Social engineering (informatica)

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken

Social engineering of social hacking, is een techniek waarbij een computerkraker een aanval op computersystemen tracht te ondernemen. Dit door de zwakste schakel in de computerbeveiliging, namelijk de mens, te kraken. De aanval is gericht op het verkrijgen van vertrouwelijke of geheime informatie, waarmee de hacker dichter bij het aan te vallen object kan komen. De beroemdste kraker die van deze techniek gebruikmaakte, is Kevin Mitnick. Hij heeft zijn ervaringen verwoord in het boek The Art of Deception.

Doelen[bewerken]

Kenmerkend voor social engineering is dat er geen aanval op de techniek zelf wordt uitgevoerd. Een aanvaller tracht om:

  • de nieuwsgierigheid van een slachtoffer te wekken
  • medelijden bij een slachtoffer te wekken
  • een slachtoffer bang te maken

De aanvaller doet zichzelf voor als iemand anders. Dit doet de aanvaller met het doel om via de aangenomen, vertrouwenwekkende, rol informatie te verkrijgen die op een andere manier niet of met aanzienlijk meer inspanning of hogere kosten te krijgen is.

Technieken[bewerken]

Er zijn drie aanvalstechnieken:

Persoonlijk contact[bewerken]

De hacker probeert persoonlijk contact te leggen met het slachtoffer. Hij kan zich bijvoorbeeld voordoen als helpdeskmedewerker en de gebruiker opbellen met het verzoek aan diens gebruikersnaam en wachtwoord door te geven om een probleem te verhelpen. Vooraf aan dit contact verzamelt de hacker gerelateerde informatie over het slachtoffer zodat hij het slachtoffer een overtuigend verhaal kan vertellen. Hiervoor worden zoekmachines als Google, sociale netwerksites als Facebook en andere informatiebronnen op het internet gebruikt. Dit is in de praktijk een eenvoudige en effectieve techniek.

Een actueel voorbeeld is de kwestie rond het gebruik van de pretext techniek (het voorwenden iemand anders te zijn) door de onderzoekers die voor de CEO van Hewlett-Packard door analyse van het privé telefoon en e-mail gebruik van mededirecteuren en journalisten hebben achterhaald wie verantwoordelijk was voor het laten uitlekken van strategische informatie naar de pers.

E-mail[bewerken]

Een hacker verstuurt een e-mailtje met een belangwekkende tekst. Deze techniek wordt onder meer uitgevoerd bij de phishing aanval, waarbij gebruikers ertoe worden verleid om op een authentiek ogende site vertrouwelijke gegevens zoals pincodes en creditcardnummers op te geven. Ook de vele e-mail wormen, zoals Sober en Klez, hanteren deze techniek, waarbij een vertrouwenwekkend of bangmakend mailtje de gebruikers ertoe verleidt om ongemerkt een trojaans paard te laten installeren. De aanvaller kan daarmee vervolgens de computer controleren en gebruiken voor zijn eigen doeleinden, zoals het versturen van spam.

Vishing is de telefoonvariant van phishing waarbij de aanvaller geen mail stuurt, maar telefonisch contact opneemt met het slachtoffer.

Rondsnuffelen[bewerken]

De computerkraker probeert vertrouwelijke informatie te krijgen door het snuffelen in vuilnisbakken, containers en prullenbakken. Deze techniek heet dumpster diving. Ook probeert een aanvaller rond te neuzen op de diverse plaatsen bij kopieermachines waar wel eens vertrouwelijke documenten worden weggegooid, of verzameld. Hierbij zal de hacker wel eerst een vorm van insluiping moeten uitvoeren om het gebouw waar de vertrouwelijke gegevens te vinden zijn binnen te komen.

Maatregelen[bewerken]

De belangrijkste maatregel tegen social engineering is het creëren van beveiligingsbewustzijn (security awareness). Daarbij is het enerzijds van belang de eindgebruikers te informeren over het belang van informatiebeveiliging en hen anderzijds te trainen op het herkennen van oneigenlijk gebruik.

Externe links[bewerken]