bijvoorbeeld afluisteren) en beroeps- en bedrijfsgeheimen. Op de schending van de laatste categorie is artikel 272 en 273 van het Strafrecht van toepassing. Omdat deze artikelen niet voldeden, is in 1993 de Wet Computercriminaliteit (WCC) ingesteld. Bij een vrije benadering van deze wet kan gesteld worden dat voldaan moet worden aan “algemene beginselen van behoorlijk ICT gebruik”, analoog aan de algemene beginselen van behoorlijk bestuur in het bestuursrecht of onrechtmatigheidscriteria voor een actie uit artikel 6:162 BW (72). Hierbij is een zestal beginselen beschreven. Voor deze scriptie hebben wij de door ons belangrijkste drie beginselen geselecteerd te weten: - Beschikbaarheid: Het ongestoord gebruik van de ICT dient gewaarborgd te zijn.
Pagina 29
Social Engineering - Gestructureerd Model -
-
Integriteit: Voor het bereiken van de juiste resultaten en het kunnen nemen van de juiste beslissingen met behulp van gegevens in geautomatiseerde systemen is het van groot belang dat die systemen op de juiste wijze functioneren en dat bovendien de gegevens en programma's correct en volledig zijn. Vertrouwelijkheid: Het is niet de bedoeling dat onbevoegden kennis nemen van, als geheime of vertrouwelijk aangemerkte, gegevens. De WBP doelt hierbij (art 13 WBP) op een beveiliging waarbij een afweging gemaakt is tussen het te beveiligen belang en de genomen maatregelen, ook wel "adequate beveiliging". De Wet Computercriminaliteit doelt op "minimale beveiliging" (art 138a SR); er moet sprake zijn van enige maatregel die als drempel werkt tegen het binnendringen.
De huidige Wet Computercriminaliteit is sinds 1 september 2006 van kracht. De bekendste vorm van computercriminaliteit is het opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk. Dit heet computervredebreuk (soms ook wel computerinbraak of hacken) en is een misdrijf. Hierop staat een straf van maximaal één jaar cel of een geldboete van 16.750 euro (art. 138a lid 1). Onder de oude wetgeving was computervredebreuk alleen strafbaar wanneer een beveiliging werd doorbroken. Deze eis is komen te vervallen. Computerinbraak is nu strafbaar wanneer de dader wist dat hij op verboden terrein was (53). De Wet Computercriminaliteit heeft betrekking op zowel het onrechtmatig gebruik en beschadiging van middelen van informatietechniek als op het wederrechtelijk gebruik en manipulatie van gegevens. De Wet Computercriminaliteit stelt echter geen strafrechtelijke sanctie in tegen de beheerder van de gegevens, indien beveiligingsmaatregelen (bewust) worden nagelaten. Het beveiligen van gegevens mag dan geen wettelijke plicht zijn, het is wel een maatschappelijke eis. Het Strafrecht biedt niet zozeer sanctiemogelijkheden bij het ontbreken van een beveiliging, maar via het civiele recht ontkomt de burger, ondernemer en bestuurder niet meer aan aansprakelijkheidsstelling wanneer hij in zijn eigen organisatie handelt in strijd met de beginselen van behoorlijk ICT-gebruik. Beveiligen is een op ieder rustende inspanningsverplichting waarvoor de in 1995 door het Nederlands Normalisatie Instituut uitgegeven Code voor Informatiebeveiliging als vorm van zelfregulering een goede handleiding vormt. Men moet tegenwoordig ook ten aanzien van zijn 'eigen' gegevens de zorgvuldigheid in acht nemen, die het maatschappelijk verkeer betaamt. Conclusie Wettelijk gezien is Social Engineering verboden omdat volgens de volgende wetten de manier van informatie achterhalen met Social Engineering technieken verboden is: Wet Bescherming Persoonsgegevens: Bij een Social Engineering aanval worden vaak onder andere persoonlijke gegevens achterhaald door middel van misleiding. Dit is in strijd met het minimumgrondbeginsel “De plicht om persoonsgegevens op een eerlijke manier te verkrijgen en te verwerken” in artikel 5. Wet Computercriminaliteit: Bij een Social Engineering aanval worden vaak onder andere geheime of als vertrouwelijk aangemerkte informatie achterhaald door middel van misleiding. Met deze informatie kan de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie aangetast worden. Dit kan onder andere resulteren in onrechtmatig gebruik, beschadiging van middelen van informatietechniek als het wederrechtelijk gebruik en manipulatie
Pagina 30
Social Engineering - Gestructureerd Model van gegevens. Dit is in strijd met de WBP art 13 en waar de WCC doelt op "minimale beveiliging" (art 138a SR). Hiermee is de deelvraag ‘Hoe erg is Social Engineering in juridische zin’ ten dele beantwoord. Social Engineering is strafbaar, omdat het een vorm is van misleiding (WBP art 5 en art 13) en omdat het een vorm is van, of kan leiden tot computercriminaliteit (art 138a SR).
Pagina 31
Social Engineering - Gestructureerd Model
2
Praktijk
Om ons model te toetsen aan de praktijk hebben wij een aantal cases uitgewerkt: - Praktijk test o VU te Amsterdam (pubiek) o Anoniem bedrijf (privaat) - Modelering van Scenario’s uit ‘The art of Deception’ door Kevin D. Mitnick o 10 verschillende scenario’s
2.1
Praktijktests
De secties over de praktijktests zijn als volgt opgebouwd: - Het verhaal - Toepassing van het model - Analyse - Cialdini - Juridisch - Conclusie Het verhaal Het verhaal is in een transscript stijl beschreven waarbij een overzicht wordt gegeven van het verloop van de aanval. Het model Het model is een gemodeleerde weergave van het proces zoals dit is ontworpen en toegelicht in sectie 1.2 Het proces. Dit model maakt het mogelijk een visueel inzicht te krijgen in wat er concreet in het verhaal is gebeurd om het uiteindelijke doel te bereiken. Analyse In de analyse wordt het verhaal door middel van het model inclusief de preventiemomenten (zoals beschreven in sectie 1.7 Maatregelen) toegelicht. In deze toelichting wordt ook duidelijk hoe het slachtoffer had kunnen reageren, of welke maatregelen er getroffen hadden kunnen worden om de aanval te verijdelen of te voorkomen. Cialdini Elk scenario wordt belicht vanuit de basisprincipes van Cialdini. Een korte beschrijving tot welke basisprincipes in de diverse scenario’s worden gehanteerd geeft inzicht in het gebruik van de principes en geeft een indicatie van de effectiviteit van de basisprincipes. Een uitleg van de diverse principes is terug te vinden in sectie 1.6.2 Psychologische principes van Cialdini.
Pagina 32
Social Engineering - Gestructureerd Model Juridisch Onder het kopje Juridisch wordt een toelichting gegeven op de juridische consequentie die een dergelijke aanval had kunnen impliceren. Conclusie Bij elk scenario wordt een conclusie weergegeven. Met deze conclusie wordt kort ingegaan op de uiteindelijke uitkomst van de analyse. Echter, in sectie 3 Evaluatie wordt een diepgaander evaluatie gedaan over het geheel van scenario’s.
2.1.1 Praktijk VU Amsterdam Het doel bij deze aanval is het verkrijgen van een UserID en Password. Om geen illegale verrichtingen uit te voeren is gekozen om het eigen UserID en Password te achterhalen zonder daarbij de reeds bekende vertouwelijke informatie te gebruiken. Het verhaal Wij hebben een telefoonnummer van de studentenbalie van het VU achterhaald via http://bb.vu.nl. Dit is de portal waar we uiteindelijk op in willen loggen. Tevens weten we dat we de inloggegevens van ‘Patrick van Kalken’ willen achterhalen. Gesprek met Studentenbalie van de VU: +31(20) 5986111 Medewerkster: Met de studentenbalie, goedenmiddag Social Engineer: Met Patrick van Kalken, goedemiddag, met wie spreek ik? Medewerkster: Met het studiesecretariaat van de economische faculteit Social Engineer: Ow, OK, Ja… Ik heb een beetje een rare vraag. Ik zit hier in Maleisië en ik wil graag op blackboard inloggen, maar ik heb mijn gegevens op mijn privé notebook staan. Voor mijn werk zit ik in Maleisië, maar ik heb geen enkel gegeven bij de hand want die ben ik vergeten mee te nemen. Kunt u mij vertellen wat ik nodig heb om op het blackboard in te loggen? Medewerkster: Maar bent u student bij ons? Social Engineer: Ik ben student bij u. Medewerkster: Ja, als u op blackboard wilt inloggen heeft u het VUNetID nodig. Social Engineer: Ja, dat klopt. Die heb ik ook, alleen ik heb die niet bij de hand, want die heb ik op mijn privé notebook staan. Medewerkster: OK. Maar ik kan u niet verder helpen, want ik ga daar niet over. Ik kan u alleen een telefoonnummer geven van de studentenadministratie. Die geven het VUNetID. Social Engineer: OK, studentenadministratie. Medewerkster: Ik ga u het nummer geven, dat is 020-5985020. Social Engineer: Hartstikke bedankt, dan ga ik dat nummer even proberen. Medewerkster: Alsjeblieft en succes. Social Engineer: Dag. Medewerkster: Dag.
Pagina 33
Social Engineering - Gestructureerd Model Gesprek met studentenadministratie van de VU: +31 (20)-5985020 (naam is veranderd in verband met privacy) Medewerkster: Studentenbalie, goedemiddag met Sandra. Social Engineer: Goedenmiddag, met Patrick van Kalken. Ik heb een klein probleempje. Ik zit in Maleisië voor mijn werk en ik wil graag inloggen op blackboard. Alleen mijn Username en Password heb ik op mijn privé-computer staan die ik niet bij me heb. Kunt u mij verder helpen? Medewerkster: Nee, wij mogen dat niet telefonisch doorgeven, dus ik kan het naar uw huisadres doorsturen. Social Engineer: U kunt het naar mijn huisadres sturen? Medewerkster: Ja. Social Engineer: Ik zit in Maleisië tot 21 augustus, dus dan heb ik een klein probleempje. Medewerkster: Hmhm…Maar omdat het persoonlijke gegevens zijn, mogen wij die niet door de telefoon doorgeven. Social Engineer: OK, maar ik moet er wel op kunnen? Medewerkster: Ik kan namelijk niet nagaan dat u bent, degene die u zegt dat u bent. Social Engineer: Nou ja, heeft u daar geen speciale vragen voor opgesteld of iets dergelijks? Medewerkster: Nee dat heeft u nooit opgegeven. Social Engineer: Mijn geboortedatum of mijn studentnummer of ehhh…? Medewerkster: Ja, nee… Nee, het wordt opgestuurd naar het huisadres. Social Engineer: Nou, daar ben ik mooi klaar mee want… Medewerkster: Anders kan u even contact opnemen met Digidesk. Social Engineer: Digidesk? Medewerkster: Ja, www.digidesk.vu.nl, en daar staat ook hoe je een nieuwe gebruikersnaam en wachtwoord kunt opvragen. Social Engineer: OK. Medewerkster: Daar kunt u een nieuwe opvragen. Ik kan alleen de bestaande geven. Social Engineer: OK, een nieuwe opvragen. Medewerkster: Ja?.. Social Engineer: OK, dank u wel, dan ga ik dat even proberen. Medewerkster: OK, dag. Social Engineer: Dag…
Pagina 34
Social Engineering - Gestructureerd Model Vraag gesteld op Digidesk (www.digidesk.vu.nl)
De gestelde vraag: Goedendag, Ik ben Patrick van Kalken. Momenteel studeer ik voor de post-doctorale opleiding EDP Audit. Op dit moment zit ik in Maleisië voor mijn werk tot 21 augustus. Mijn probleem is het volgende: Ik heb mijn privé notebook niet bij me wegens beperkte bagage in het vliegtuig. Ik ben zo dom geweest om mijn inloggegevens (VUiD) niet mee te nemen. Deze staan op mijn privé notebook. Ik heb inmiddels begrepen dat via telefoon geen username password wordt doorgegeven. Echter, om af te kunnen studeren heb ik toegang nodig tot blackboard. Kunt u mij alstublieft helpen? Alvast bedankt. Met vriendelijke groet, Patrick van Kalken
Pagina 35
Social Engineering - Gestructureerd Model Op de gestelde vraag is tot op heden geen antwoord gegeven. Het model Plan of attack
On the Internet
VU Blackboard
Gather information
Telefoonnummer studentenbalie Preventie moment 1
Calling Studentenbalie Telefoonnummer studentenbalie
Social Event
Telefoonnummer studenten administratie Preventie moment 2
Adjust Plan when required
Contact Studenten administratie
Calling Studenten administratie Telefoonnummer studenten administratie
Social Event
Website Digidesk Preventie moment 3
Adjust Plan when required
Contact Digidesk
Contact Digidesk through website
Website Digidesk
Social Event Preventie moment 4
Failed Social Engineering Attack
Pagina 36
Social Engineering - Gestructureerd Model Analyse In dit scenario zijn 4 preventiemomenten geïdentificeerd. Het eerste moment is de verwijzing naar de studentenbalie van het VU. Deze informatie zou verborgen kunnen worden, maar dat zal in dit geval geen toegevoegde waarde geven. Het zal eerder een onacceptabele negatieve invloed op de serviceverlening genereren. Tijdens het tweede moment wordt doorverwezen naar een juiste afdeling. De dame in kwestie had in dit geval de opgegeven situatie als opmerkelijk kunnen bestempelen. Ze geeft echter geen informatie vrij die tot risico’s kan lijden. Een telefoonnummer van de studentenbalie had ook via andere wegen eenvoudig kunnen worden achterhaald. Preventiemoment 3 is interessant aangezien hier daadwerkelijk een vorm van preventie wordt gehanteerd. Hier wordt het principe van terugmelding gehanteerd. De gegevens kunnen worden verzonden, echter alleen naar de gegevens die in het eigen systeem bekend zijn. Ook hier geldt dat de dame in kwestie in dit geval de opgegeven situatie als opmerkelijk had kunnen bestempelen. Door verder aan te dringen op een oplossing wordt wel doorverwezen naar de Digidesk. Tot slot, preventiemoment 4 is de reactie op de aanvraag. Aangezien die nooit is gekomen is hiermee de aanval verijdeld. Dit is waarschijnlijk niet op basis van een beveiligingsprotocol, maar op basis van een falende serviceverlening (hoewel we dit niet met zekerheid kunnen zeggen). Cialdini De principes van Cialdini zijn hier niet van toepassing. Dit wordt veroorzaakt omdat de Social Engineer zich uitgeeft als zichzelf en alle eventueel benodigde informatie al zou moeten hebben. Hierdoor kiest de Social Engineer voor een directe benadering (accelerator). Hoewel deze accelerator gebruikt kan worden bij het autoriteitsprincipe van Cialdini, is er in dit scenario geen sprake van autoriteit. Een student komt niet over als een autoriteit. Juist door de directe benadering, kiest de medewerkster ervoor om het beleid te volgend, persoonlijke informatie mag niet telefonisch worden doorgegeven. Juridisch Letterlijk gezien worden er in dit scenario geen wetten overtreden omdat de Social Engineer de gegevens van zijn eigen account probeert te achterhalen. Zou de Social Engineer de gegevens van een ander account proberen te achterhalen en de aanval succesvol zou zijn, worden zowel de Wet Bescherming Persoonsgegevens als de Wet Computercriminaliteit overtreden. Het op deze manier achterhalen van de informatie is in strijd met het minimumgrondbeginsel “De plicht om persoonsgegevens op een eerlijke manier te verkrijgen en te verwerken” in artikel 5. Indien de Social Engineer deze gegevens zou gebruiken en zou inloggen dan is dit in strijd met het opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk (WBP art. 138a lid 1). Conclusie In dit scenario wordt alleen nieuwe contactinformatie verstrekt die ook via een algemene informatiesite of receptie kon worden achterhaald. Wat wel een belangijke conclusie in deze situatie is, is dat de informatie op basis van eigen informatie wordt verstrekt. Dit wordt door een terugmelding gedaan. Het adres van de opgevraagde persoon wordt uit het eigen systeem gehaald, en is daardoor altijd het juiste adres. Het grote nadeel is dat de service door deze authenticatiemethode wordt beïnvloed. In het beschreven scenario wordt gesproken over een reizende student. Deze kan dus niet worden geholpen met zijn probleem wanneer gebruik wordt gemaakt van deze methode.
Pagina 37
Social Engineering - Gestructureerd Model
2.1.2 Praktijk anoniem bedrijf Het doel bij deze aanval is het verkrijgen van een Password van een collega. Om geen illegale verrichtingen uit te voeren is gekozen om vooraf de aanval bekend te maken bij de betrokkenen (collega waarvan het Password wordt achterhaald en management van de helpdesk). Het verhaal De uitgevoerde aanval betreft een interne aanval, het Password van een collega wordt achterhaald. Om de anonimiteit van het bedrijf te garanderen zullen wij de naam van de collega niet gebruiken in dit scenario maar een van onze eigen namen (Jelmer Boer). Om de procedure te achterhalen en welke informatie vereist is heeft de Social Engineer eerst zijn eigen wachtwoord opnieuw aangevraagd bij de helpdesk. Hieruit kwam naar voren dat de helpdesk de gebruikersnaam, intern vast telefoonnummer en adres nodig heeft voor het authenticeren van de gebruiker. Deze gegevens zijn bij dit bedrijf gemakkelijk te achterhalen via het interne adresboek dat geplaatst is op het intranet. Gesprek met de helpdesk van het anonieme bedrijf Medewerker: Goedemorgen, u spreekt met Piet de Jong van de helpdesk, waar kan ik u mee helpen? Social Engineer: Goedemorgen met Jelmer Boer, gister moest ik mijn Windows wachtwoord wijzigen en om eerlijk te zijn ben ik het wachtwoord weer vergeten. Kunt u mij helpen? Medewerker: Zo, dat is eerlijk. Social Engineer: Hoe bedoelt u? Medewerker: Nou u wilt niet weten hoeveel smoezen wij krijgen voor het vergeten van het password. Social Engineer: Gebeurt dat zoveel dan? Medewerker: Ja, vrij veel. Social Engineer: Ok, maar wat kunnen we er nu aan doen? Medewerker: Juist, bent u op kantoor? Social Engineer: Ja. Medewerker: Ok, meneer ik moet u eerst wat vragen stellen om er zeker van te zijn dat u bent wie u zegt. Social Engineer: Ok. Medewerker: Wat is uw gebruikersnaam? Social Engineer: Dat is jcboe012. Medewerker: Ok, en uw vaste telefoonnummer van kantoor is 527? Social Engineer: Nee, dat is 382. Medewerker: Ok, dat klopt zie ik hier, wat is uw huiadres meneer? Social Engineer: Dat is kruisbooglaan 447 in Schiedam. Medewerker: Ok, dat klopt allemaal. Social Engineer: Gelukkig. Medewerker: Meneer we moeten eerst u Pointsec (harddisk encryptie software) wachtwoord wijzigen, daarna wijzigen wij het Windows wachtwoord wat dan weer automatisch synchroniseert met Pointsec voor single sign on. Social Engineer: Ok. Medewerker: U bent nu bij het Pointsec inlog scherm meneer? Social Engineer: Ja. Medewerker: Ok, wilt u dan klikken op remote help. Social Engineer: Gedaan.
Pagina 38
Social Engineering - Gestructureerd Model Medewerker: Ok, wilt u nu klikken op wachtwoord wijzigen. Social Engineer: Ok, ook gedaan. Medewerker: U heeft nu als het goed is een scherm met een aantal invoervelden met in het bovenste veld al een ingevoerd nummer reeks. Social Engineer: Ja dat klopt. Medewerker: Kunt u mij die nummer reeks voorlezen? Social Engineer: Ok, dat is ……… Medewerker: Ok, bedankt, wilt u nu de volgende nummers in het tweede veld invoeren, ………. Social Engineer: Dat heb ik gedaan, en nu? Medewerker: Nu kunt u rechts onderin op OK klikken. Social Engineer: Dat heb ik nu gedaan en krijg de melding ‘ingevoerde code onjuist’. Medewerker: Dat is vreemd, misschien hebben we een typefout gemaakt, laten we het nog een keer doen. Social Engineer: Ok, de nummer reeks is ……… Medewerker: Ok, bedankt, wilt u nu de volgende nummers in het tweede veld invoeren, ………. Social Engineer: Ik krijg weer de melding ‘ingevoerde code onjuist’. Medewerker: Misschien is er iets anders mis, u was op kantoor toch? Social Engineer: Ja. Medewerker: Kunt u even langskomen bij local support op de eerste verdieping? Social Engineer: Nou dat wordt moeilijk, ik moet zo naar een klantafspraak, kan ik anders vanmiddag of morgenochtend langskomen? Medewerker: Dat is ook prima, kunt u morgen om 08:30 uur? Social Engineer: Ja dat kan. Medewerker: Ok, tot morgen dan. Social Engineer: Tot morgen. De volgende ochtend zijn we langsgegaan en de situatie uitgelegd. Local support heeft ons uitgelegd dat elke Pointsec installatie gekoppeld is aan het userid en de computer / laptop. Om daadwerkelijk op het account van een collega in te loggen dien je de computer van de collega ook te hebben.
Pagina 39
Social Engineering - Gestructureerd Model Het model
Plan of attack
On the Intranet
Adressbook
Gather information
User ID Phone number Adress Preventie moment 1
Calling Helpdesk User ID Phone number Adress
Social Event Preventie moment 2
Failed Social Engineering Attack
Analyse In dit scenario zijn twee preventiemomenten geïdentificeerd. Het eerste moment is de gegevens die beschikbaar zijn in het adresboek op het intranet. In eerste instantie lijkt dit ook in strijd te zijn met de Wet Bescherming Persoonsgegevens. Echter bij navraag bij de helpdesk / local support blijkt het zichtbaar zijn van persoonlijke gegevens een optie te zijn die elke gebruiker aan of uit kan zetten in het adresboek. Deze informatie kan dus worden verborgen maar dat zal in deze situatie niet veel toegevoegde waarde geven. Het adres had ook via andere wegen eenvoudig kunnen worden achterhaald, zeker van een collega zal dit makkelijker zijn. Het niveau van serviceverlening zal bij dit preventiemoment niet beïnvloed worden. Het tweede preventiemoment is interessant aangezien hier daadwerkelijk een vorm van preventie wordt gehanteerd. Het blijkt dus dat elke computer / laptop in combinatie met het userid gekoppeld is aan de harddisk encryptie software Pointsec. Dit is een vorm van authenticatie. Per computer / laptop worden unieke getallenreeksen gegenereerd ter authenticatie.Om toegang tot Windows te krijgen zal eerst toegang tot de computer / laptop moeten worden verkregen via Pointsec. In dit scenario kwamen de unieke getallen reeksen niet overeen wat als vreemd werd bestempeld door de helpdesk medewerker. Het gevolg, het maken van een afspraak om het probleem op te lossen. Aangezien deze afspraak bij een echte aanval nooit had doorgegaan is de aanval verijdeld. Bij navraag blijkt dit een beveiligingsprotocol te zijn van het anonieme bedrijf. Cialdini De principes van Cialdini zijn hier niet van toepassing. Dit wordt veroorzaakt omdat de Social Engineer alle benodigde informatie al heeft. Hierdoor kiest de Social Engineer voor een directe benadering (accelerator). Hoewel deze accelerator gebruikt kan worden bij het autoriteitsprincipe van Cialdini, is er in dit scenario geen sprake van autoriteit. Een medewerker komt niet over als een autoriteit. Helaas voor de social engineer, loopt hij nog tegen een onverzien technische beveiliging aan.
Pagina 40
Social Engineering - Gestructureerd Model Juridisch Letterlijk gezien worden er in dit scenario geen wetten overtreden omdat de Social Engineer vooraf het ‘slachtoffer’ op de hoogte heeft gebracht. In het geval dat dit niet zou gebeuren en de aanval succesvol zou zijn, worden zowel de Wet Bescherming Persoonsgegevens als de Wet Computercriminaliteit overtreden. Het op deze manier achterhalen van de informatie is in strijd met het minimumgrondbeginsel “De plicht om persoonsgegevens op een eerlijke manier te verkrijgen en te verwerken” in artikel 5. Indien de Social Engineer deze gegevens zou gebruiken en zou inloggen dan is dit in strijd met het opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk (WBP art. 138a lid 1). Conclusie In dit scenario kan alleen informatie worden achterhaald via het intranet. De persoonlijke gegevens van de medewerkers van het anonieme bedrijf kunnen naar wens wel of niet zichtbaar worden gemaakt op het intranet. Het bedrijf overtreedt dus niet de Wet Bescherming Persoonsgegevens. Een belangrijke conclusie in dit scenario is dat door extra technologische middelen de aanval verijdeld is. Hoeveel juiste informatie de Social Engineer ook achterhaalt, zonder de juiste computer / laptop zal hij niet door de authenticatie van Pointsec heenkomen. Dit zou alleen mogelijk zijn indien de Social Engineer het algoritme voor de unieke getallenreeksen van Pointsec zou kunnen achterhalen / hacken. Dit valt echter buiten onze definitie van Social Engineering en buiten de scope van deze scriptie. Het serviceniveau in dit scenario wordt niet nadelig beïnvloed omdat het een echte aanval betreft. Indien we de juiste userid behorende bij de computer / laptop hadden gebruikt, hadden we een nieuw wachtwoord toegekend gekregen. Dit kan dus alleen door de eigenaar van de computer / laptop worden uitgevoerd.
2.2
Scenario’s uit ‘The art of Deception’ door Kevin D. Mitnick
We hebben de werking van het model getoetst aan scenario’s uit de praktijk. Deze scenario’s zijn afkomstig uit het boek ‘The art of deception’ door Kevin D. Mitnick (74). Het model wordt toegepast aan elk van de scenario’s. Vervolgens worden de preventiemomenten toegepast en de ‘Social Events’ geïdentificeerd. Daar waar een Social Event plaatsvindt wordt getoetst of het gedachteproces (beschreven in sectie 1.7.3 Social Event) de aanval door Social Engineering had kunnen verijdelen. Elk scenario is opgebouwd uit de volgende kopjes: - Het verhaal - Het model - Analyse - Cialdini - Juridisch - Conclusie
Pagina 41
Social Engineering - Gestructureerd Model Het verhaal Het verhaal is een directe copy uit het boek ‘The art of deception’ door Kevin D. Mitnick (74). Deze sectie is opgenomen in de scriptie om onnodig heen en weer bladeren te voorkomen. Dit is echter geen onderdeel van het door ons geschreven stuk en dient puur als illustratie. Het model Het model is een gemodeleerde weergave van het process zoals deze is ontworpen en toegelicht in sectie 1.2 Het proces. Dit model maakt het mogelijk een visueel inzicht te krijgen in wat er concreet in het verhaal is gebeurd om het uiteindelijke doel te bereiken. Analyse In de analyse wordt het verhaal door middel van het model inclusief de preventiemomenten (zoals beschreven in sectie 1.7 Maatregelen) toegelicht. In deze toelichting wordt ook duidelijk hoe het slachtoffer had kunnen reageren, of welke maatregelen er getroffen hadden kunnen worden om de aanval te verijdelen danwel te voorkomen. Cialdini Elk scenario wordt belicht vanuit de basisprincipes van Cialdini. Een korte beschrijving tot welke basisprincipes in de diverse scenario’s worden gehanteerd geeft inzicht in het gebruik van de principes en geeft een indicatie van de effectiviteit van de basisprincipes. Een uitleg van de diverse principes is terug te vinden in sectie 1.6.2 Psychologische principes van Cialdini. Juridisch Onder het kopje Juridisch wordt een toelichting gegeven op de juridische consequentie die een dergelijke aanval had kunnen impliceren. Conclusie Bij elk scenario wordt een conclusie weergegeven. Met deze conclusie wordt kort ingegaan op de uiteindelijke uitkomst van de analyse. Echter, in sectie 3 Evaluatie wordt een diepgaander evaluatie gedaan over het geheel van scenario’s.
2.2.1 Scenario 1 (Pagina 4) Het verhaal Code Breaking One day in 1978, Rifkin moseyed over to Security Pacific's authorized personnel only wire-transfer room, where the staff sent and received transfers totaling several billion dollars every day. He was working for a company under contract to develop a backup system for the wire room's data in case their main computer ever went down. That role gave him access to the transfer procedures, including how bank officials arranged for a transfer to be sent. He had learned that bank officers who were authorized to order wire transfers would be given a closely guarded daily code each morning to use when calling the wire room.
Pagina 42
Social Engineering - Gestructureerd Model In the wire room the clerks saved themselves the trouble of trying to memorize each day's code: They wrote down the code on a slip of paper and posted it where they could see it easily. This particular November day Rifkin had a specific reason for his visit. He wanted to get a glance at that paper. Arriving in the wire room, he took some notes on operating procedures, supposedly to make sure the backup system would mesh properly with the regular systems. Meanwhile, he surreptitiously read the security code from the posted slip of paper, and memorized it. A few minutes later he walked out. As he said afterward, he felt as if he had just won the lottery. There's This Swiss Bank Account. Leaving the room at about 3 o'clock in the afternoon, he headed straight for the pay phone in the building's marble lobby, where he deposited a coin and dialed into the wire-transfer room. He then changed hats, transforming himself from Stanley Rifkin, bank consultant, into Mike Hansen, a member of the bank's International Department. According to one source, the conversation went something like this: "Hi, this is Mike Hansen in International," he said to the young woman who answered the phone. She asked for the office number. That was standard procedure, and he was prepared: "286," he said. The girl then asked, "Okay, what's the code?" Rifkin has said that his adrenaline powered heartbeat "picked up its pace" at this point. He responded smoothly, "4789." Then he went on to give instructions for wiring "Ten million, two hundred thousand dollars exactly" to the Irving Trust Company in New York, for credit of the Wozchod Handels Bank of Zurich, Switzerland, where he had already established an account. The girl then said, "Okay, I got that. And now I need the interoffice settlement number." Rifkin broke out in a sweat; this was a question he hadn't anticipated, something that had slipped through the cracks in his research. But he managed to stay in character, acted as if everything was fine, and on the spot answered without missing a beat, "Let me check; I'll call you right back." He changed hats once again to call another department at the bank, this time claiming to be an employee in the wire-transfer room. He obtained the settlement number and called the girl back. She took the number and said, "Thanks." (Under the circumstances, her thanking him has to be considered highly ironic.) Achieving Closure A few days later Rifkin flew to Switzerland, picked up his cash, and handed over $8 million to a Russian agency for a pile of diamonds. He flew back, passing through U.S. Customs with the stones hidden in a money belt. He had pulled off the biggest bank heist in history and done it without using a gun, even without a computer.
Pagina 43
Social Engineering - Gestructureerd Model Het model Plan of attack
In the Wire-room
Gather information
Transfer Procedures Preventie moment 1
Daily code
Call the Wire room from the lobby as Mike Hansen
Transfer Procedures
Social Event Preventie moment 2
Daily code
Adjust Plan when required
Interoffice settlement number required
Call other department
Social Event
Interoffice settlement number Preventie moment 3
Call the Wire room from the lobby as Mike Hansen Interoffice settlement number
Social Event Preventie moment 4
End goal
“Ten million, two-hundred thousand dollars”
Analyse Bij analyse van scenario 1 zoals geschetst door Kevin Mitnick, is het eerste moment het verzamelen van informatie uit de Wire room. Deze informatie was niet juist beveiligd. Dit zou echter door een goed informatiebeveiligingsbeleid niet mogen gebeuren. Echter, het betreft hier geen sociale interactie. Je zou je kunnen afvragen of de beschikbaarheid van informatie in een beveiligde ruimte zelfs een zorgelijke situatie zou zijn.
Pagina 44
Social Engineering - Gestructureerd Model Het tweede preventiemoment verloopt volgens de procedure. De telefoniste had volgens de procedure niet kunnen weten dat hier werd gefraudeerd. De juiste authorisaties werden verleend waardoor authenticatie is doorstaan. Er zou enige vorm van ‘doubt’ kunnen zijn onstaan door het niet direct kunnen leveren van het Interoffice settlement number. Maar het kan niet worden verweten. Het derde preventiemoment wordt (jammer genoeg) niet beschreven in het boek. Hier kan dus geen oordeel over worden gegeven. Voor het vierde preventiemoment geldt hetzelfde als het tweede. De procedures worden juist doorlopen. Aan de authenticatie wordt voldaan. Cialdini Doordat er in dit scenario geen sprake is van Social Engineering maar puur diefstal van gegevens, kan dit scenario niet worden gekoppeld aan één van de principes van Cialdini. De dame in het scenario voert enkel de procedures uit, de Social Engineer bewerkt haar op geen enkele manier om een gunst van haar te krijgen. Juridisch Bij de juridische analyse van scenario 1 zoals geschetst door Kevin Mitnick is alleen de Wet Computercriminaliteit van toepassing. Wet Bescherming Persoonsgegevens is niet van toepassing omdat er geen persoonsgegevens op een oneerlijke manier verkregen worden en misbruikt. Het enige wat Rifkin doet, is zich voordoen als iemand anders. Hierbij worden geen persoonsgegevens op een oneerlijke manier verkregen en misbruikt zoals bedoeld in de Wet Bescherming Persoonsgegevens. De Wet Computercriminaliteit lijkt in eerste instantie wel van toepassing, daar Rifkin als onbevoegde kennis neemt van geheime of als vertrouwelijk aangemerkte informatie in de wire-transfer room. Echter neemt hij kennis van deze informatie op een moment dat deze informatie niet in een informatiesysteem staat maar gewoon op een stukje papier. In deze specifieke situatie lijkt het erop dat meer de artikelen 272 en 273 (beroeps- en bedrijfsgeheimen) van het Strafrecht van toepassing zijn. Conclusie Bij de Social Events (daadwerkelijke relationele interactie) wordt aan de procedures voldaan. Het lijkt er daardoor op dat hier geen sprake is van Social Engineering, maar puur diefstal van gegevens (teneinde misleiding toe te passen). Met een juiste beveiliging van informatie had dit niet kunnen gebeuren. Wanneer de code niet op een post-it was genoteerd was deze aanval niet mogelijk geweest. Tevens zijn de procedures door de telefoniste gevolgd. Het misleidende karakter van de aanval had door geen enkele aanvullende procedure kunnen worden verijdeld. De dame die de transactie heeft uitgevoerd treft door deze conclusie ook geen enkele blaam.
Pagina 45
Social Engineering - Gestructureerd Model
2.2.2 Scenario 2 (Pagina 16) Het verhaal Creditchex For a long time, the British put up with a very stuffy banking system. As an ordinary, upstanding citizen, you couldn't walk in off the street and open a bank account. No, the bank wouldn't consider accepting you as a customer unless some person already well established as a customer provided you with a letter of recommendation. Quite a difference, of course, in the seemingly egalitarian banking world of today. And our modern ease of doing business is nowhere more in evidence than in friendly, democratic America, where almost anyone can walk into a bank and easily open a checking account, right? Well, not exactly. The truth is that banks understandably have a natural reluctance to open an account for somebody who just might have a history of writing bad checks that would be about as welcome as a rap sheet of bank robbery or embezzlement charges. So it's standard practice at many banks to get a quick thumbs up or thumbs down on a prospective new customer. One of the major companies that banks contract with for this information is an outfit we'll call CreditChex. They provide a valuable service to their clients, but like many companies, can also unknowingly provide a handy service to knowing Social Engineers. The First Call: Kim Andrews "National Bank, this is Kim. Did you want to open an account today?" "Hi, Kim. I have a question for you. Do you guys use CreditChex?" "Yes." "When you phone in to CreditChex, what do you call the number you give them, is it a 'Merchant lD?” A pause; she was weighing the question, wondering what this was about and whether she should answer. The caller quickly continued without missing a beat: "Because, Kim, I'm working on a book. It deals with private investigations." "Yes," she said, answering the question with new confidence, pleased to be helping a writer. "So it's called a Merchant ID, right?" "Uh huh." "Okay, great. Because I wanted to make sure I had the lingo right. For the book. Thanks for your help. Good-bye, Kim." The second Call: Chris Talbert "National Bank, New Accounts, this is Chris." "Hi Chris. This is Alex," the caller said. "I'm a customer service rep with CreditChex. We're doing a survey to improve our services. Can you spare me a couple of minutes?" She was glad too, and the caller went on: "Okay, what are the hours your branch is open for business?" She answered, and continued answering his string of questions. "How many employees at your branch use our service?"
Pagina 46
Social Engineering - Gestructureerd Model "How often do you call us with an inquiry?" "Which of our 800-numbers have we assigned you for calling us?" "Have our representatives always been courteous?" "How's our response time?" "How long have you been with the bank?" "What Merchant ID are you currently using?" "Have you ever found any inaccuracies with the information we've provided you?" "If you had any suggestions for improving our service, what would they be?" And: "Would you be willing to fill out periodic questionnaires if we send them to your branch?" She agreed, they chatted a bit, the caller rang off, and Chris went back to work. The Third Call: Henry McKinsey "CreditChex, this is Henry McKinsey, how can I help you?" The caller said he was from National Bank. He gave the proper Merchant ID and then gave the name and social security number of the person he was looking for information on. Henry asked for the birth date, and the caller gave that, too. After a few moments, Henry read the listing from his computer screen. "Wells Fargo reported NSF in 1998, one time, amount of $2,066." NSF, nonsufficient funds, is the familiar banking lingo for checks that have been written when there isn't enough money in the account to cover them. "Any activities since then?" "No activities." "Have there been any other inquiries?" "Let's see. Okay, two of them, both last month. Third United Credit Union of Chicago." He stumbled over the next name, Schenectady Mutual Investments, and had to spell it. "That's in New York State," he added.
Pagina 47
Social Engineering - Gestructureerd Model Het model
Plan of attack
Calling Kim Andrews
Social Event
Authentication procedure Preventie moment 1
Calling Chris Talbert
Social Event
Merchant ID Preventie moment 2
Calling Henry McKinsey
Merchant ID
Social Event Preventie moment 3
Name
Birth date
Social Security number
End goal
“Wells Fargo information”
Analyse In scenario 2 is het eerste preventiemoment, bij het eerste Social Event, het gesprek met Kim Andrews. In dit gesprek wordt een bevestiging gevraagd op een schijnbaar al bekende procedure. Het is discutabel of deze procedure informatie wel bedrijfskritisch is. In onze ogen is alleen de gekozen verhaallijn (het schrijven van een boek) een mogelijke indicatie. Hoewel de waarde van de verkregen informatie minimaal is, is hier wel degelijk sprake van Social Engineering. In onze ogen is er geen enkele reden om extra maatregelen te treffen. Bij het tweede Social Event (Preventie moment 2) wordt wel informatie verkregen die bestempeld kan worden als bedrijfskritisch ‘het Merchant ID’. Wanneer de informatie wordt gegeven door ‘Chris Talbert’ had hij de authenticatieprocedure moeten doorlopen. Daarnaast zijn er een aantal triggers die hadden kunnen voorkomen dat de Social Engineer zijn doel kon bereiken. Allereest had hij zich af kunnen vragen
Pagina 48
Social Engineering - Gestructureerd Model of er überhaupt een survey werd uitgevoerd. Hierin had het bedrijf ook een rol kunnen spelen. CreditChex kan in het informatie beveiligingsbeleid kunnen opnemen dat surveys vanuit een centraal orgaan binnen het bedrijf worden aangekondigd. Wellicht mag er zonder deze aankondiging niet worden deelgenomen aan onderzoeken. Daarnaast had de medewerker ook kunnen controleren in een corporate adresboek op het bestaan van deze persoon. In deze casus wordt geen enkele authenticatie uitgevoerd. Tevens is er geen enkele rem om de gewenste informatie (Merchant ID) te verstrekken. In het derde Social Event (preventie moment 3) wordt de procedure volledig gehanteerd. Hier kan dus ook geen enkele extra controlemaatregel aangebracht worden ter versterking van de informatie beveiliging. Het is echter wel discutabel hoe de Social Engineer achter de geboortedatum en het sofi nummer (Social security number) is gekomen wat is gebruikt ter authenticatie. Hier gaat het boek echter niet verder op in. Cialdini In dit scenario doet de Social Engineer zich tot drie keer toe voor als een autoriteit. In het eerste gesprek met Kim Andrews doet hij zich voor als een journalist / schrijver. In eerste instantie twijfelt Kim Andrews over de vraag tot dat de Social Engineer zich voordoet als een journalist / schrijver. Blijkbaar beoordeeld Kim Andrews dit als een autoriteit en wilt ze daardoor behulpzaam zijn. Ook in het tweede gesprek is er sprake van autoriteit. Doordat de Social Engineer zich voordoet als een werknemer van CreditChex (een gerespecteerd bedrijf waar de National Bank mee samen werkt), voelt dit aan als een autoriteit voor Chris Talbert waardoor hij behulpzaam wilt zijn. In het derde gesprek doet de Social Engineer zich voor als een werknemer van de National Bank. Dit kan geïnterpreteerd worden als autoriteit, echter omdat de Social Engineer in dit gesprek alle relevantie informatie al heeft, is er geen twijfel bij Henry McKinsey. Er wordt immers aan de procedure voldaan (juiste gegevens). In het derde gesprek wordt de gevraagde informatie gegeven, echter niet op basis van het autoriteit principe. Juridisch Bij de juridische analyse van scenario 2 zoals geschetst door Kevin Mitnick is zowel de Wet Bescherming Persoonsgegevens als de Wet Computercriminaliteit van toepassing. De Wet Bescherming Persoonsgegevens wordt overtreden wanneer de beller uiteindelijk in het derde gesprek persoonlijke informatie (geboortedatum en kredietwaardigheid) achterhaalt van de betreffende persoon. Het op deze manier achterhalen van de informatie is in strijd met het minimumgrondbeginsel “De plicht om persoonsgegevens op een eerlijke manier te verkrijgen en te verwerken” in artikel 5. De Wet Computercriminaliteit lijkt in eerste instantie ook van toepassing, daar de beller als onbevoegde kennis neemt van geheime of als vertrouwelijk aangemerkte informatie (Merchant ID). Echter achterhaalt de beller deze informatie op basis van een telefoongesprek. De informatie wordt niet op een onbevoegde manier rechtstreeks uit een informatiesysteem gehaald. In deze specifieke situatie lijkt het erop dat eerder de artikelen 272 en 273 (beroeps- en bedrijfsgeheimen) van het Strafrecht van toepassing zijn. Conclusie In deze casus is het duidelijk dat door een juiste authenticatie tijdens preventie moment 2 dit misdrijf had kunnen worden voorkomen. Een simpele check met het corporate adresboek had kunnen aantonen dat deze man niet bestond. Hoewel ook dit eenvoudig is te achterhalen voor een Social Engineer, maakt deze controle het al een stap moeilijker en had de Social Engineer wellicht in een vroeg stadium al door de mand gevallen.Tevens kan men zich afvragen of een Merchant ID informatie is die vrijgegeven mag
Pagina 49
Social Engineering - Gestructureerd Model worden. Gezien de waarde die dit ID blijkbaar heeft in de casus, zou deze informatie als strikt vertrouwelijk moeten worden bestempeld en is duidelijk niet geschikt als informatie voor een onaangekondigde survey. Deze casus is dus duidelijk te verijdelen door het volgen van een juiste procedure voor authenticatie.
2.2.3 Scenario 3 (Pagina 22) Het verhaal The engineer trap It is widely known that head hunter firms use Social Engineering tactics to recruit corporate talent. Here's an example of how it can happen. In the late 1990s, a not very ethical employment agency signed a new client, a company looking for electrical engineers with experience in the telephone industry. The honcho on the project was a lady endowed with a throaty voice and sexy manner that she had learned to use to develop initial trust and rapport over the phone. The lady decided to stage a raid on a cellular phone service provider, to see if she could locate some engineers who might be tempted to take a walk across the street to a competitor. She couldn't exactly call the switchboard and say, "Let me talk to anybody with five years of engineering experience." Instead, for reasons that will become clear in a moment, she began the talent assault by seeking a piece of information that appeared to have no sensitivity at all, information that company people give out to almost anybody who asks. The First Call: The Receptionist The attacker, using the name Didi Sands, placed a call to the corporate offices of the cellular phone service. In part, the conversation went like this: Receptionist: Good afternoon. This is Marie, how may I help you? Didi: Can you connect me to the Transportation Department? R: I'm not sure if we have one, I'll look in my directory.Who's calling? D: It's Didi. R: Are you in the building, or . . . ? D: No, I'm outside the building. R: Didi who? D: Didi Sands. I had the extension for Transportation, but I forgot what it was. R: One moment. To allay suspicions, at this point Didi asked a casual, just making conversation question designed to establish that she was on the "inside," familiar with company locations. D: What building are you in, Lakeview or Main Place? R: Main Place. (pause) It's 805 555 6469. To provide herself with a backup in case the call to Transportation didn't provide what she was looking for, Didi said she also wanted to talk to Real Estate. The receptionist gave her that number, as well. When Didi asked to be connected to the Transportation number, the receptionist tried, but the line was busy.
Pagina 50
Social Engineering - Gestructureerd Model
At that point Didi asked for a third phone number, for Accounts Receivable, located at a corporate facility in Austin, Texas. The receptionist asked her to wait a moment, and went off the line. Reporting to Security that she had a suspicious phone call and thought there was something fishy going on? Not at all, and Didi didn't have the least bit of concern. She was being a bit of a nuisance, but to the receptionist it was all part of a typical workday. After about a minute, the receptionist came back on the line, looked up the Accounts Receivable number, tried it, and put Didi through. The Second Call: Peggy The next conversation went like this: Peggy: Accounts Receivable, Peggy. Didi: Hi, Peggy. This is Didi, in Thousand Oaks. P: Hi, Didi. D: How ya doing? P: Fine. Didi then used a familiar term in the corporate world that describes the charge code for assigning expenses against the budget of a specific organization or workgroup: D: Excellent. I have a question for you. How do I find out the cost center for a particular department? P: You'd have to get ahold of the budget analyst for the department. D: Do you know who'd be the budget analyst for Thousand Oaks headquarters? I'm trying to fill out a form and I don't know the proper cost center. P: I just know when y'all need a cost center number, you call your budget analyst. D: Do you have a cost center for your department there in Texas? P: We have our own cost center but they don't give us a complete list of them. D: How many digits is the cost center? For example, what's your cost center? P: Well, like, are you with 9WC or with SAT? Didi had no idea what departments or groups these referred to, but it didn't matter. She answered: D: 9WC. P: Then it's usually four digits. Who did you say you were with? D: Headquarters, Thousand Oaks. P: Well, here's one for Thousand Oaks. It's 1A5N, that's N like in Nancy. By just hanging out long enough with somebody willing to be helpful, Didi had the cost center number she needed, one of those pieces of information that no one thinks to protect because it seems like something that couldn't be of any value to an outsider. The Third Call: A Helpful Wrong Number Didi's next step would be to parlay the cost center number into something of real value by using it as a poker chip. She began by calling the Real Estate department, pretending she had reached a wrong number. Starting with a "Sorry to bother you, but…," she claimed she was an employee who had lost her company directory, and asked who you were supposed to call to get a new copy. The man said the print copy was out of date because it was available on the company intranet site.
Pagina 51
Social Engineering - Gestructureerd Model Didi said she preferred using a hard copy, and the man told her to call Publications, and then, without being asked, maybe just to keep the sexy-sounding lady on the phone a little longer, helpfully looked up the number and gave it to her. The Fourth Call: Bart in Publications In Publications, she spoke with a man named Bart. Didi said she was from Thousand Oaks, and they had a new consultant who needed a copy of the company directory. She told him a print copy would work better for the consultant, even if it was somewhat out of date, Bart told her she'd have to fill out a requisition form and send the form over to him. Didi said she was out of forms and it was a rush, and could Bart be a sweetheart and fill out the form for her? He agreed with a little too much enthusiasm, and Didi gave him the details. For the address of the fictional contractor, she drawled the number of what Social Engineers call a mail drop, in this case a Mail Boxes Etc. type of commercial business where her company rented boxes for situations just like this. The earlier spadework now came in handy: There would be a charge for the cost and shipping of the directory. Fine, Didi gave the cost center for Thousand Oaks: "1A5N, that's N like in Nancy." A few days later, when the corporate directory arrived, Didi found it was an even bigger payoff than she had expected: It not only listed the names and phone numbers, but also showed who worked for whom, the corporate structure of the whole organization. The lady of the husky voice was ready to start making her head hunter, people raiding phone calls. She had conned the information she needed to launch her raid using the gift of gab honed to a high polish by every skilled Social Engineer. Now she was ready for the payoff.
Pagina 52
Social Engineering - Gestructureerd Model Het model
Plan of attack
Calling the receptionist
Social Event
Transportation Phonenumber Preventie moment 1 Real Estate Phonenumber
Account Receivables Phonenumber
Calling Peggy at Accounts Receivables Account Receivables Phonenumber
Social Event
Cost Center number Preventie moment 2
Calling Real Estate
Real Estate Phonenumber
Social Event
Location for company directory hard copy Preventie moment 3 Publications Phonenumber
Calling Bart in Publications
Cost Center number
Social Event Preventie moment 4
Publications Phonenumber
End goal
“company directory hard copy”
Pagina 53
Social Engineering - Gestructureerd Model Analyse In scenario 3 wordt in het eerste preventiemoment gevraagd naar telefoonnummers bij een receptioniste. Telefoonnummers zijn niet bestempeld als bedrijfkritisch (wellicht de telefoonnummers van directieleden, die worden vaak geredigeerd naar een secretariaat). De receptioniste doet hier dus wat van haar gevraagd wordt. Hierbij kan men zich afvragen of een authenticatie bij het verstrekken van telefoonnummers benodigd is. In de meeste gevallen zal het toch meer onnodige activiteiten leiden, dan dat het de informatiebeveiliging ten goede komt (Zie Security v.s. Flexibility evenwicht in sectie 1.7 Maatregelen). Bij het contact met Peggy van Debiteuren (Account Receivable) bij preventie moment 2 wordt het Cost Center nummer achterhaald. Hier vindt geen juiste authenticatie plaats, waardoor vertrouwelijke informatie wordt verstrekt aan een niet geverifieerd persoon. Hier vindt duidelijk Social Engineering plaats omdat Peggy onder valse omstandigheden wordt overgehaald vertrouwelijke informatie te delen. Dit kon worden voorkomen door gebruik te maken van een authenticatiemechanisme of minimaal een check dat de onbekende persoon bestaat in het corporate adresboek. Om geheel zeker te zijn dat de gegevens niet buiten het bedrijf vallen, kan het gegeven toegezonden worden via e-mail. Door enkele maatregelen te treffen zou dit voorval zijn verijdeld. In het derde contact tijdens preventie moment 3, het contact met Real Estate, wordt geen kritische informatie verstrekt. Deze vraag had ook door de receptie kunnen worden beantwoord. Ook hier geldt dat extra beveiligingsmaatregelen tot meer overlast lijden dan dat ze daadwerkelijk added value bieden. Tijdens het laatste contact met Bart van Publications (preventie moment 4) worden een aantal signalen niet herkend. Allereerst wordt de procedure genegeerd waardoor de Social Engineer wordt geholpen het proces te omzeilen. Daarnaast wordt de vertrouwelijke informatie naar een onbekend adres verzonden en tot slot wordt de aanvrager niet geverifieerd. Dit had ook weer voorkomen kunnen worden door in eerste instantie een juiste authenticatieprocedure te doorlopen. Daarnaast kan een policy zijn dat dit soort informatie nooit aan een niet bekend adres worden verzonden. Hierin kan het informatie beveiligingsbeleid voorzien. Cialdini In het eerste gesprek met de receptioniste wordt er eigenlijk niet echt voldaan aan een van de principes van Cialdini. Toch krijgt de Social Engineer de gevraagde informatie los, de telefoonnummers. In onze visie is hier sprake van sympathie doordat in eerste instantie de Social Engineer een ‘throaty voice and sexy manner’ heeft. Dit valt in onze visie onder (fysieke) aantrekkingskracht. In deze situatie is het niet fysiek maar aantrekkingskracht wordt zeker gecreëerd. Dit geldt voor alle gesprekken die de Social Engineer voert. Ten tweede maakt de Social Engineer gedurende het gesprek gebruik van ‘just making conversation questions’ waardoor er meer vertrouwen komt. Dit kan gezien worden als ‘door herhaaldelijk contact met elkaar vertrouwd raken’. In het tweede gesprek met Peggy wordt de gevraagde informatie pas vrijgegeven nadat de Social Engineer aangeeft dat ze van het hoofdkantoor is. Dit valt onder autoriteit. Tevens maakt de Social Engineer gebruik van bedrijfsjargon, wat vertrouwen wekt. In het derde gesprek is het duidelijk dat de Social Engineer sympathie krijgt door het gebruik van haar ‘throaty voice and sexy manner’. In het vierde gesprek wordt zowel sympathie en autoriteit gebruikt zoals hierboven beschreven.
Pagina 54
Social Engineering - Gestructureerd Model Juridisch Bij de juridische analyse van scenario 3 zoals geschetst door Kevin Mitnick is alleen de Wet Computercriminaliteit van toepassing. De persoonsgegevens die via de “corporate directory” worden verkregen, betreffen geen persoonsgegevens zoals bedoeld in de Wet Bescherming Persoonsgegevens. Deze gegevens betreffen zakelijke gegevens. De Wet Computercriminaliteit lijkt in eerste instantie wel van toepassing omdat Didi als onbevoegde kennis neemt van geheime of als vertrouwelijk aangemerkte informatie (cost center nummer en corporate directory). Echter achterhaalt Didi deze informatie op basis van een telefoongesprek. De informatie wordt niet op een onbevoegde manier rechtstreeks uit een informatiesysteem gehaald. In deze specifieke situatie lijkt het erop dat eerder de artikelen 272 en 273 (beroeps- en bedrijfsgeheimen) van het Strafrecht van toepassing zijn. Conclusie Net als in de voorgaande casus is het duidelijk dat door een juiste authenticatie tijdens preventie moment 2 en 4 dit misdrijf had kunnen worden voorkomen. Een simpele check met het corporate adresboek had kunnen aantonen dat deze dame niet bestond. Tevens is het volgen van de procedures een key item in deze casus. Een algemeen bekend informatie beveiligingsbeleid en een awareness training in de organisatie had dit voorval kunnen voorkomen.
2.2.4 Scenario 4 (Pagina 26) Het verhaal Peter Abel's Phone Call "Hi," the voice at the other end of the line says. "This is Tom at Parkhurst Travel. Your tickets to San Francisco are ready. Do you want us to deliver them, or do you want to pick them up?" "San Francisco?" Peter says. "I'm not going to San Francisco." "Is this Peter Abels?" "Yes, but I don't have any trips coming up." "Well," the caller says with a friendly laugh, "you sure you don't want to go to San Francisco?" "If you think you can talk my boss into it…" Peter says, playing along with the friendly conversation. "Sounds like a mix-up," the caller says. "On our system, we book travel arrangements under the employee number. Maybe somebody used the wrong number. What's your employee number?" Peter obligingly recites his number. And why not? It goes on just about every personnel form he fills out, lots of people in the company have access to it: human resources, payroll, and, obviously, the outside travel agency. No one treats an employee number like some sort of secret. What difference could it make? The answer isn't hard to figure out. Two or three pieces of information might be all it takes to mount an effective impersonation. The Social Engineer cloaking himself in someone else's identity. Get hold of an employee's name, his phone number, his employee number and maybe, for good measure, his manager's name and phone number and a halfway competent Social Engineer is equipped with most of what he's likely to need to sound authentic to the next target he calls.
Pagina 55
Social Engineering - Gestructureerd Model If someone who said he was from another department in your company had called yesterday, given a plausible reason, and asked for your employee number, would you have had any reluctance in giving it to him? And by the way, what is your Social security number? Het model
Plan of attack
Calling Peter Abel
Peter Abel's Phonenumber
Social Event Preventie moment 1
End goal
“Peter Abel's employee number”
Analyse In dit scenario is er slechts een Preventie moment, tijdens het telefoongesprek wordt een misverstand in scene gezet op een vriendelijke toon. Waar het in dit geval fout gaat is dat Peter Abel een gegeven verstrekt waarvan hij eigenlijk niet weet of dit wel vertrouwenlijk is. Wanneer een juiste authenticatie had plaatsgevonden, die in dit geval weinig had kunnen uitmaken omdat het een extern bureau (reisbureau) betreft, had het gegeven alsnog uit kunnen worden gegeven. In dit geval had kennis van de classificatie deze situatie kunen voorkomen. Als het slachtoffer zich bewust was van de vertrouwelijkheid van het employee nummer had hij deze niet zonder meer vrijgegeven. Cialdini In dit scenario is er sprake van sociale bewijskracht. In het gesprek tussen de Social Engineer en Peter Abel wordt niet op sociale bewijskracht aangestuurd door de Social Engineer. Het wordt pas bij de redenering van Peter Abel zelf duidelijk dat er sprake is van sociale bewijskracht, ‘No one treats an employee number like some sort of secret. What difference could it make?’. Met ander woorden, iedereen zou het personeelsnummer geven. Juridisch Bij de juridische analyse van scenario 4 zoals geschetst door Kevin Mitnick is geen van beide wetten van toepassing. Het personeelsnummer dat tijdens het gesprek wordt verkregen, betreft niet persoonsgegevens zoals bedoeld in de Wet Bescherming Persoonsgegevens. Dit is zakelijke informatie. Tevens kan het personeelsnummer niet aangemerkt worden als zakelijk geheime of als vertrouwelijk aangemerkte informatie. Hierdoor is de Wet Computercriminaliteit ook niet van toepassing.
Pagina 56
Social Engineering - Gestructureerd Model Conclusie In dit scenario speelt authenticatie geen rol omdat de vraag door een onbekend persoon wordt gesteld. Wat hier van belang is, is de kennis van de informatie classificatie. In de casus wordt aangenomen dat de informatie vrij te verstrekken is. Dit is echter niet het geval. Hierdoor komt vertrouwelijke informatie alsnog in verkeerde handen. Wanneer duidelijk is aangegeven in bijvoorbeeld een informatie beveiligingsbeleid dat deze informatie slechts binnen het bedrijf mag worden gebruikt, had deze situatie kunnen worden voorkomen.
2.2.5 Scenario 5 (Pagina 42) Het verhaal The First Call: Andrea Lopez Andrea Lopez answered the phone at the video rental store where she worked, and in a moment was smiling: It's always a pleasure when a customer takes the trouble to say he's happy about the service, This caller said he had had a very good experience dealing with the store, and he wanted to send the manager a letter about it. He asked for the manager's name and the mailing address, and she told him it was Tommy Allison, and gave him the address. As he was about to hang up, he had another idea and said, "I might want to write to your company headquarters, too. What's your store number?" She gave him that information, as well. He said thanks, added something pleasant about how helpful she had been, and said good-bye, "A call like that," she thought, "always seems to make the shift go by faster. How nice it would be if people did that more often." The Second Call: Ginny "Thanks for calling Studio Video, This is Ginny, how can I help you?" "Hi, Ginny," the caller said enthusiastically, sounding as if he talked to Ginny every week or so. "It's Tommy Allison, manager at Forest Park, Store 863, We have a customer in here who wants to rent Rocky 5 and we're all out of copies, Can you check on what you've got?" She came back on the line after a few moments and said, "Yeah, we've got three copies," "Okay, I'll see if he wants to drive over there. Listen, thanks. If you ever need any help from our store, just call and ask for Tommy, I'll be glad to do whatever I can for you," Three or four times over the next couple of weeks, Ginny got calls from Tommy for help with one thing or another. They were seemingly legitimate requests, and he was always very friendly without sounding like he was trying to come on to her. He was a little chatty along the way, as well. "Did you hear about the big fire in Oak Park? Bunch of streets closed over there," and the like. The calls were a little break from the routine of the day, and Ginny was always glad to hear from him. One day Tommy called sounding stressed. He asked, "Have you guys been having trouble with your computers?" "No," Ginny answered. "Why?"
Pagina 57
Social Engineering - Gestructureerd Model "Some guy crashed his car into a telephone pole, and the phone company repairman says a whole part of the city will lose their phones and Internet connection till they get this fixed." "Oh, no. Was the man hurt?" "They took him away in an ambulance. Anyway, I could use a little help. I've got a customer of yours here who wants to rent Godfather II and doesn't have his card with him. Could you verify his information for me?" "Yeah, sure." Tommy gave the customer's name and address, and Ginny found him in the computer. She gave Tommy the account number. "Any late returns or balance owed?" Tommy asked. "Nothing showing." "Okay, great. I'll sign him up by hand for an account here and put it in our database later on when the computers come back up again. And he wants to put this charge on the Visa card he uses at your store, and he doesn't have it with him. What's the card number and expiration date?" She gave it to him, along with the expiration date. Tommy said, "Hey, thanks for the help. Talk to you soon," and hung up.
Pagina 58
Social Engineering - Gestructureerd Model Het model Plan of attack
Calling Andrea Lopez
Social Event
Manager name ‘Tommy Allison’ Preventie moment 1
Store number
Series of calls to Ginny Manager name ‘Tommy Allison’
Social Event Preventie moment 2
Store number
Customer Name and address
End goal
“Visa card number and expiration date”
Analyse In het eerste gesprek, wordt de naam van de manager en het filiaalnummer uitgegeven door Andrea Lopez (Medewerkster van de videotheek). Het geven van de naam van de manager en het filiaalnummer is geen overtreding van een mogelijk informatiebeveiligingsbeleid daar deze informatie doorgaans niet als bedrijfskritisch wordt bestempeld. Dit preventiemoment is daarmee niet relevant. In de serie van opvolgende gesprekken wordt een goede relatie opgebouwd totaan het cruciale gesprek. In het laatste gesprek vraagt de Social Engineer om vertrouwelijke informatie aangaande een specifieke klant. Het is echter niet beschreven in de casus hoe deze gegevens zijn achterhaald. Vervolgens wordt de vertrouwelijke informatie verstrekt zonder enige authenticatie. Wanneer hier enige vorm van authenticatie had plaatsgevonden had dit niet plaatsgevonden. Cialdini In het eerste gesprek met Andrea Lopez maakt de Social Engineer gebruik van sympathie. Dit doet hij door gebruik te maken van lof, ‘This caller said he had had a very good experience dealing with the store’. In de volgende gesprekken met Ginny maakt de Social Engineer weer gebruik van sympathie door middel van ‘herhaaldelijk contact met elkaar vertrouwd raken’. Doordat Ginny de Social Engineer inmiddels vertrouwt, geeft zij hem de gegevens van de klant inclusief de creditcard gegevens.
Pagina 59
Social Engineering - Gestructureerd Model Juridisch Bij de juridische analyse van scenario 5 zoals geschetst door Kevin Mitnick is alleen de Wet Bescherming Persoonsgegevens van toepassing. De Wet Bescherming Persoonsgegevens wordt overtreden wanneer de beller uiteindelijk in het tweede gesprek persoonlijke informatie (Visa kaart nummer en verloopdatum) achterhaald van de betreffende persoon. Het op deze manier achterhalen van de informatie is in strijd met het minimumgrondbeginsel “De plicht om persoonsgegevens op een eerlijke manier te verkrijgen en te verwerken” in artikel 5. De persoonsgegevens (naam en e-mail adres) die van de manager worden achterhaald, betreffen geen persoonsgegevens zoals bedoeld in de Wet Bescherming Persoonsgegevens. Deze gegevens betreffen zakelijke gegevens. De Wet Computercriminaliteit is niet van toepassing omdat de achterhaalde gegevens (naam en e-mail adres manager / Visa kaart nummer en verloopdatum) niet geclassificeerd kunnen worden als zakelijk geheime of als vertrouwelijk aangemerkte informatie. Conclusie Deze casus was niet mogelijk geweest wanneer enige vorm van authenticatie had plaatsgevonden. Daarnaast had Ginny (de medewerkster in de videotheek) op de hoogte moeten zijn van de vertrouwelijkheid van de creditcard gegevens. Hoewel dit logisch lijkt, kan dit beter in een informatiebeveiligingsbeleid worden opgenomen. Tot slot kan men zich afvragen of deze gegevens wel beschikbaar moeten zijn voor winkelpersoneel (of überhaupt in het systeem). De gegevens worden immers alleen gebruikt bij authenticatie bij de Creditcardmaatschappij. Het hoeft daardoor niet beschikaar te zijn bij het personeel.
2.2.6 Scenario 6 (Pagina 48) Het verhaal The First Call: Ted First, the Social Engineer dials an electronics chain store on West Girard. "Electron City. This is Ted." "Hi, Ted. This is Adam. Listen, I was in a few nights ago talking to a sales guy about a cell phone. I said I'd call him back when I decided on the plan I wanted, and I forgot his name. Who's the guy who works in that department on the night shift? 'There's more than one. Was it William?" "I'm not sure. Maybe it was William. What's he look like?" "Tall guy. Kind of skinny." "I think that's him. What's his last name, again?” "Hadley. H-A-D-L-E- Y." "Yeah, that sounds right. When's he going to be on?" "Don't know his schedule this week, but the evening people come in about five." "Good. I'll try him this evening, then. Thanks, Ted."
Pagina 60
Social Engineering - Gestructureerd Model The Second Call: Katie The next call is to a store of the same chain on North Broad Street. "Hi, Electron City. Katie speaking, how can I help you?" "Katie, hi. This is William Hadley, over at the West Girard store. How're you today?" "Little slow, what's up?" "I've got a customer who came in for that one cent cell phone program. You know the one I mean?" "Right. I sold a couple of those last week." "You still have some of the phones that go with that plan?" "Got a stack of them." "Great. 'Cause I just sold one to a customer. The guy passed credit; we signed him up on the contract. I checked the damned inventory and we don't have any phones left. I'm so embarrassed. Can you do me a favor? I'll send him over to your store to pick up a phone. Can you sell him the phone for one cent and write him up a receipt? And he's supposed to call me back once he's got the phone so I can talk him through how to program it." "Yeah, sure. Send him over." "Okay. His name is Ted. Ted Yancy." When the guy who calls himself Ted Yancy shows up at the North Broad St. store, Katie writes up an invoice and sells him the cell phone for one cent, just as she had been asked to do by her "coworker." She fell for the con hook, line, and sinker. When it's time to pay, the customer doesn't have any pennies in his pocket, so he reaches into the little dish of pennies at the cashier's counter, takes one out, and gives it to the girl at the register. He gets the phone without paying even the one cent for it. He's then free to go to another wireless company that uses the same model of phone, and choose any service plan he likes. Preferably one on a month-to-month basis, with no commitment required. Het model
Plan of attack
Calling Electron City store 1 - Ted
Social Event
Clerks name ‘William Hadley’ Preventie moment 1
Calling Electron City store 2 - Katie Clerks name ‘William Hadley’
Social Event Preventie moment 2
End goal
“Free phone”
Pagina 61
Social Engineering - Gestructureerd Model Analyse In het eerste gesprek, wordt de naam van een medewerker uitgegeven door Ted (Medewerker van de elektronica winkel). Het geven van de naam de medewerker is geen overtreding van een mogelijk informatiebeveiligingsbeleid daar deze informatie doorgaans, net als casus 5, niet als bedrijfskritisch wordt bestempeld. Dit preventiemoment is daarmee niet relevant. Bij het tweede gesprek wordt Katie misleid door gebruik te maken van een naam van een collega. Authenticatie van de collega is hier niet uitgevoerd waardoor het gemakkelijker is voor de Social Engineer om zijn doel te bereiken. Het is in dit geval zelfs af te vragen of de opgegeven naam een toegevoegde waarde heeft gehad. Elk willekeurige naam was waarschijnlijk geaccepteerd. Deze misleiding was niet geslaagd wanneer in de procedure alleen een contract wordt afgesloten wanneer ook de gewenste artikelen worden geleverd, en visa versa. Het is af te vragen waarom niet de gehele service is overgenomen door de tweede winkel. Cialdini In dit scenario wordt in beide gesprekken gebruik gemaakt van sympathie door de Social Engineer. Zowel Ted als Katie associëren zichzelf met het feit dat er een verkoop kan worden gemaakt waardoor ze graag de informatie geven. Zij brengen zichzelf dus in verband met iets positiefs, een verkoop. Juridisch Bij de juridische analyse van scenario 6 zoals geschetst door Kevin Mitnick is geen van beide wetten van toepassing. De naam en achternaam die tijdens het gesprek wordt verkregen, betreft niet persoonsgegevens zoals bedoeld in de Wet Bescherming Persoonsgegevens. De Wet Computercriminaliteit is niet van toepassing omdat er geen gebruik, beschadiging van middelen van informatietechniek als op het wederrechtelijk gebruik en manipulatie van gegevens heeft plaatsgevonden. Conclusie Wanneer een procedure aanwezig was geweest en ook werd opgevolgd, was deze casus niet mogelijk geweest. Een procedure had kunnen vermelden dat een contract alleen wordt afgesloten als de gewenste artikelen kunnen worden afgegeven. Wellicht was de procedure uitgebreid voor dit soort situaties door gebruik te maken van een standaard afhaalformulier om het artikel bij een ander filiaal af te halen. Wellicht had techniek hier een rol bij kunnen spelen. Het contractnummer in het systeem had een melding kunnen krijgen waarbij de afgifte van een artikel legitiem was geweest.
2.2.7 Scenario 7 (Pagina 55) Het verhaal Day/Time: Monday, February 12, 3:25 p.m. Place: Offices of Starboard Shipbuilding The First Call: Tom DeLay "Tom DeLay, Bookkeeping." "Hey, Tom, this is Eddie Martin from the Help Desk. We're trying to troubleshoot a computer networking problem. Do you know if anyone in your group has been having trouble staying on line?"
Pagina 62
Social Engineering - Gestructureerd Model "Uh, not that I know of." "And you're not having any problems yourself." "No, everything seems fine." "Okay, that's good. Listen, we're calling people who might be affected 'cause it's important you let us know right away if you lose your network connection." "That doesn't sound good. You think it might happen?" "We hope not, but you'll call if it does, right?" "You better believe it." "Listen, sounds like having your network connection go down would be a problem for you…" "You bet it would." "… so while we're working on this, let me give you my cell phone number. Then you can reach me directly if you need to." "That'd be great. Go ahead." "It's 555 867 5309." "555 867 5309. Got it. Hey, thanks. What was your name again?" "It's Eddie. Listen, one other thing I need to check which port your computer is connected to. Take a look on your computer and see if there's a sticker somewhere that says something like 'Port Number'." "Hang on… No, don't see anything like that." "Okay, then in the back of the computer, can you recognize the network cable." "Yeah." "Trace it back to where it's plugged in. See if there's a label on the jack it's plugged into." "Hold on a second. Yeah, wait a minute, I have to squat down here so I can get close enough to read it. Okay, it says Port 6 dash 47." "Good, that's what we had you down as, just making sure." The Second Call: The IT Guy Two days later, a call came through to the same company's Network Operations Center. "Hi, this is Bob; I'm in Tom Delay's office in Bookkeeping. We're trying to troubleshoot a cabling problem. I need you to disable Port 6-47." The IT guy said it would be done in just a few minutes, and to let them know when he was ready to have it enabled. The Third Call: Getting Help from the Enemy About an hour later, the guy who called himself Eddie Martin was shopping at Circuit City when his cell phone rang. He checked the caller ID, saw the call was from the shipbuilding company, and hurried to a quiet spot before answering. "Help Desk, Eddie." "Oh, hey, Eddie. You've got an echo, where are you?" "I'm, uh, in a cabling closet. Who's this? "It's Tom DeLay. Boy, am I glad I got a hold of you. Maybe you remember you called me the other day? My network connection just went down like you said it might, and I'm a little panicky here." "Yeah, we've got a bunch of people down right now. We should have it taken care of by the end of the day. That okay?" "NO! Damn, I'll get way behind if I'm down that long. What's the best you can do for me?" "How pressed are you?" "I could do some other things for right now. Any chance you could take care of it in half an hour?"
Pagina 63
Social Engineering - Gestructureerd Model "HALF AN HOUR! You don't want much. Well, look, I'll drop what I'm doing and see if I can tackle it for you." "Hey, I really appreciate that, Eddie." The Fourth Call: Gotcha! Forty five minutes later… 'Tom? It's Eddie. Go ahead and try your network connection." After a couple of moments: "Oh, good, it's working. That's just great." "Good, glad I could take care of it for you." "Yeah, thanks a lot." "Listen, if you want to make sure your connection doesn't go down again, there's some software you oughta be running. just take a couple of minutes." "Now's not the best time." "I understand… It could save us both big headaches the next time this network problem happens." "Well… if it's only a few minutes." "Here's what you do…" Eddie then took Tom through the steps of downloading a small application from a Web site. After the program had downloaded, Eddie told Tom to double-click on it. He tried, but reported: "It's not working. It's not doing anything." "Oh, what a pain. Something must be wrong with the program. Let's just get rid of it, we can try again another time." And he talked Tom through the steps of deleting the program so it couldn't be recovered. Total elapsed time, twelve minutes.
Pagina 64
Social Engineering - Gestructureerd Model Het model
Plan of attack
Calling Tom DeLay at Bookkeeping
Social Event
Port Number ‘6-47’ Preventie moment 1
Calling the IT guy
Port Number ‘6-47’
Social Event
Disabling Port Number ‘6-47’ Preventie moment 2
Being called by Tom DeLay at Bookkeeping
Social Event Preventie moment 3
Calling the IT guy
Port Number ‘6-47’
Social Event
Enabling Port Number ‘6-47’ Preventie moment 4
Calling Tom DeLay at Bookkeeping
Social Event Preventie moment 5
End goal
“Installing software”
Analyse Bij het eerste gesprek wordt de poortnummer van het Tom DeLay doorgegeven. Bij dit eerste preventiemoment was het mogelijk geweest de aanval te verijdelen, echter, door deze gegevens als bedrijfkritisch te bestempelen zou het oor de echte IT medewerkers wellicht lastiger worden werk uit te voeren. Tevens wordt een alternatieve procedure doorgegeven aan het slachtoffer. Hier zou wel iets opgemerkt worden omdat dit niet volgens de procedure verloopt. Volgens een standaard procedure als ITIL zou hier een Incident of Problem ID worden doorgegeven waardoor een servicedesk gebeld kan worden voor een bekend probleem.
Pagina 65
Social Engineering - Gestructureerd Model Bij het tweede preventiemoment wordt de poort uitgeschakeld door de IT afdeling. Hier vind geen enkele vorm van authenticatie plaats. Wanneer de IT afdeling in een corporate adresboek had nagekeken of ‘Bob’ wel bestond en inderdaad op de afdeling van Tom Delay werkt, was deze aanval zeker voorkomen. In het derde preventiemoment wordt de Social Engineer opgebeld door het slachtoffer zelf. Wanneer een procedure aanwezig was geweest voor het afhandelen van IT problemen, had dit vookomen kunnen worden. Preventiemoment 4 staat niet beschreven in de casus. Het is echter wel zo dat de netwerkpoort weer wordt geactiveerd zonder enige authenticatie. Naast dat hier dezelfde analyse geldt als bij preventiemoment 2 is het verwonderlijk dat een netwerkpoort wordt geactiveerd zonder enige achtergrondinformatie. Op basis van deze informatie kan blijkbaar iedereen in het gebouw een netwerkpoort laten activeren en wellicht misbruiken. Tot slot wordt in preventiemoment 5 het uiteindelijke doel bereikt. Dit doel is het laten installeren van een stuk software. Ook hier vindt wederom geen authenticatie plaats. Het gevoel bestaat al dat de Social Engineer van de IT afdeling is. Echter het slachtoffer had zeer zeker kunnen beseffen dat software van het Internet niet geïnstalleerd mag worden. Tevens had het systeem ook zo kunnen worden geconfigureerd dat de eindgebruiker geen software had mogen installeren. Cialdini In dit scenario wordt het principe van wederkerigheid gebruikt door de Social Engineer. Doordat de Social Engineer zichzelf voor doet als IT personeel en Tom DeLay een gunst verleent, wil Tom DeLay meewerken en verstrekt hij zijn netwerk poort nummer en installeert hij software. De ‘gunst’ in dit voorbeeld is dat de Social Engineer aanbiedt dat Tom DeLay hem direct mag bellen indien er een netwerk storing optreedt. Hierdoor hoeft Tom DeLay niet lang te wachten als de storing zich voordoet, wat hij als een gunst ziet. Juridisch Bij de juridische analyse van scenario 7 zoals geschetst door Kevin Mitnick is alleen de Wet Computercriminaliteit van toepassing. Aangezien er geen persoonsgegevens worden achterhaald is de Wet Bescherming Persoonsgegevens niet van toepassing. De Wet Computercriminaliteit lijkt hier van toepassing te zijn omdat het erop lijkt dat Eddie Martin de beschikbaarheid, integriteit en vertrouwelijkheid wil aantasten. Helaas kunnen we in scenario hier niet zeker van zijn omdat er niet verder wordt uitgelegd wat de geïnstalleerde applicatie doet. Waarschijnlijk zal dit bijvoorbeeld inloggegevens kunnen afvangen waardoor Eddie Martin toegang kan krijgen tot de systemen. In dat geval is dit in strijd met het opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk (WBP art. 138a lid 1). Conclusie Deze casus had gemakkelijk kunnen worden voorkomen door een authenticatieprocedure volgen. Zeer zeker had de IT afdeling een authenticatie moeten uitvoeren teneinde alleen gerechtvaardigde acties uit te voeren. Tevens had de aanwezigheid van procedures voor IT support kunnen voorkomen dat andere personen zich in het process kunnen mengen. Tot slot, het uiteindelijke doel in deze casus, installeren van software, was voorkomen door een juiste configuratie van het systeem.
Pagina 66
Social Engineering - Gestructureerd Model
2.2.8 Scenario 8 (Pagina 61) Het verhaal Helpful Andrea "Human Resources, Andrea Calhoun." "Andrea, hi, this is Alex, with Corporate Security." "Yes?" "How're you doing today?" "Okay. What can I help you with?" "Listen, we're developing a security seminar for new employees and we need to round up some people to try it out on. I want to get the name and phone number of all the new hires in the past month. Can you help me with that?" "I won't be able to get to it 'til this afternoon. Is that okay? What's your extension?" "Sure, okay, it's 52… oh, uh, but I'll be in meetings most of today. I'll call you when I'm back in my office, probably after four." When Alex called about 4:30, Andrea had the list ready, and read him the names and extensions. A Message for Rosemary Rosemary Morgan was delighted with her new job. She had never worked for a magazine before and was finding the people much friendlier than she expected, a surprise because of the never ending pressure most of the staff was always under to get yet another issue finished by the monthly deadline. The call she received one Thursday morning reconfirmed that impression of friendliness. "Is that Rosemary Morgan?" "Yes." "Hi, Rosemary. This is Bill Jorday, with the Information Security group." "Yes?" "Has anyone from our department discussed best security practices with you?" "I don't think so." "Well, let's see. For starters, we don't allow anybody to install software brought in from outside the company. That's because we don't want any liability for unlicensed use of software. And to avoid any problems with software that might have a worm or a virus." "Okay." "Are you aware of our email policies?" "No." "What's your current email address?" “
[email protected].” "Do you sign in under the username Rosemary?" "No, it's R-underscore-Morgan." "Right. We like to make all our new employees aware that it can be dangerous to open any email attachment you aren't expecting. Lots of viruses and worms get sent around and they come in emails that seem to be from people you know. So if you get an email with an attachment you weren't expecting you should always check to be sure the person listed as sender really did send you the message. You understand?" "Yes, I've heard about that."
Pagina 67
Social Engineering - Gestructureerd Model "Good. And our policy is that you change your password every ninety days. When did you last change your password?" "I've only been here three weeks; I'm still using the one I first set." "Okay, that's fine. You can wait the rest of the ninety days. But we need to be sure people are using passwords that aren't too easy to guess. Are you using a password that consists of both letters and numbers?" "No." We need to fix that. What password are you using now?" "It's my daughter’s name, Annette." "That's really not a secure password. You should never choose a password that's based on family information. Well, let's see… you could do the same thing I do. It's okay to use what you're using now as the first part of the password, but then each time you change it, add a number for the current month." "So if I did that now, for March, would I use three, or oh, three." "That's up to you. Which would you be more comfortable with?" "I guess Annette three." "Fine. Do you want me to walk you through how to make the change?" "No, I know how." "Good. And one more thing we need to talk about. You have antivirus software on your computer and it's important to keep it up to date. You should never disable the automatic update even if your computer slows down every once in a while. Okay?" "Sure." "Very good. And do you have our phone number over here, so you can call us if you have any computer problems?" She didn't. He gave her the number, she wrote it down carefully, and went back to work, once again, pleased at how well taken care of she felt.
Pagina 68
Social Engineering - Gestructureerd Model Het model
Plan of attack
Calling Andrea Calhoun at Human Resource
Social Event Preventie moment 1
2nd call to Andrea Calhoun at Human Resource
Social Event
Names and phone numbers new hires Preventie moment 2
Calling Rosemary as Bill Jorday Names and phone numbers new hires
Social Event Preventie moment 3
End goal
“Username and Password”
Analyse In het eerste gesprek word een lijst van nieuwe medewerkers opgevraagd. Intern wordt deze informatie niet als bedrijfskritisch bestempeld. Bij dit preventiemoment vind dan ook geen authenticatie plaats. Hier wordt ook geen informatie vrijgegeven die van waarde kan zijn. Bij het opvolgende gesprek wordt dit echter welgedaan. De lijst met namen wordt telefonisch doorgegeven aan een niet geïdentificeerd persoon. Authenticatie door middel van bijvoorbeeld het adresboek had deze misleiding kunnen voorkomen. Tevens wordt de informatie telefonisch verstrekt, wanneer dit via e-mail was gebeurd was duidelijk geworden dat de Social Engineer geen onderdeel van de organisatie was daar hij geen corporate e-mail adres heeft. Tot slot bij preventiemoment 3 wordt contact opgenomen met een nieuwe medewerkster. Deze medewerkster geeft zonder door een authenticatieprocedure te gaan informatie (username en password) vrij die niet vrijgegeven zou mogen worden. Een gebruiker zou op de hoogte moeten zijn dat onder geen enkele voorwaarde het password aan iemand door mag worden gegeven. Cialdini In het eerste gesprek maakt de Social Engineer gebruik van autoriteit. Door zich voor te doen als iemand van ‘Corporate Security’ creëert de Social Engineer autoriteit waardoor Andrea graag de gunst verleent. In het tweede gesprek kan er ook sprake zijn van autoriteit omdat de Social Engineer (Bill Jorday) zich voordoet als iemand van de ‘Information Security group’. Zeker voor iemand die net in dienst is kan dit overkomen als een autoriteit. Verder is er in het tweede gesprek zeker sprake van sympathie. Rosemary Pagina 69
Social Engineering - Gestructureerd Model is op dat moment al heel positief over haar nieuwe baan en hoe aardig iedereen is. Op het moment dat de Social Engineer haar opbelt voor het doornemen van de security best practices associeert zij dit met iets positiefs, de vriendelijkheid van de collega’s bij haar nieuwe baan. Hierdoor werkt zij graag mee. Tevens kan zij de benadering van de security expert als authoriteit opvatten. Juridisch Bij de juridische analyse van scenario 8 zoals geschetst door Kevin Mitnick is alleen de Wet Computercriminaliteit van toepassing. De persoonsgegevens (naam en zakelijke telefoonnummers) die worden achterhaald, betreffen geen persoonsgegevens zoals bedoeld in de Wet Bescherming Persoonsgegevens. Deze gegevens betreffen zakelijke gegevens. De Wet Computercriminaliteit lijkt hier van toepassing te zijn omdat het erop lijkt dat Alex de beschikbaarheid, integriteit en vertouwelijkheid wil aantasten. Helaas kunnen we in scenario hier niet zeker van zijn omdat er niet verder wordt uitgelegd wat Alex wil gaan doen met de achterhaalde username en password. Op het moment dat Alex inlogt met deze gegevens is dit in strijd met het opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk (WBP art. 138a lid 1). Conclusie Deze casus kon voorkomen worden door authenticatie van de Social Engineer door middel van bijvoorbeeld het corporate adresboek. Daarnaast had gebruik van e-mail kunnen aantonen dat de Social Engineer niet binnen het bedrijf zit. Tot slot kon voorkomen worden dat het username en password was uitgegeven door een informatiebeveiligingsbeleid en instructie die duidelijk vermelden dat uitgifte van het password strikt verboden is. Eventueel met uitzondering van duidelijk beschreven situaties.
2.2.9 Scenario 9 (Pagina 64) Het verhaal Steve Cramer's Story It wasn't a big lawn, not one of those expensively seeded spreads. It garnered no envy. And it certainly wasn't big enough to give him an excuse for buying a sit down mower, which was fine because he wouldn't have used one anyway. Steve enjoyed cutting the grass with a hand mower because it took longer, and the chore provided a convenient excuse to focus on his own thoughts instead of listening to Anna telling him stories about the people at the bank where she worked or explaining errands for him to do. He hated those honey do lists that had become an integral part of his weekends. It flashed though his mind that 12 year old Pete was damn smart to join the swimming team. Now he'd have to be at practice or a meet every Saturday so he wouldn't get stuck with Saturday chores. Some people might think Steve's job designing new devices for GeminiMed Medical Products was boring; Steve knew he was saving lives. Steve thought of himself as being in a creative line of work. Artist, music composer, engineer in Steve's view they all faced the same kind of challenge he did: They created something that no one had ever done before. And his latest, an intriguingly clever new type of heart stent, would be his proudest achievement yet.
Pagina 70
Social Engineering - Gestructureerd Model It was almost 11 :30 on this particular Saturday, and Steve was annoyed because he had almost finished cutting the grass and hadn't made any real progress in figuring out how to reduce the power requirement on the heart stent, the last remaining hurdle. A perfect problem to mull over while mowing, but no solution had come. Anna appeared at the door, her hair covered in the red paisley cowboy scarf she always wore when dusting. "Phone call," she shouted to him. "Somebody from work." "Who?" Steve shouted back. "Ralph something. I think." Ralph? Steve couldn't remember anybody at GeminiMed named Ralph who might be calling on a weekend. But Anna probably had the name wrong. "Steve, this is Ramon Perez in Tech Support." Ramon how in the world did Anna get from a Hispanic name to Ralph, Steve wondered. "This is just a courtesy call," Ramon was saying. "Three of the servers are down, we think maybe a worm, and we have to wipe the drives and restore from backup. We should be able to have your files up and running by Wednesday or Thursday. If we're lucky." "Absolutely unacceptable," Steve said firmly, trying not to let his frustration take over. How could these people be so stupid? Did they really think he could manage without access to his files all weekend and most of next week? "No way. I'm going to sit down at my home terminal in just about two hours and I will need access to my files. Am I making this clear?" "Yeah, well, everybody I've called so far wants to be at the top of the list. I gave up my weekend to come in and work on this and it's no fun having everybody I talk to get pissed at me." "I'm on a tight deadline, the company is counting on this; I've got to get work done this afternoon. What part of this do you not understand?" "I've still got a lot of people to call before I can even get started," Ramon said. "How about we say you'll have your files by Tuesday?" "Not Tuesday, not Monday, today. NOW!" Steve said, wondering who he was going to call if he couldn't get his point through this guy's thick skull. "Okay, okay," Ramon said, and Steve could hear him breathe a sigh of annoyance. "Let me see what I can do to get you going. You use the RM22 server, right?" "RM22 and the GM16. Both." "Right. Okay, I can cut some corners, save some time I'll need your username and password." Uh oh, Steve thought. What's going on here? Why would he need my password? Why would IT; of all people, ask for it? "What did you say your last name was? And who's your supervisor?" "Ramon Perez. Look, I tell you what, when you were hired, there was a form you had to fill out to get your user account, and you had to put down a password. I could look that up and show you we've got it on file here. Okay?" Steve mulled that over for a few moments, then agreed. He hung on with growing impatience while Ramon went to retrieve documents from a file cabinet. Finally back on the phone, Steve could hear him shuffling through a stack of papers. "Ah, here it is," Ramon said at last. "You put down the password 'Janice.'" Janice, Steve thought. It was his mother's name, and he had indeed sometimes used it as a password. He might very well have put that down for his password when filling out his new hire papers. "Yes, that's right," he acknowledged.
Pagina 71
Social Engineering - Gestructureerd Model "Okay, we're wasting time here. You know I'm for real, you want me to use the shortcut and get your files back in a hurry, you're gonna have to help me out here." "My ID is s, d, underscore, cramer c-r-a-m-e-r. The password is 'pelican 1.’". “I'll get right on it," Ramon said, sounding helpful at last. "Give me a couple of hours." Steve finished the lawn, had lunch, and by the time he got to his computer found that his files had indeed been restored. He was pleased with himself for handling that uncooperative IT guy so forcefully, and hoped Anna had heard how assertive he was. Would be good to give the guy or his boss an attaboy, but he knew it was one of those things he'd never get around to doing. Craig Cogburne's Story Craig Cogburne had been a salesman for a high tech company, and done well at it. After a time he began to realize he had a skill for reading a customer, understanding where the person was resistant and recognizing some weakness or vulnerability that made it easy to close the sale. He began to think about other ways to use this talent, and the path eventually led him into a far more lucrative field: corporate espionage. This one was a hot assignment. Didn't look to take me very long and worth enough to pay for a trip to Hawaii. Or maybe Tahiti. The guy that hired me, he didn't tell me the client, of course, but it figured to be some company that wanted to catch up with the competition in one quick, big, easy leap. All I'd have to do is get the designs and product specs for a new gadget called a heart stent, whatever that was. The company was called GeminiMed. Never heard of it, but it was a Fortune 500 outfit with offices in half a dozen locations which makes the job easier than a smaller company where there's a fair chance the guy you're talking to knows the guy you're claiming to be and knows you're not him. This, like pilots say about a midair collision, can ruin your whole day. My client sent me a fax, a bit from some doctor's magazine that said GeminiMed was working on a stent with a radical new design and it would be called the STH-100. For crying out loud, some reporter has already done a big piece of the legwork for me. I had one thing I needed even before I got started, the new product name. First problem: Get names of people in the company who worked on the STH-100 or might need to see the designs. So I called the switchboard operator and said, "I promised one of the people in your engineering group I'd get in touch with him and I don't remember his last name, but his first name started with an S." And she said, "We have a Scott Archer and a Sam Davidson." I took a long shot. "Which one works in the STH-100 group?" She didn't know, so I just picked Scott Archer at random, and she rang his phone. When he answered, I said, "Hey, this is Mike, in the mail room. We've got a FedEx here that's for the Heart Stent STH-100 project team. Any idea who that should go to?" He gave me the name of the project leader, Jerry Mendel. I even got him to look up the phone number for me. I called. Mendel wasn't there but his voice mail message said he'd be on vacation till the thirteenth, which meant he had another week left for skiing or whatever, and anybody who needed something in the meantime should call Michelle on 9137. Very helpful, these people. Very helpful. I hung up and called Michelle, got her on the phone and said, "This is Bill Thomas. Jerry told me I should call you when I had the spec ready that he wanted the guys on his team to review. You're working on the heart stent, right?" She said they were.
Pagina 72
Social Engineering - Gestructureerd Model Now we were getting to the sweaty part of the scam. If she started sounding suspicious, I was ready to play the card about how I was just trying to do a favor Jerry had asked me for. I said, "Which system are you on?" "System?" "Which computer servers does your group use?" "Oh," she said, "RM22. And some of the group also use GM16." Good. I needed that, and it was a piece of information I could get from her without making her suspicious. Which softened her up for the next bit, done as casually as I could manage. "Jerry said you could give me a list of email addresses for people on the development team," I said, and held my breath. "Sure. The distribution list is too long to read off, can I email it to you?" Oops. Any email address that didn't end in GeminiMed.com would be a huge red flag. "How about you fax it to me?" I said. She had no problem with doing that. "Our fax machine is on the blink. I'll have to get the number of another one. Call you back in a bit," I said, and hung up. Now, you might think I was saddled with a sticky problem here, but it's just another routine trick of the trade. I waited a while so my voice wouldn't sound familiar to the receptionist, then called her and said, "Hi, it's Bill Thomas, our fax machine isn't working up here, can I have a fax sent to your machine?" She said sure, and gave me the number. Then I just walk in and pick up the fax, right? Of course not. First rule: Never visit the premises unless you absolutely have to. They have a hard time identifying you if you're just a voice on the telephone. And if they can't identify you, they can't arrest you. It's hard to put handcuffs around a voice. So I called the receptionist back after a little while and asked her, did my fax come? "Yes," she said. "Look," I told her, "I've got to get that to a consultant we're using. Could you send it out for me?" She agreed. And why not how could any receptionist be expected to recognize sensitive data? While she sent the fax out to the "consultant," I had my exercise for the day walking over to a stationery store near me, the one with the sign out front "Faxes Sent/Rcvd." My fax was supposed to arrive before I did, and as expected, it was there waiting for me when I walked in. Six pages at $1.75. For a $10 bill and change, I had the group's entire list of names and email addresses. Getting Inside Okay, so I had by now talked to three or four different people in only a few hours and was already one giant step closer to getting inside the company's computers. But I'd need a couple more pieces before I was home. Number one was the phone number for dialing into the Engineering server from outside. I called GeminiMed again and asked the switchboard operator for the IT Department, and asked the guy who answered for somebody who could give me some computer help. He transferred me, and I put on an act of being confused and kind of stupid about anything technical. "I'm at home, just bought a new laptop, and I need to set it up so I can dial in from outside." The procedure was obvious but I patiently let him talk me through it until he got to the dial in phone number. He gave me the number like it was just another routine piece of information. Then I made him wait while I tried it. Perfect. So now I had passed the hurdle of connecting to the network. I dialed in and found they were set up with a terminal server that would let a caller connect to any computer on their internal network. After a bunch of tries I stumbled across somebody's computer that had a guest account with no password required. Some operating systems, when first installed, direct the user to set up an ID and password, but also provide a
Pagina 73
Social Engineering - Gestructureerd Model guest account. The user is supposed to set his or her own password for the guest account or disable it, but most people don't know about this, or just don't bother. This system was probably just set up and the owner hadn't bothered to disable the guest account. Thanks to the guest account, I now had access to one computer, which turned out to be running an older version of the UNIX operating system. Under UNIX, the operating system maintains a password file which contains the encrypted passwords of everybody authorized to access that computer. The password file contains the one way hash (that is, a form of encryption that is irreversible) of every user's password. With a one way hash an actual password such as, say, "justdoit" would be represented by a hash in encrypted form; in this case the hash would be converted by UNIX to thirteen alphanumeric characters. When Billy Bob down the hall wants to transfer some files to a computer, he's required to identify himself by providing a username and password. The system program that checks his authorization encrypts the password he enters, and then compares the result to the encrypted password (the hash) contained in the password file; if the two match, he's given access. Because the passwords in the file were encrypted, the file itself was made available to any user on the theory that there's no known way to decrypt the passwords. That's a laugh I downloaded the file, ran a dictionary attack on it (see Chapter 12 for more about this method) and found that one of the engineers on the development team, a guy named Steven Cramer, currently had an account on the computer with the password "Janice." Just on the chance, I tried entering his account with that password on one of the development servers; if it had worked, it would have saved me some time and a little risk. It didn't. That meant I'd have to trick the guy into telling me his username and password. For that, I'd wait until the weekend. You already know the rest. On Saturday I called Cramer and walked him through a ruse about a worm and the servers having to be restored from backup to overcome his suspicions. What about the story I told him, the one about listing a password when he filled out his employee papers? I was counting on him not remembering that had never happened. A new employee fills out so many forms that, years later, who would remember? And anyway, if I had struck out with him, I still had that long list of other names. With his username and password, I got into the server, fished around for a little while, and then located the design files for the STH-100. I wasn't exactly sure which ones were key, so I just transferred all the files to a dead drop, a free FTP site in China, where they could be stored without anybody getting suspicious. Let the client sort through the junk and find what he wants.
Pagina 74
Social Engineering - Gestructureerd Model Het model
Plan of attack
Information from client
Gather information
New product name ‘STH100’ Preventie moment 1
Calling the switchboard operator New product name ‘STH100’
Social Event
Contact in project ‘Scott Archer’ Preventie moment 2
Calling Scott Archer as Mike from the mail room New product name ‘STH100’
Social Event
Project leader name ‘Jerry Mendel’ Preventie moment 3 Project leader phone number
Calling Jerry Mendel
Voicemail
Gather information
Vacation dates Project leader Preventie moment 4 Phone number Michelle ‘9137’
Continue on next page
Pagina 75
Social Engineering - Gestructureerd Model Calling Michelle New product name ‘STH100’
Social Event
Computer servers ‘RM22’ and ‘GM16’ Preventie moment 5
Project leader name ‘Jerry Mendel’
Adjust Plan when required
Fax number required
Calling the receptionist
Social Event
Fax number Preventie moment 6
Second call to Michelle
Fax number
Social Event
Fax send to reception Preventie moment 7
Second call to the receptionist Stationery store Fax number
Social Event
Fax send to Stationery store Preventie moment 8
Calling IT Department
Social Event
Dial in phone number Preventie moment 9
Dialing in into network
Dial in phone number
Gather information
‘Guest’ account enabled computer Preventie moment 10 Old Account name and password ‘Steven Cramer’
Continue on next page
Pagina 76
- Using decryption software
Social Engineering - Gestructureerd Model Calling Steven Cramer Computer servers ‘RM22’ and ‘GM16’
Social Event Preventie moment 11
Old Account name and password ‘Steven Cramer’
End goal
“Access to STH-100 project documentation through Steven Cramer’s Username and Password”
Analyse Na de tijdlijn te hebben uitgezet in deze uitermate complexe casus, is het model ontstaan waarin 11 preventiemomenten zitten. In preventiemoment 1 wordt informatie vergaard vanuit de cliënt. In deze informatie wordt verwezen naar een magazine waarin de naam van het project wordt vermeld. Door deze vermelding in het magazine is bekend gemaakt dat er een project bestaat en de naam is bekend gemaakt. In het informatiebeveiligingsbeleid kan worden opgenomen dat publicaties nooit de naam van een product in ontwikkeling bevatten. In preventiemoment 2 wordt informatie uitgegeven die vrij toegankelijk is. Hier vindt geen authenticatie bij plaats. Gezien de aard van de informatie is dat ook niet van belang. In preventiemoment 3 wordt wederom informatie uitgegeven die vrij toegankelijk is. Hier vindt geen authenticatie bij plaats. Gezien de aard van de informatie is dat ook hier niet van belang. Ook in preventiemoment 4 wordt wederom informatie uitgegeven die vrij toegankelijk is. Hier vindt geen authenticatie bij plaats. Gezien de aard van de informatie is dat ook hier niet van belang. In preventiemoment 5 worden door Michelle de servernamen vrijgegeven. Dit kan wel worden bestempeld als bedrijfskritisch. Wanneer enige vorm van authenticatie plaats had gevonden was de vrijgave van deze informatie niet uitgevoerd. Daarnaast wordt e-mail niet geaccepteerd en een standaard Fax apparaat wordt eveneens afgewezen. Dit zou bij Michelle wantrouwen moeten opwekken. Ondanks dat dit een duidelijk signaal behoord te zijn, wordt dit door Michelle genegeerd en word de informatie alsnog aangeboden. In preventiemoment 6 wordt een faxnummer uitgegeven. Dit is informatie die vrij toegankelijk is. Hier vindt geen authenticatie bij plaats. Gezien de aard van de informatie is dat ook niet van belang. Bij preventiemoment 7 wordt de informatie daadwerkelijk verzonden. De authenticatie van de ontvanger heeft nooit plaatsgevonden. Desondanks verstuurd Michelle de informatie naar het doorgegeven Faxnummer. Bij preventiemoment 8 wordt informatie doorgestuurd. De receptionist kan zich hierbij afvragen of het toegestaan is informatie van binnen het bedrijf naar een extern nummer door te faxen. Echter, door dit als procedure in te richten zal dit eerder de flexibiliteit benadelen dan dat de beveiliging wordt verbeterd. Tijdens preventiemoment 9 wordt door de IT afdeling probleemloos en zonder authenticatie een inbelnummer vrijgegeven. Dit zou simpel kunnen worden voorkomen door een procedure in te stellen waarbij authenticatie van de gebruiker een voorwaarde is. Daarnaast is het twijfelachtig dat een gebruiker met eigen hardware in kan bellen in het netwerk. Tot slot zou ook voor inbelproblemen een standaard helpdesknummer ingesteld moeten worden waar een standaard ITIL procedure wordt doorlopen. Door onjuist geconfigureerde hardware en/of software, is het tjdens preventiemoment 10 mogelijk om toegang tot het netwerk te verkrijgen. Dit was simpel te voorkomen door een juiste configuratie. Tevens zou de beveiliging van systemen die aan een netwerk gekoppeld zijn van voldoende kwaliteit moeten zijn. Pagina 77
Social Engineering - Gestructureerd Model Tot slot wordt er bij preventiemoment 11 een username en password combinatie vrijgegeven. Ook hier vindt geen betrouwbare authenticatie plaats. Net als in casus 8 geeft de medewerker (Steven Cramer) zonder door een authenticatieprocedure te gaan informatie (username en password) vrij die niet vrijgegeven zou mogen worden. Een gebruiker zou op de hoogte moeten zijn dat onder geen enkele voorwaarde het password aan iemand door mag worden gegeven. Cialdini In het eerste gesprek wordt het principe van wederkerigheid gebruikt door de social engineer. Doordat de social engineer zichzelf voor doet als IT personeel en Steve Cramer een gunst verleent, wil Steve Cramer meewerken en verstrekt hij zijn userid en wachtwoord. De ‘gunst’ in dit voorbeeld is dat de social engineer uiteindelijk toch de bestanden van Steve Cramer gelijk restored. Hierdoor kan Steve Cramer dezelfde dag nog door met zijn werkzaamheden voor de deadline, wat hij als een gunst ziet. De overige gesprekken die de social engineer voert worden in dit scenario helaas te kort en samengevat weergegeven waardoor wij niet kunnen bepalen welke principes van Cialdini worden toegepast. Juridisch Bij de juridische analyse van scenario 9 zoals geschetst door Kevin Mitnick is alleen de Wet Computercriminaliteit van toepassing. De persoonsgegevens (naam en e-mail adressen) die worden achterhaald, betreffen geen persoonsgegevens zoals bedoeld in de Wet Bescherming Persoonsgegevens. Deze gegevens betreffen zakelijke gegevens. De Wet Computercriminaliteit is hier van toepassing omdat Craig de vertrouwelijkheid aantast van geheime of als vertrouwelijk aangemerkte gegevens (STH-100 design files). Craig achterhaalt deze gegevens op een onrechtmatige manier om deze vervolgens te verkopen. Dit is in strijd met het opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk (WBP art. 138a lid 1). Conclusie Deze casus draait voor het overgrote deel uit het vrijgeven van informatie zonder een degelijke authenticatie. Vooral Michelle geeft veel informatie vrij die key is voor het verdere voortgang van de aanval. Zij had kunnen achterhalen via een tweede lijn of de Social Engineer werkelijk is wie hij zegt dat hij is. Het vrijgeven van het password is natuurlijk zeer zeker niet toegestaan. Dit kan opgenomen worden in een informatiebeveiligingsbeleid en een duidelijke communicatie naar de eindgebruikers. Tevens had deze aanval niet kunnen worden uitgevoerd wanneer de toegang naar het netwerk niet uitermate slecht beveiligd was. Een juist beveiligingsbeleid had dit kunnen voorkomen. Tot slot, is het verstandig geen informatie vrij te geven over producten die nog in ontwikkeling zijn. Het is op z’n minst een best practice om de naam aan te passen zodat deze niet te herleiden is naar een interne projectnaam.
Pagina 78
Social Engineering - Gestructureerd Model
2.2.10 Scenario 10 (Pagina 77) Het verhaal Keeping Up with the Joneses In Silicon Valley there is a certain global company that shall be nameless. The scattered sales offices and other field installations around the world are all connected to that company's headquarters over a WAN, a wide area network. The intruder, a smart, feisty guy named Brian Atterby, knew it was almost always easier to break into a network at one of the remote sites, where security is practically guaranteed to be more lax than at headquarters. The intruder phoned the Chicago office and asked to speak with Mr. Jones. The receptionist asked if he knew Mr. Jones's first name; he answered, "I had it here, I'm looking for it. How many Joneses do you have?" She said, "Three. Which department would he be in?" He said, "If you read me the names, maybe I'll recognize it." So she did: "Barry, Joseph, and Gordon." "Joe. I'm pretty sure that was it," he said. "And he was in... which department?" "Business Development." "Fine. Can you connect me, please?" She put the call through. When Jones answered, the attacker said, "Mr. Jones? Hi, this is Tony in Payroll. We just put through your request to have your paycheck deposited directly to your credit union account." "WHAT???!!! You've got to be kidding. I didn't make any request like that. I don't even have an account at a credit union." "Oh, damn, I already put it through." Jones was more than a little upset at the idea that his paycheck might be going to someone else's account, and he was beginning to think the guy on the other end of the phone must be a little slow. Before he could even reply, the attacker said, "I better see what happened. Payroll changes are entered by employee number. What's your employee number?" Jones gave the number. The caller said, "No, you're right, the request wasn't from you, then."They get more stupid every year, Jones thought. "Look, I'll see it's taken care of. I'll put in a correction right now. So don’t worry, you'll get your next paycheck okay," the guy said reassuringly. A Business Trip Not long after, the system administrator in the company's Austin, Texas, sales office received a phone call. "This is Joseph Jones," the caller announced. "I'm in Business Development at corporate. I'll be in town for the week, at the Driskill Hotel. I'd like to have you set me up with a temporary account so I can access my email without making a long distance call." "Let me get that name again, and give me your employee number," the sys admin said. The false Jones gave the number and went on, "Do you have any high speed dial-up numbers?" "Hold on, buddy. I gotta verify you in the database." After a bit, he said, "Okay, Joe. Tell me, what's your building number?" The attacker had done his homework and had the answer ready. "Okay," the sys admin told him, "you convinced me."
Pagina 79
Social Engineering - Gestructureerd Model It was as simple as that. The sys admin had verified the name Joseph Jones, the department, and the employee number, and "Joe" had given the right answer to the test question. "Your username's going to be the same as your corporate one, jbjones," the sys admin said, "and I'm giving you an initial password of 'changeme.'" Het model
Plan of attack
Calling the receptionist at the Chicago office
Social Event
Name ‘Joseph Jones’ Preventie moment 1 Department of Joseph Jones ‘Business development’
Calling Joseph Jones
Social Event
Employee number Preventie moment 2
Calling the administrator at the Texas Sales Office
Name ‘Joseph Jones’
Social Event Preventie moment 3
Department of Joseph Jones ‘Business development’
Employee number
End goal
“Username ‘jbjones’ and Password ‘changeme’ for dial in”
Analyse Bij het eerste contact wordt de naam en afdeling van een medewerker achterhaald. Bij dit preventiemoment 1 wordt informatie uitgegeven die vrij toegankelijk is. Hier vindt geen authenticatie bij plaats. Gezien de aard van de informatie is dat ook niet van belang. Bij preventiemoment 2 wordt door de medewerker zelf het employeenummer vrijgegeven. Het is hierbij onduidelijk of een employee nummer bedrijfskritisch is.
Pagina 80
Social Engineering - Gestructureerd Model Tot slot wordt in preventiemoment een username en password vrijgegeven op basis van relatief simpel te achterhalen informatie. De authenticatieprocedure van de administrator schiet hier duidelijk tekort. Cialdini In scenario wordt het principe van wederkerigheid gebruikt door de Social Engineer. Doordat de Social Engineer zichzelf voor doet als iemand van Payrol en Mr. Jones een gunst verleent, wil Mr. Jones meewerken en verstrekt hij zijn werknemers nummer. De ‘gunst’ in dit voorbeeld is dat de Social Engineer de eventuele verkeerde salaris uitbetaling gaat corrigeren voor Mr. Jones. Juridisch Bij de juridische analyse van scenario 10 zoals geschetst door Kevin Mitnick is alleen de Wet Computercriminaliteit van toepassing. De persoonsgegevens (naam, afdeling en personeelsnummer) die worden achterhaald, betreffen geen persoonsgegevens zoals bedoeld in de Wet Bescherming Persoonsgegevens. Deze gegevens betreffen zakelijke gegevens. De Wet Computercriminaliteit lijkt hier van toepassing te zijn omdat het erop lijkt dat Brian Atterby de beschikbaarheid, integriteit en vertrouwelijkheid wil aantasten. Helaas kunnen we in dit scenario hier niet zeker van zijn omdat er niet verder wordt uitgelegd wat Brian Atterby wil gaan doen met de achterhaalde username en password. Op het moment dat Brian Atterby inlogt met deze gegevens is dit in strijd met het opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk (WBP art. 138a lid 1). Conclusie Gezien de onduidelijkheid over het bedrijfskritisch zijn van het employeenummer is het van belang een dataclassificatie op dit soort gegevens uit te laten voeren en dit te communiceren naar het personeel. Tevens, wanneer het employeenummer niet als bedrijfskritisch of als geheim wordt bestempeld, zou deze niet doorslaggevend mogen zijn in de toegangsprocedure.
Pagina 81
Social Engineering - Gestructureerd Model
3
Evaluatie
De conclusies van elke individuele casus in sectie 2 Praktijk, bevat een aantal belangrijke maatregelen die de aanval had kunnen verijdelen of voorkomen. Deze maatregelen zijn: - Gebruik van het corporate adresboek - Classificatie van gegevens - Gebruik van overige authenticatiemechanismen - Call-back methode, eventueel ook voor e-mail (mail-back, zie ook corporate adresboek) - Overige Procedures De maatregelen zijn gelinkt aan de scenario’s in de tabel in sectie 3.1 Overzicht van karakterestieken. Gebruik van het corporate adresboek In een aantal scenario’s blijkt dat veel van de Social Engineering aanvallen slagen doordat niet duidelijk is of een persoon inderdaad werkzaam is in het bedrijf. Aanname dat iemand een rechtmatige werknemer is, kan tot risicovolle situaties leiden. Een eenvoudig authenticatiemechanisme is het gebruik van het corporate adresboek. Dit is een adresboek op het intranet van het bedrijf. In dit adresboek is iedere werknemer inlucief functie, e-mail adres en telefoonnummer opgenomen. Met behulp van dit adresboek kan authenticatie plaatsvinden. Hiermee kan worden vastgesteld of de persoon daadwerkelijk in het bedrijf werkzaam is. In sommige gevallen is een personeelsnummer of organogram beschikbaar. Deze gegevens kunnen worden gebruikt voor een authenticatiemechanisme. Classificatie van gegevens In een aantal scenario’s is niet duidelijk of gegevens werkelijk mogen worden gedeeld met derden. Hierdoor word bedrijfskritische informatie ongeoorloofd uitgegeven. Door een classificatie van alle bedrijfkritische informatie kan dit worden voorkomen. Gebruikers van deze gegevens moeten op de hoogte worden gebracht van deze classificatie. Dat geldt zeker voor gebruikers in kritische rollen met bijvoorbeeld veel klantcontacten. Gebruik van overige authenticatiemechnismen Het gebruik van een authenticatiemechanisme maakt het voor de Social Engineer lastiger om de gewenste informatie te verkrijgen. Als de toegang tot de informatie wordt geblokkeerd door een mechanisme moet eerst kennis worden verkregen over dit mechanisme. Dit maakt het de gehele aanval lastiger zo niet onmogelijk. Het mechanisme kan van technische aard zijn, zoals het gebruik van een username en password combinatie. Maar kan ook van communicatieve aard zijn, zoals een vraag waarvan alleen de rechtgeldige persoon het antwoord weet. Call-back methode, eventueel ook voor e-mail (mail-back, zie ook corporate adresboek) Om zeker te zijn van de rechtsgeldigheid van een persoon, kan men op basis van de eigen gegevens informatie terug melden. Dit kan met een call-back (of mail-back) systeem. Wanneer bijvoorbeeld bedrijfskritische gegevens naar een ander persoon moeten worden gestuurd, kan dat op basis van bij het bedrijf bekende gegevens. Denk hierbij aan een huisadres of e-mailadres uit het klantenbestand of corporate adresboek. Hierdoor is het niet mogelijk dat de gegevens bij iemand anders dan de juiste
Pagina 82
Social Engineering - Gestructureerd Model persoon terecht komen. Wanneer deze niet om de gegevens heeft gevraagd, kan worden geconcludeerd dat een fout is opgetreden in de afhandeling, of dat een poging tot misbruik is gedaan. In een aantal scenario’s was een call-back methode voldoende geweest om de aanval te verijdelen. Noot: De term Call-Back is inmiddels verouderd. Tegenwoordig wordt het mechanisme via diverse communicatiemiddelen gehanteerd. Hierbij valt te denken aan SMS, E-mail of informatie welke naar het huisadres wordt gestuurd. Echter, een ingeburgerde vernieuwde term bestaat hier niet voor. Wel kan gedacht worden aan: ‘Reversed Engagement’, ‘Authentication by Reply’ of ‘Communicate Back’. Overige Procedures In een aantal scenario’s is het niet duidelijk hoe de medewerker wordt geacht te handelen. In deze gevallen kiest de medewerker er vaak onbewust voor zo klantvriendelijk mogelijk te handelen. Dit gaat dan gepaard met het onterecht delen van informatie. Duidelijke procedures voor onverwachte situaties kunnen hierbij uitkomst bieden. De drang naar klantvriendelijk handelen, kan hierdoor ook onderdrukt worden omdat men weet wat te doen. Het gebruik maken van procedures kan zeker worden geadviseerd bij situaties waar meerdere partijen een rol spelen. Men weet hier beter wat er van elkaar verwacht wordt en vooral wat niet. De bovenstaande maatregelen zijn vooraf in te regelen in het beleid of in de bedrijfsprocessen. Deze maatregelen zijn daarmee preventief tegen een potentiële Social Engineering aanval. De tegenhanger van de preventieve maatregel is de detectieve maatregel. In het geval van Social Engineering is dit de awareness van het slachtoffer voor potentiële aanvallen. Naast dat maatregelen in de procedures zijn opgenomen, ‘blijft’ de mens de zwakste schakel. De Social Engineer zal ‘altijd’ manieren blijven verzinnen om de beveiligingsmaatregelen te omzeilen. Het karakter van Social Engineers zal altijd blijven bestaan en de maatregelen zullen daarmee te allen tijde de kans op een aanval minimaliseren, maar zullen nooit worden uitgeband. De medewerkers van het bedrijf (en daarmee potentiële slachtoffers) zullen zich daarom altijd bewust moeten zijn van een potentiële aanval. Situaties die ‘onverwacht’ zijn, zijn altijd verdacht. Het is daarom van belang dat medewerkers in relatief kwetsbare posities extra op de risico’s worden geattendeerd door bijvoorbeeld awareness trainingen. Kwetsbare posities zijn onder andere receptionistes, helpdeskmedewerkers (of frontdeskmedewerkers) en secretaresses.
3.1
Overzicht van karakterestieken
Op basis van de praktijk cases is een overzicht gemaakt van de door ons gedefinieerde eigenschappen bij een Social Engineering aanval. - Aantal iteraties tot einddoel Op basis van ons model (zie sectie 1.2 Het proces), hebben we bepaald hoeveel iteraties de casus nodig had om tot het einddoel te komen. Mede afhankelijk van de hoeveelheid iteraties kan de complexiteit van de aanval worden bepaald. - Beschikbare informatie key? We hebben een inschatting gemaakt of de beschikbare informatie voor de aanval van doorslaggevend belang is geweest. Wanneer het daadwerkelijk key was voor het slagen van de aanval, kan de
Pagina 83
Social Engineering - Gestructureerd Model
-
-
-
conclusie worden getrokken dat een aanscherping van de informatiebeveiliging, op het gebied van het openbaar beschikbaar stellen van informatie, de aanval had kunnen verijdelen. Met betrekking tot de fraudedriehoek (zie sectie 1.3.2 Fraudedriehoek) wordt door een goede beveiliging een van de benodigde elementen ‘Opportunity’ (Gelegenheid) weggenomen. Hierdoor is de kans op een Social Engineering aanval drastisch verminderd. Graad van beveiliging bij type doel De verkregen informatie is ingedeeld naar vertrouwelijkheid. Hierbij is een gradatie aangegeven voor de benodigde beveiliging. Dit bepaald mede het risico wat men loopt wanneer de informatie in verkeerde handen valt. Principes van Cialdini De casus beschrijft hoe de slachtoffers worden benaderd. Deze benadering is ingedeeld naar de 6 principes van Cialdini (zie sectie 1.6.2 Psychologische principes van Cialdini) Maatregelen Tot slot zijn 5 maatregelen beschreven die uit de evaluatie (zie sectie 3 Evaluatie)naar voren zijn gekomen. Het inzetten van deze maatregelen had de casus kunnen voorkomen of verijdelen.
De maatregel ‘Awareness’ is in elk geval van belang waar een ‘Social Event’ plaatsvindt. Deze maatregel is daarom niet in de tabel opgenomen. Daar waar het Social Event ‘geen’ rol heeft gespeeld in het verkrijgen van bedrijfskritische informatie (bijvoorbeeld het scenario als in sectie 2.2.1 Scenario 1 (Pagina 4) is beschreven) heeft awareness ook de aanval niet kunnen verijdelen.
Corporate adresboek
Classificatie van gegevens
Authenticatiemechnismen
Call-back methode
Procedures
3
Nvt Middel
-
-
-
-
-
-
-
X
X
X
Hack bij bedrijf
1
Nvt Middel
-
-
-
-
-
X
-
-
-
X
Scenario 1
3
Ja
Scenario 2
Schaarste
Autoriteit
Hack bij de VU
Wederkerigheid
Sympathie
Maatregelen
Sociale bewijskracht
Commitment & Consistentie
Graad van beveiliging bij type doel
Beschikbare informatie key?
Aantal iteraties tot einddoel
Principes van Cialdini
Praktijk
Kevin Mitnick Hoog
-
-
-
-
-
-
-
-
-
X
3
Nee Hoog
-
-
-
-
X
X
X
X
-
-
Scenario 3
4
Nee Middel
-
-
-
X
X
X
-
X
-
X
Scenario 4
1
Nee
Laag
-
-
X
-
-
-
X
-
-
-
Scenario 5
2
Nee
Laag
-
-
-
X
-
-
X
X
-
-
Scenario 6
2
Nee
Laag
-
-
-
X
-
-
-
-
-
X
Scenario 7
5
Nee Middel X
-
-
-
-
-
-
X
-
X
Scenario 8
3
Nee Middel
-
-
X
X
X
-
X
-
-
-
Pagina 84
Social Engineering - Gestructureerd Model
Sympathie
Autoriteit
Corporate adresboek
Classificatie van gegevens
Authenticatiemechnismen
Call-back methode
Procedures
Ja
Hoog
X
-
-
-
-
-
X
-
-
X
Nee Hoog
X
-
-
-
-
-
X
-
-
-
Schaarste
Sociale bewijskracht
3
Commitment & Consistentie
Scenario 10
Wederkerigheid
8
Graad van beveiliging bij type doel
Scenario 9
Maatregelen
Beschikbare informatie key?
Aantal iteraties tot einddoel
Principes van Cialdini
Schaarste is niet in de analyse opgenomen omdat dit basisprincipe vrijwel niet voorkomt bij Social Engineering (zie sectie 1.6.2 Psychologische principes van Cialdini). Uit een analyse op het model kunnen we een aantal conclusies trekken. Om deze conclusies verder te onderbouwen kan een diepgaander onderzoek worden uitgevoerd. Dit valt echter buiten de scope van dit onderzoek. De volgende conclusies kunnen worden getrokken: - In de scenario’s van Kevin Mitnick worden gemiddeld 3 á 4 iteratieslagen gebruikt voor een aanval. Dit kan als relatief eenvoudige worden bestempeld. Een uitzondering is Scenario 9 waarin 8 iteratieslagen nodig waren om tot het doel te komen. - De beschikbare informatie van de aanval vooraf blijkt in de veel gevallen niet key te zijn. Dat houdt in dat (de toegang tot) de belangrijkste informatie tijdens ‘Social Events’ wordt achterhaald. De nadruk op de behoefte aan preventie ligt daarmee bij het Social Event. - In de analyse blijkt dat er geen direct verband is tussen de complexiteit van de aanval en de beveiligingsgraad die verwacht kan worden bij het type informatie dat wordt verkregen. De complexiteit van de aanvallen blijkt relatief eenvoudig, ook bij een verwachte hoge beveiligingsgraad. Het verband dat wel te zien is, is dat bij de lage verwachte beveiligingsgraad 1 á 2 iteraties al voldoende is. - De Cialdini principes ‘Wederkerigheid’, ‘Sympathie’ en ‘Autoriteit’ zijn de meest gehanteerde. Dit zou voort kunnen komen door de behoefte om service te verlening, zeker waar het om belangrijke personen gaat. Dit geldt zeker voor serviceverlenende functies zoals een helpdesk. De Social Engineer lijkt hier het meeste gebruik van te maken. - De maatregelen lijken evenredig van waarde te kunnen zijn. De call-back methode lijkt echter in minder gevallen een geschikte oplossing te zijn. Ondanks dat deze zeer effectief kan zijn voor authenticatie, lijkt deze in minder gevallen goed toepasbaar.
Pagina 85
Social Engineering - Gestructureerd Model
4
Conclusie
In de conclusie geven wij antwoord op de onderzoeksvragen waarmee we het onderzoek zijn begonnen. Delen van deze onderzoeksvragen zijn beantwoord in de voorgaande secties. In deze gevallen wordt naar de betreffende secties verwezen. De onderzoeksvragen waren: 1 Wat is Social Engineering? 2 Structureer en benoem de verschillende vormen van Social Engineering? 3 Hoe erg is Social Engineering in juridische zin? 4 Hoe bewust is men zich in de praktijk van de risico’s van Social Engineering? 5 Wat zijn de relevante consequenties voor het IT Audit werkveld? 6 Hoe kan een structuur van maatregelen tegen Social Engineering eruit zien? Wat is Social Engineering? Op basis van de bevindingen uit het onderzoek zijn we gekomen tot de volgende definitie: Social Engineering is het manipuleren van mensen tot het geven van informatie wat onder normale omstandigheden niet zou gebeuren. Met deze omschrijving worden ook acties uitgesloten. Acties waar geen menselijke interactie bij plaatsvindt, vallen bij deze definitie niet onder ‘Social Engineering’. Een voorbeeld hiervan is ‘Desk Sniffing’ (doorzoeken van het bureau). Bij het doorzoeken van het bureau vindt geen interactie plaats waardoor het niet onder het begrip Social Engineering valt. Echter, als de toegang tot het bureau moet worden verkregen door een relatie op te bouwen met een persoon (bijvoorbeeld een relatie met de secretaresse opbouwen om toegang te krijgen tot het bureau) valt deze actie wel onder de definitie. Structureer en benoem welke verschillende vormen van Social Engineering er zijn? Met het model beschreven in sectie 1.2 Het proces, is een structuur aangebracht in het proces waarin Social Engineering wordt uitgevoerd. Met behulp van deze structuur is een Social Engineering aanval te bechrijven en te analyseren. Daarnaast kan ook worden geconcludeerd dat Social Engineering slechts uit een aantal stappen bestaat, waarbij de kern wordt gevormd door het ‘Social Event’. Het zijn niet de verschillende vormen van Social Engineering die van belang zijn maar de context waarin het Social Event wordt gegoten door de Social Engineer. Met behulp van de benaderingen beschreven in sectie 1.6 Social Event, wordt een aanval vorm gegeven. Hierdoor ontstaan situaties waarbij het slachtoffer snel geneigd is onterecht iets waardevols te overhandigen. Hoe erg is Social Engineering in juridische zin? Elke aanval is er uiteraard een. Elke aanval is er een teveel. Juridisch gezien kunnen we concluderen dat Social Engineering strafbaar is, omdat het een vorm is van misleiding (WBP art 5 en art 13) en omdat het een vorm is van, of kan leiden tot computercriminaliteit (art 138a SR). Voor de volledige conclusie van deze onderzoeksvraag verwijzen we naar sectie 1.8 Juridische aspecten. Op basis van de geanalyseerde scenario’s (zie sectie 2.2 Scenario’s uit ‘The art of Deception’ door Kevin D. Mitnick) blijkt dat de Social Engineer in bijna elk scenario een van beide wetten (WBP, WCC) overtreedt. In de scenario’s waar de Sociaal Engineer deze wetten niet overtreedt, kunnen we aannemen dat de achterhaalde informatie gebruikt gaat worden voor een ander Social Event waar de wetten wel overtreden zullen worden. Hieruit
Pagina 86
Social Engineering - Gestructureerd Model kunnen we concluderen dat Social Engineering zo goed als altijd gepaard gaat met het overtreden van de Wet Bescherming Persoonsgegevens en/of de Wet Computercriminaliteit. Hoe bewust is men zich in de praktijk van de risico’s van Social Engineering? Op basis van de geanalyseerde scenario’s (zie sectie 2.2 Scenario’s uit ‘The art of Deception’ door Kevin D. Mitnick) blijkt dat de awareness onvoldoende aanwezig is. In deze scenario’s schijnen de meeste aanvallen op relatief eenvoudige wijze te slagen (gemiddeld 3 iteraties, zie sectie 3.1 Overzicht van karakterestieken). Wanneer we zelf in de praktijk een tweetal proeven uitvoeren, komen we niet tot ons doel (zie sectie 2.1 Praktijktests). In het geval van de VU is een procedure ingesteld die moet voorkomen dat alleen de juiste personen de juiste informatie krijgen. Uit een statement van de dame aan de telefoon blijkt dat hier degelijk gedacht is aan de mogelijkheid dat een Social Engineering aanval kan worden uitgevoerd. In dit geval heeft de ingevoerde maatregel echter een grote impact op de klantvriendelijkheid (zie sectie 1.7 Maatregelen). Het beschreven scenario kan in de praktijk wel degelijk voorkomen. Als de klant oprecht informatie nodig heeft (zonder frauduleuze achtergrond), kan deze niet worden geholpen. De aanval op het anonieme bedrijf wordt afgevangen door een technische beveiliging. Onafhankelijk van de vraag of dit ter voorkoming van Social Engineering is, is een technische beveiliging onder het Informatiebeveiligingsbeleid een maatregel die ook ten goede komt ter voorkoming van Social Engineering aanvallen (zie sectie 1.7 Maatregelen). Wat de impact is op een bedrijf is geheel afhankelijk van de maatregelen (zie sectie 1.7 Maatregelen) die zijn getroffen om een Social Engineering aanval te voorkomen of te verijdelen. Een Social Engineering aanval kan zeer gevaarlijk zijn als de organisatie zich niet bewust is van de risico’s met betrekking tot Social Engineering. Daarentegen zijn er een aantal eenvoudige maatregelen te treffen die de kans op een geslaagde aanval drastisch beperken. Echter, een consequentie van het invoeren van maatregelen, is dat de flexibiliteit en klantvriendelijkheid van de organisatie negatief zal worden beïnvloed (zie sectie 1.7 Maatregelen). Wat zijn de relevante consequenties voor het IT Audit werkveld? Beveiliging is een van de speerpunten van een IT Audit. Zo goed als alle vormen van beveiliging worden in IT Audits onderzocht. Vanuit onze audit werkervaring wordt de menselijke factor, die een grote rol speelt, in deze audits onderbelicht. Uit de scenario’s (zie sectie 2.2 Scenario’s uit ‘The art of Deception’ door Kevin D. Mitnick) blijkt dat deze menselijke factor tot rampzalige gevolgen kan leiden. Een specifieke audit op de kwetsbaarheid van een organisatie voor Social Engineering kan een zeer waardevolle toevoeging zijn op het bestaande pakket van onderzoeken. Uit onze analyse op de scenario’s (zie sectie 3 Evaluatie) blijkt dat een aantal typen functies extra kwetsbaar zijn voor Social Engineering. Deze functies kunnen worden getoetst. Met dit onderzoek kunnen 3 typen audits worden uitgevoerd: - Toetsing van de ingevoerde maatregelen (zie sectie 1.7 Maatregelen) - Toetsing door een praktijkcase (zie sectie 2.1 Praktijktests) - Praktijksituatie analyse voor fraudeonderzoek met behulp van het model (zie sectie 1.2 Het proces)
Pagina 87
Social Engineering - Gestructureerd Model Tevens kunnen adviesopdrachten worden uitgevoerd om kwetsbare functies beter bestand te maken tegen Social Engineering. Op basis van het model (zie sectie 1.2 Het proces) kunnen de kwetsbare punten in de organisatie worden geïdentificeerd. De maatregelen die zijn geïndentificeerd als meest effectief (zie sectie 1.7 Maatregelen) kunnen worden geïmplementeerd. Internal Audit kan de geschetste scenario’s (zie sectie 2.2 Scenario’s uit ‘The art of Deception’ door Kevin D. Mitnick) en overige scenario’s [74] gebruiken om na te gaan of een soortgelijke aanval in de eigen organisatie slagingskans heeft. Daarnaast kan het model een inzicht geven in de kwetsbare posities in de organisatie. Tot slot kan Internal Audit toetsen of een authenticatiemodel (zie sectie 1.7.3 Social Event) haalbaar is voor de kwetsbare posities (zoals de helpdesk) of dat dit tot onnodige vertraging lijdt in de serviceverlening. Hoe kan een structuur van maatregelen tegen Social Engineering eruit zien? Op basis van het model (zie sectie 1.2 Het proces) zijn preventiemomenten gedefineerd (zie sectie 1.7 Maatregelen). Op deze punten in het proces kunnen maatregelen worden gedefineerd om de kans op een succesvolle aanval te voorkomen. Op basis van de scenario’s (zie sectie 2 Praktijk) zijn een aantal maatregelen gedefineerd. Deze maatregelen kunnen zeer effectief tegen Social Engineering worden ingezet. Deze maatregelen zijn: - Gebruik van het corporate adresboek - Classificatie van gegevens - Gebruik van authenticatiemechnismen - Call-back methode, eventueel ook voor e-mail (mailback, zie ook corporate adresboek) - Procedures Deze maatregelen zijn verder uitgewerkt in sectie 3 Evaluatie. Tot slot is het van belang dat ‘Awareness’ bestaat bij de functies die kwetsbaar zijn voor Social Engineering. Training in het herkennen van een Social Engineering aanval kan hier voor worden ingezet. Deze training kan inzicht geven in de benadering die gehanteerd kan worden door de Social Engineer (zie sectie 1.6 Social Event). Daarnaast kunnen werknemers in kwetsbare functies worden getraind in het volgen van een authenticatieprocedure (zie sectie 1.7.3 Social Event).
Pagina 88
Social Engineering - Gestructureerd Model
Bijlagen Bijlage 1. Bronnen In de onderstaande lijst is een overzicht weergegeven van alle gerelateerde bronnen. In de lijst hebben we een onderscheidt gemaakt tussen de bronnen die we hebben gehanteerd. De bronnen waar in de tekst naar verwezen wordt zijn dik afgedrukt weergegeven. Internet 1. Autoriteit http://www.historycentral.com/Civics/a.html 2. Basisemoties http://www.lichaamstaal.nl/lichaamstaal.html?emotie.html 3. BS7799 http://nl.wikipedia.org/wiki/bs_7799 4. Code voor Informatie Beveiliging http://www.cvib.nl/cvibnew/ 5. Deming Cyclus (PDSA) http://www.12manage.com/methods_demingcycle_nl.html 6. DNS spoofing http://www.securesphere.net/download/papers/dnsspoof.htm 7. Dumpster Diving http://en.wikipedia.org/wiki/Dumpster_diving 8. Eavesdropping http://www.flashback.se/archive/BT/btcsmg.html 9. Eavesdropping http://en.wikipedia.org/wiki/Eavesdropping 10. Eckman, Paul http://www.paulekman.com/ 11. Emotie http://nl.wikipedia.org/wiki/Emotie 12. Face http://www.ateamshrine.co.uk/face.php 13. Flattery http://www.websters-online-dictionary.org/definition/flattery 14. Impersonation http://software.allindiansite.com/java/ijava.html 15. Impersonation http://en.wikipedia.org/wiki/Impersonation 16. Information sensivity http://en.wikipedia.org/wiki/Information_sensitivity 17. ISO/IEC 17799 http://nl.wikipedia.org/wiki/ISO/IEC_17799 18. Item dropping http://www.darkreading.com/document.asp?doc_id=95556&print=true 19. Keystroke logging http://en.wikipedia.org/wiki/Keylogger 20. Kwaliteitscirkel van Deming http://nl.wikipedia.org/wiki/kwaliteitscircel_van_deming 21. Nieuwsgroepen http://nl.wikipedia.org/wiki/Usenet Pagina 89
Social Engineering - Gestructureerd Model 22. Nieuwsgroepen http://www.breekpunt.nl/artikel.asp?id=1072 23. Nieuwsgroepen http://www.computerwoorden.nl/ 24. Overtuigen en beïnvloeden http://www.leren.nl/cursus/sociale-vaardigheden/overtuigenbeinvloeden/beinvloedingsstrategieen.html 25. Persoonlijke integriteit http://www.heinpragt.com/menswerk/integriteit.php 26. Phishing and Pharming http://169.244.116.227/~tech/e-mail.html 27. Phishing http://en.wikipedia.org/wiki/Phishing 28. Phishing http://www.consumentenbond.nl/thema/elektronica_en_communicatie/553726/2660958/2660966/2661 002/?ticket=nietlid 29. Piggybacking http://www.gbc.t-online.hu/english/bszotare3.htm 30. Piggybacking http://en.wikipedia.org/wiki/Piggybacking 31. Piggybacking http://www.nve.vt.edu/cias/Resources/glossary.htm 32. Profiling / footprinting http://it.ojp.gov/documents/asp/glossary/index.htm 33. Robert Cialdini http://en.wikipedia.org/wiki/Robert_Cialdini 34. Security and flexibility in the corporate IT environment http://blog.cionsystems.com/?p=65 35. Security vs. Flexibility; Must IT Management choose? http://www.faronics.com/doc/wp/DF_WP_Security_vs_Flexibility_EN.pdf 36. Shoulder-surfing http://en.wikipedia.org/wiki/Shoulder_surfing_%28computer_security%29 37. Social Engineering http://en.wikipedia.org/wiki/Social_engineering_(computer_security) 38. Surveillance / Profiling http://en.wikipedia.org/wiki/Surveillance 39. Tailgating http://en.wikipedia.org/wiki/Tailgating 40. The WayBackMachine http://www.archive.org/web/web.php 41. Tone at the top: How management can prevent fraud in the workspace http://acfe.com/documents/tone-at-the-top-research.pdf 42. Tonino http://www.nu.nl/news.jsp?n=423176&c=50 43. Trojaans paard http://nl.wikipedia.org/wiki/trojaans_paard_(computers) 44. URL spoofing http://en.wikipedia.org/wiki/URL_spoofing 45. Wat is BS7799? http://nl.tech-faq.com/bs7799.shtml 46. Work-life balance http://en.wikipedia.org/wiki/Work-life_balance 47. Zoekmachine http://en.wikipedia.org/wiki/Searchengine
Pagina 90
Social Engineering - Gestructureerd Model Artikelen 48. M. Allen (2003). The Use of ‘Social Engineering’ as a means of Violating Computer Systems. Online beschikbaar: http://www.sans.org/rr/whitepapers/engineering/529.php 49. W. Arthurs (2001). A Proactive defence to Social Engineering. Online beschikbaar: http://www.sans.org/rr/whitepapers/engineering/511.php 50. Bernz, The Complete Social Engineering FAQ! Online beschikbaar: http://www.morehouse.org/hin/blckcrwl/hack/soceng.txt 51. M. Bruck (2003). Social Engineering a little known threat. Online beschikbaar: http://www.entrepreneur.com/article/0,4621,309221,00.html 52. A. Dolan (2004). Social Engineering Tools of the Trade. Online beschikbaar: http://www.sans.org/rr/whitepapers/engineering/1365.php 53. A. Engelfriet. De wet computercriminatiteit: Computervredebreuk Online beschikbaar: http://www.iusmentis.com/beveiliging/hacken/computercriminaliteit/computervredebreuk 54. Ernst & Young (2009). Opportunities in adversity: Responding to the crisis Online beschikbaar: http://www.ey.com/publication/vwluassets/opportunities_in_adversity__responding_to_the_crisis/$file/ernst_young_oia-responding%20to%20the%20crisis%202009.pdf 55. S. Gaudin (2002). Social Engineering The Human Side of Hacking. Online beschikbaar: http://itmanagement.earthweb.com/secu/print.php/1040881/ 56. D. Gragg (2002). A Multilevel defense against Social Engineering. Online beschikbaar: http://www.sans.org/rr/whitepapers/engineering/920.php 57. S. Granger (2001). Social Engineering Fundamentals. Online beschikbaar: http://www.securityfocus.com/infocus/1527 58. S. Granger (2006). Social Engineering Reloaded. Online beschikbaar: http://www.securityfocus.com/infocus/1860 59. Harl (1997). The psychology of Social Engineering. Op: Access All Areas III conference. Online beschikbaar: http://cybercrimes.net/Property/Hacking/Social Engineering/PsychSocEng/PsySocEng.html 60. M. Hermansson, R. Ravne (2005). Fighting Social Engineering. Master Thesis. Online beschikbaar: http://www.dsv.su.se/research/seclab/pages/pdf-files/2005-x-281.pdf 61. D. Janssen (2005). Social Engineering: de menselijke schakel in de informatiebeveiliging. Master Thesis. Online beschikbaar: http://www.niii.ru.nl/onderwijs/afstudereninfo/scripties/2005/DickJanssenScriptie.pdf 62. C. Jones (2003). Social Engineering Understanding and Auditing. Online beschikbaar: http://www.sans.org/rr/whitepapers/engineering/1332.php 63. F. Kanters (2005). Misleiden, intimideren en manipuleren. In: IT Beheer magazine. Online beschikbaar: http://www.le-platane.nl/Publicaties/Pub Social eng ITBM 4-2005.pdf 64. L. Kuunders (2001). Bruce Schneier. Op: website Code voor Informatiebeveiliging Online beschikbaar: http://www.cvib.nl/cvibnew/2001/10/bruce_schneier.php 65. C.E. Lively (2003). Psychological Based Social Engineering. Online beschikbaar: http://www.giac.org/certified_professionals/practicals/gsec/3547.php 66. G.L. Orgill, G.W. Romney, M.G. Bailey and P.M. Orgill (2004). The urgency for effective user privacyeducation to counter Social Engineering attacks on secure computer systems. In: Proceedings of the 5th conference on Information technology education, New York: ACM Press, pp. 177-181, ISBN:158113-936-5. Online beschikbaar: http://delivery.acm.org/10.1145/1030000/1029577/p177-orgill.pdf 67. C. Paradowski (2001). The Cyber Con Game - Social Engineering. Online beschikbaar: http://www.giac.org/practical/gsec/Christopher_Paradowski_GSEC.pdf 68. K.C. Redmon (2006). Mitigation of Social Engineering Attacks in Corporate America. Online beschikbaar: http://www.infosecwriters.com/text_resources/pdf/Social_Engineering_KRedmon.pdf 69. T. Thornburgh (2004). Social Engineering: The “Dark Art”. In: Proceedings of the 1st annual conference on Information security curriculum development, New York: ACM Press, pp. 133135, ISBN:1-59593-048-5. Online beschikbaar: http://delivery.acm.org/10.1145/1060000/1059554/p133-
Pagina 91
Social Engineering - Gestructureerd Model thornburgh.pdf?key1=1059554&key2=8345461411&coll=GUIDE&dl=GUIDE&CFID=66643222&CFTO KEN=56148982 70. R. Tims (2001). Social Engineering: Policies and Education a Must. Online beschikbaar: http://www.giac.org/certified_professionals/practicals/gsec/0452.php Boeken 71. Cialdini, R.B. (1993). Influence, HarperCollins College Publishers, ISBN 0673467511 72. Franken, Henders (2004). Recht en computer, Kluwer, ISBN 9013019862 Samenvatting beschikbaar online: http://arnout.engelen.eu/files/docs/law/rnc.html 73. Hoffmann jr., Gerd en Mischa Schrijver (2005). Fraudebeheersing bij het intermediair. Deventer, Kluwer, ISBN: 901302212X 74. Mitnick, Kevin (2002). The Art of Deception, Wiley Publishing, ISBN 076454280X 75. Schimmel, P.J. (2004). Fraudebeheersing. Deventer, Kluwer, ISBN: 9013011861 76. Swinkels, Walter (2003). Tope at the top, Kluwer, ISBN 9013000029 77. Watts, Duncan J. (2004). Six Degrees ‘The science of a connected age’, WW Norton & Co, ISBN 0393325423
Pagina 92