Le social engineering is een techniek die bestaat uit het verkrijgen van toegang of informatie aan mensen zonder dat ze het beseffen. In tegenstelling tot andere aanvallen is er geen software voor nodig.
de hacker maakt gebruik van iemands vertrouwen om informatie in het algemeen over een computersysteem te verkrijgen. Deze praktijk maakt gebruik van de menselijke gebreken en sociale zekerheid van het slachtoffer, waaraan het gerichte computersysteem is gekoppeld.
De meest klassieke techniek is om bij een bedrijf te verschijnen met een ‘missieopdracht’ om bijvoorbeeld de antivirus op het werkstation van de assistent te updaten. In plaats daarvan installeren we een keylogger die alle ingevoerde wachtwoorden zal vastleggen.
Sociale engineering is niet nieuw. Het bestaat altijd al, met beroemde ingenieurs als Kevin Mitnick of Frank Abagnale. Volgens Kevin Mitnick: Het is gemakkelijker om de menselijke natuur te exploiteren dan om fouten in software te exploiteren.
In dit artikel zullen we in detail de verschillende social engineering-technieken bekijken die door hackers worden gebruikt.
Social engineering per telefoon
Aan de telefoon is het gemakkelijk om door iemand voor de gek gehouden te worden. Het doel van de hacker is om zo snel mogelijk informatie te verkrijgen.
Een goede hacker zal zijn karakter en zijn toespraak hebben voorbereid. Met een paar goed geplaatste zinnen en de juiste toon kan hij er vrij gemakkelijk vertrouwelijke informatie uit halen.
Sommige hackers hebben een paar technieken om hun geloofwaardigheid te perfectioneren, zoals het afspelen van een eerder opgenomen band met kantoorgeluiden op een bandrecorder, of het gebruiken van een stem modifier om dat van een secretaris te imiteren.
Een social engineering-test
Een test uitgevoerd ter gelegenheid van de Defcon-conferentie maakte het mogelijk om het risico van openbaarmaking van geheime informatie door werknemers van het bedrijf te beoordelen.
135 medewerkers van 17 grote bedrijven, waaronder Coca-Cola, Ford, Pepsi, Cisco, Wal-Mart, werden getest in deze hackwedstrijd.
De resultaten zijn schokkend, aangezien 96% van hen, die telefonisch werden gecontacteerd, informatie openbaar maakten die als “gevoelig” werd beschouwd.
Social engineering via internet
Le social engineering via internet is vergelijkbaar met via de telefoon. Het kan per e-mail, door vervalste websites (Phishing ).
Vaak beginnen deze aanvallen met deeen e-mail sturen door een hacker die zich voordoet als iemand of iets dat u kent of vertrouwt, zoals een vriend of uw favoriete bank.
Deze e-mails moedigen u aan om een actie uit te voeren, zoals het klikken op een link, het openen van een bijlage of het beantwoorden van een bericht. De Hackers vervaardig deze e-mails zo dat ze zeer overtuigend zijn en stuur ze naar miljoenen mensen over de hele wereld.
Hackers hebben geen specifiek doel voor ogen en weten ook niet precies wie het slachtoffer zal zijn. Ze weten gewoon dat hoe meer e-mails ze sturen, hoe meer mensen er zullen zijn die misleid kunnen worden.
Social engineering door direct contact
Ook al kan een hacker veel via de telefoon of internet, toch is het soms nodig om de praktijk in te gaan. Zo kan hij de inventaris bestuderen, een wachtwoord op papier schrijven of malware op de computer van het slachtoffer installeren.
De hacker moet goed uitgerust zijn, zodat het doelwit niets meldt. Uiterlijk zal veel uitmaken. Pak, stropdas, zeer goed gekleed, zeer schoon, koffer, gevulde agenda, diverse documenten, visitekaartje, badge... Hij zal een zelfverzekerde houding moeten hebben, zijn blik recht en zijn hoofd hoog gehouden.
Als de hacker dergelijke risico's neemt, komt dat omdat hij vastbesloten is de gewenste informatie te verkrijgen. Het zal daarom zeer overtuigend zijn.
