In de wereld van Cyber Security worden mensen vaak de zwakste schakel genoemd in de keten van digitale verdediging. Ongeacht of dat waarheid is of onzin, het is een feit dat naast de techniek ook de mens een belangrijke target is voor Cyber Criminelen. Social engineering is gericht op mensen en manipuleert mensen om vertrouwelijke informatie vrij te geven of acties uit te voeren die de beveiliging in gevaar brengen. Voor ethische hackers die binnen proberen te komen in een IT-omgeving, is social engineering een cruciaal hulpmiddel in hun arsenaal. Hiermee kunnen ze laten zien hoe Cyber Criminelen technische beveiligingsmaatregels en procedures kunnen omzeilen door menselijke manipulatie, waardoor de noodzaak van trainingen in beveiligingsbewustzijn én robuuste technologische verdedigingsmechanismen voor endpoints wordt benadrukt.
Traditionele pen(etratie)tests omvatten vaak een element van social engineering. Maar terwijl een reguliere ethische hacker misschien direct voor het hoogste gaat, met als doel om zoveel mogelijk toegang te krijgen in een beperkt tijdsbestek, bieden zogenaamde Red Team-oefeningen meer diepgaande en realistische simulaties. Naast de statistieken van 'wie heeft wat geklikt', is er een overvloed aan doelen die een indringer kan nastreven als hij eenmaal binnen is binnen een bedrijfssysteem.
Red Team
Red Teaming is een methode waarbij realistische scenario’s gecreëerd worden om de effectiviteit van de Cyber Security van een organisatie te testen. In plaats van alleen de technische aspecten te testen, gaan de Red Team-specialisten een stapje verder door ook de organisatorische en menselijke elementen in overweging te nemen. Zo helpen Red Teams organisaties om proactief te handelen en eventuele bedreigingen of cyberaanvallen vóór te blijven.
Het overwegen en plannen van 'wat komt hierna' is precies wat Red Team-oefeningen onderscheidt van traditionele pentesten. Door rekening te houden met de volledige context van de aanvalsketen die een crimineel over een langere periode zou kunnen volgen, tonen de social engineering-technieken, die door Red Teams worden gebruikt, meer realisme en kunnen ze potentiële kwetsbaarheden blootleggen die misschien niet duidelijk worden door geautomatiseerde tests of traditionele Cyber Security-benaderingen.
Moderne social engineering
Social engineering draait niet alleen om het openen van onbetrouwbare e-mails over “wat je aan het doen was, terwijl je dacht dat je webcam uitstond”. Hoewel het afleveren van dergelijke persoonlijke bedreigingen via e-mail voor veel tegenstanders nog steeds vruchten afwerpt, is er een overvloed aan verdedigingstechnologieën die helpen voorkomen dat schadelijke e-mails aankomen of een ravage aanrichten als een gebruiker ze probeert te openen.
Red Teams (en de cybercriminelen die ze imiteren) vertrouwen niet alleen op basistechnieken om systemen te compromitteren; de dagen van het opnemen van een macro in een Office-document en geduldig wachten tot er een aanval volgt, zijn al lang voorbij.
Geavanceerde benaderingen berusten steeds vaker op directere interactie met potentiële slachtoffers, met langdurige uitwisselingen over langere perioden. Er kunnen veel meer stappen nodig zijn om een slachtoffer aan de haak te slaan. Aanvallers praten rechtstreeks met potentiële slachtoffers, die zich zelfs bewust kunnen zijn van de kwade bedoelingen van de aanvaller, maar onder dwang tot actie overgaan, of in sommige gevallen gedeeltelijk of zelfs volledig medeplichtig zijn.
Als er eenmaal voet aan de grond is, kunnen aanvallers voorzichtig te werk gaan en niet altijd direct overgaan tot de conventionele doelen die mensen zouden verwachten, zoals beheertoegang of het onklaar maken van publieke servers. Om deze reden worden de social engineering technieken die gebruikt worden door aanvallers (en Red Teams) gekozen vanwege hun heimelijkheid en effectiviteit in de bredere aanvalsketen.
Veelgebruikte technieken voor social engineering gebruikt door red teams
Red teams bootsen de tactieken, technieken en procedures van echte criminele aanvallers zo goed mogelijk na, binnen de beperkingen van de ethiek die hier bij hoort. Red Teams gebruiken een verscheidenheid aan social engineering-technieken om de verdediging van een organisatie te testen, waaronder:
Phishing; het versturen van e-mails die afkomstig lijken te zijn van gerenommeerde bronnen om mensen persoonlijke informatie te laten prijsgeven, zoals gebruikersnamen, wachtwoorden en creditcardnummers. Inloggegevens die zijn buitgemaakt op de ene website, kunnen worden hergebruikt op een andere website of portal, of hebben een specifieke overeenkomst die een aanvaller kan identificeren om aanvallen waarbij wachtwoorden worden ontfutseld, beter te onderbouwen.
Spear Phishing; een meer gerichte vorm van phishing waarbij de aanvaller het bericht aanpast aan het slachtoffer, vaak met behulp van informatie verzameld via sociale media of andere bronnen. Vastgelegde persoonlijke informatie kan worden gebruikt om legitimiteit toe te voegen aan latere verzoeken. Het is mogelijk om bijvoorbeeld vooraf te bellen als een vertegenwoordiger van de bank van het doelwit en een aantal specifieke details te bevestigen, zoals geboortedatum en een paar recente aankopen. Spear phishing is geen alternatief voor gewone phishing; het kan een follow-up zijn, met een meer gerichte aanpak op basis van informatie die al over de persoon zijn verkregen. Het is de moeite waard om op te merken dat de doelwitten voor spear phishing zeker niet altijd hooggeplaatste medewerkers van de doelorganisatie zijn.
Vishing (Voice Phishing); de telefoon gebruiken om de gebruiker op te lichten zodat hij/zij privégegevens opgeeft. Er zijn Red Teams waar helpdesks opgezet zijn, bestaande uit getrainde helpdeskmedewerkers, die met doelwitten praten en hen proberen over te halen om acties uit te voeren of informatie te onthullen die verder misbruikt kunnen worden.
Smishing (SMS Phishing); Sms-berichten gebruiken om met gebruikers te communiceren en een soortgelijk effect te bereiken als wat we proberen te bereiken via telefonie. Hoewel het Smishing wordt genoemd, kun je naast SMS ook andere berichttechnologieën gebruiken, zoals WhatsApp of iMessage.
Fysieke beveiliging; Social engineering is niet beperkt tot digitale interacties. Red Teams kunnen fysieke beveiligingsmaatregelen testen door te proberen ongeautoriseerde toegang te krijgen tot afgeschermde gebieden door het identificeren van onbeveiligde toegangspunten of door een medewerker te volgen door een open deur naar een beveiligd gebied. Toegangspunten kunnen fysieke locaties zijn, zoals serverruimtes, maar veel organisaties hebben ook netwerktoegangspunten zichtbaar. Bijvoorbeeld netwerkverbindingspoorten of zelfs openbare ruimtes waar het draadloze internet van de organisatie toegankelijk is (waarop aanvallers kunnen inloggen met referenties die zijn buitgemaakt met andere social engineering-tactieken).
Gebruikelijke manipulatietechnieken
Ethisch pentests en Red Teaming houdt zich verre van 'bedreigingen' tegen een groep gebruikers of iets dat als afpersing kan worden beschouwd. Wanneer echter wordt geprobeerd gebruikers te manipuleren om informatie te geven, zijn de volgende technieken het meest gebruikelijk:
Pretexting; het creëren van een verzonnen scenario om een slachtoffer over te halen informatie te geven of een actie uit te voeren. Dit kan inhouden dat je je voordoet als een collega, IT-ondersteuning of een autoriteitsfiguur.
Lokken; het slachtoffer iets aanlokkelijks aanbieden in ruil voor inloggegevens of vertrouwelijke informatie. Of heel modern: FOMO of terwijl “Fear Of Missing Out”. Red Teaming MOET ethisch blijven en steekpenningen kunnen meestal toch niet gedeclareerd worden!
Quid Pro Quo; een voordeel aanbieden in ruil voor informatie. Dit kan zo simpel zijn als het bieden van gratis IT-hulp in ruil voor inloggegevens. Dit kan worden gebruikt om een gebruiker zich te laten 'aanmelden' bij een dienst in de hoop dat ze dezelfde referenties gebruiken als bij andere diensten.
Beste maatregelen bescherming tegen social engineering
Organisaties kunnen verschillende stappen nemen om zich te beschermen tegen social engineering-aanvallen:
Uitgebreide training; regelmatige, interactieve Security Awareness training kan werknemers helpen social engineering-tactieken te herkennen en erop te reageren.
Gesimuleerde aanvallen; het uitvoeren van gesimuleerde social engineering-aanvallen kan helpen bij het testen van de effectiviteit van de training en het identificeren van gebieden die voor verbetering vatbaar zijn.
Duidelijke meldingsprocedures; medewerkers moeten weten hoe ze (vermoedelijke) social engineering-pogingen snel en eenvoudig kunnen melden. Deze rapporten moeten worden gecontroleerd door defensieve teams om pieken te identificeren die erop kunnen wijzen dat er een gerichte campagne aan de gang is.
Multi-Factor Authenticatie (MFA); het implementeren van MFA kan een extra beveiligingslaag toevoegen, zelfs als inloggegevens gecompromitteerd zijn. Bescherm tegen de registratie van MFA-apparaten die een onbevoegde derde partij zouden kunnen zijn.
Least Privilege-principe; door de toegangsrechten van gebruikers te beperken tot wat nodig is voor hun functie, kan de schade van een succesvolle aanval worden geminimaliseerd.
Regelmatige audits en beoordelingen; Voortdurende evaluatie van beleid en procedures zorgt ervoor dat de verdediging effectief blijft tegen veranderende social engineering-tactieken. De verdediging, beleid en procedures moeten worden aangepast aan de veranderingen in de IT-omgeving die nieuwe doelwitten kunnen vormen voor aanvallers, evenals aan de technieken die zij waarschijnlijk zullen gebruiken.
Conclusie
Social engineering is een enorm effectieve methode voor aanvallers. Voor een deel komt dit doordat het berust op de psychologie van beïnvloeding en manipulatie. Social engineering-aanvallen vertrouwen op het gebruik van geloofwaardigheid, autoriteit, sociale bewijskracht, tijdsdruk en de dreiging van negatieve (en soms positieve) gevolgen om aan te zetten tot wat de onlangs overleden psycholoog en Nobelprijswinnaar Daniel Kahneman ‘Systeem 1-denken’ noemt; bijna onmiddellijke besluitvorming zonder de langetermijngevolgen in overweging te nemen. Langzaam en moeizaam vragen stellen over de situatie en de mogelijke risico's en gevolgen van de actie van een gebruiker (Systeem 2 denken) is de aanpak die wordt bevorderd door bewustwordingstraining.
Het probleem van social engineering kan echter niet alleen worden aangepakt door mensen bewuster te maken, maar ook met betere processen en technologie. Regelmatige audits en beoordelingen, evenals duidelijke rapportageprocedures zijn voorbeelden van effectieve processen die zullen helpen om social engineering-aanvallen in de kiem te smoren. Ondertussen zal het implementeren van het principe van least privilege en MFA voor een extra verdedigingslaag zorgen. Het gebruik van slechts één methode ter verdediging tegen social engineering-aanvallen zal slechts fractioneel zo effectief zijn als het opbouwen van een meerlaagse verdediging. Het opbouwen van een meerlaagse verdediging zal de organisatie echter helpen zich te beveiligen tegen een reeks aanvalstypen, niet alleen tegen de steeds overtuigender wordende onbetrouwbare e-mails.
Neem contact met ons op voor meer informatie over hoe Red Team oefeningen kunnen helpen bij het identificeren van gaten in uw beveiliging.