Cybercriminelen maken door middel van social engineering misbruik van de goedgelovigheid van medewerkers. In dit artikel vertellen we u meer over social engineering pentesttechnieken en laten we zien wat onze pentesters kunnen vinden tijdens een test.
Uit onderzoek van IBM blijkt dat 95% van alle inbreuken op de cyberbeveiliging te wijten is aan goedgelovigheid van mensen. Cybercriminelen gebruiken social engineering technieken om werknemers te manipuleren of over te halen om gevoelige bedrijfsinformatie weg te geven. Hoe kunt u uw werknemers en gegevens beschermen tegen deze technieken? Met social engineering penetratietests kunt u bedreigingen detecteren en voorkomen. In dit artikel vertellen we u meer over social engineering pentesttechnieken en laten we zien wat onze pentesters kunnen vinden tijdens een test.
Social Engineering is een cyberaanval waarbij kwaadwillende gebruik maken van het vertrouwen van een medewerker, op deze manier probeert hij toegang te krijgen tot bedrijfsdata of systemen. Dit type aanval vertrouwt meer op misleiding van mensen dan op technologie. Social engineering-aanvallen gebruiken psychologische trucs om mensen over te halen de beveiligingsprotocollen van de organisatie opzettelijk of per ongeluk te verbreken. Bij een succesvolle aanval geven werknemers details als namen, functietitels of zelfs inloggegevens.
Pentesters gebruiken dezelfde technieken als kwaadwillende om het bewustzijn van medewerkers op social engineering technieken te testen, met toestemming van de organisatie maar zonder dat medewerkers op de hoogte zijn. We bespreken die technieken hieronder.
Phishing
Phishing is een van de koplopers onder cyberaanvallen. Kwaadwillende komen met goed ontworpen e-mails met legitieme bijlagen die in werkelijkheid schadelijk blijken te zijn. In deze e-mails maken ze misbruik van actuele gebeurtenissen, accountmeldingen, bedrijfscommunicatie en een gevoel van urgentie als instrument om mensen op te lichten. Eén kwaadaardige e-mail kan leiden tot enorme schade binnen uw bedrijf. Door middel van een phishingtest worden medewerkers getest op het openen van schadelijke e-mails, het klikken op links en het downloaden van inhoud of het verstrekken van gegevens. Ook spear-phishing kan worden toegepast, dit is een gerichte vorm van phishing waarbij e-mails op maat worden gestuurd naar goed onderzochte slachtoffers.
Tijdens een social engineering-onderzoek voerden onze pentesters een spear-phishing-test uit. De test werd uitgevoerd bij vier medewerkers, waarbij één van hen onbewust inloggegevens vrijgaf. Hierdoor kregen onze specialisten toegang tot de Office 365-omgeving van de organisatie, met daarop onder andere paspoorten en BSN-nummers.
Vishing
Bij Vishing aanvallen geeft de werknemer via de telefoon gegevens over het bedrijf vrij. Dit kan verschillende informatie zijn zoals namen, financiële/persoonlijke gegevens of zelf het resetten van wachtwoorden. Tijdens een vishingtest probeert de pentester telefonisch vertrouwelijke informatie te verkrijgen van het personeel. Hierbij wordt de mate van bewustzijn van het personeel getest.
In een recente Vishingtest maakte een van onze pentesters slim gebruik van de behulpzaamheid van een klantenservicemedewerker. Hiermee kreeg hij ongeautoriseerde toegang tot een account en kon hij gevoelige gegevens bemachtigen. Waarom trappen mensen hierin? Door het empathisch vermogen van mensen aan te spreken weten kwaadwilligen doorgaans ver te komen.
USB Rubber Ducky
Een USB rubber Ducky ziet eruit als een gewone USB-stick, maar is eigenlijk een hele snelle kleine computer die voorgeprogrammeerde opdrachten kan uitvoeren op een computer. Wanneer iemand deze USB-stick in zijn computer steekt typt deze vooraf ingestelde commando’s in alsof het een echt toetsenbord is. Soms wacht een kwaadwillende af totdat iemand zelf de Rubber Ducky in zijn computer steekt, de andere keer doet de kwaadwillende dit zelf. Met een Rubber Ducky test een pentester hoe makkelijk hij deze USB-stick in een computer kan plaatsen of hoe gemakkelijk medewerkers dit zelf doen.
Bij een eerdere test gebruikten onze pentesters de USB Rubber Ducky om te controleren of medewerkers van een organisatie hun computer wel vergrendelden wanneer ze weggingen. De Rubber Ducky gaf toegang tot Office 365, waardoor onder andere e-mailadressen, agenda’s, SharePoint en andere bedrijfsgegevens bemachtig konden worden.
Mystery guest
In een test met een mystery guest probeert de pentester een gebouw van een organisatie binnen te komen. De pentester doet zich bijvoorbeeld voor als monteur, schoonmaker of nieuwe medewerker. Op de manier kan inzicht verkregen worden in kwetsbaarheden op het gebied van (informatie)beveiliging en security awareness. Denk hierbij aan ongeautoriseerde toegang tot systemen en werkruimtes en het onzorgvuldig omgaan met apparatuur, informatie en dossiers op bureaus.
Tijdens een mystery guest test infiltreerde één van onze pentesters de organisatie van een van onze klanten. Terwijl hij door het kantoor liep, ontdekte hij een achtergelaten laptop van een medewerker. Daar plaatste hij een USB-stick met malware, waardoor hij toegang kreeg tot het interne netwerk van de organisatie.
Voorkomen?
Het is belangrijk om op de hoogte te zijn dat de menselijk factor een belangrijk onderdeel is in uw beveiligingsstrategie. Door middel van social engineering tests kunt u het bewustzijn over beveiligingsrisico’s meten en versterken. Alleen door een gezamenlijke inspanning van technologie en security awareness onder werknemers kun je de digitale omgeving van jouw organisatie beschermen.
Meer weten over de social engineering technieken die (ethische) hackers benutten? Onze specialisten vertellen u graag meer!
Contact