Vianen, 11 september 2013
Sogeti presenteert de uitkomsten van de Social Engineering Challenge die tijdens een hackersconferentie eind mei jl. in Amsterdam voor de tweede keer in Europa is georganiseerd. Voorafgaande aan deze wereldwijde security conferentie riep de IT-dienstverlener hackers op in competitieverband Top 500 organisaties te ‘Social Engineeren’. Organisaties hadden zich ook spontaan aangemeld. Uit de uitgebreid geanalyseerde resultaten blijkt dat het nog altijd relatief eenvoudig is gegevens boven water te krijgen. Vleierij is de meest effectieve manier om informatie los te krijgen. Het bewustzijn onder receptiemedewerkers is gegroeid in vergelijking met de Social Engineering resultaten van 2012. Daar waar toen de receptionisten het makkelijkste doelwit waren, blijken dat nu de recruiters te zijn. Verder valt op dat de financiële dienstverleners het slechtst scoren. De meest verkregen informatie is het type software dat in een organisatie wordt gebruikt. Het doel van de Sogeti Social Engineering Challenge is organisaties bewuster maken van de kwetsbaarheden in het menselijk gedrag van hun medewerkers.
In meer dan de helft van de aangesproken organisaties kon informatie worden verkregen over de gebruikte software. Daarbij blijkt dat het geven van complimenten goed ontvangen wordt. Dit helpt om een gesprek open te breken daar waar dat in eerste instantie moeizaam verloopt. Ook het bewust maken van een vergissing of het laten vallen van stiltes blijkt effectief te zijn.
“Door wat vernuft zijn hackers in staat achterhaalde ogenschijnlijk onschuldige informatie in te zetten om bijvoorbeeld de volledige regie van het bedrijfsnetwerk over te nemen. Dit is het tweede achtereenvolgende jaar dat we ‘het beveiligen van de rol van de mens’ op de kaart zetten. Het doet ons genoegen dat organisaties zich voor het eerst spontaan aanmeldden om zich te laten ‘Social Engineeren’. Ook blijkt dat medewerkers van organisaties zich meer bewust zijn van dit fenomeen. Tegelijkertijd moeten we constateren dat Top 500 organisaties in ons land nog altijd vrij eenvoudig informatie weggeven.” Aldus Marinus Kuivenhoven, Senior Security Expert van Sogeti.
Het Sogeti Social Engineering rapport is verkrijgbaar via
https://www.sogeti.nl/updates/publicaties/uw-organisatie-veilig-lees-het-rapport.
Aanpak
De Sogeti Social Engineering Challenge is zo opgezet dat deze binnen de kaders van de wet valt. Het doel is dan ook niet organisaties lastig te vallen of in een kwaad daglicht te zetten maar juist een beeld te krijgen van de effectiviteit van Social Engineering aanvallen. En deze kennis met organisaties te delen. Nadat deelnemers zich hadden geregistreerd, kregen ze een zelf aangemelde Top 500 organisatie uit ons land toegewezen. Vervolgens werd deelnemers gevraagd bedrijfsinformatie uit publieke bronnen op te halen. Het was niet toegestaan actief contact te zoeken met desbetreffende organisaties. Deze informatie gebruiken hackers om een goede ‘pretext’ te vormen. Dat is een geloofwaardig scenario om een effectieve aanval te doen. De meest gebruikte zoekmethode voor deze ‘pretext’ was Google, met 52% gevolgd door Monsterboard en bedrijfswebsites. Social media werden opvallend weinig gebruikt. Wellicht doordat het doelwit een organisatie betreft en daarmee dus een collectief en geen individu.
Social Engineering is toegepast op 25 organisaties uit de Top 500 van ons land.
Rol van Social Engineering
Social Engineering is het manipuleren van een slachtoffer om deze vrijwillig een gecontroleerde actie te laten uitvoeren of om bij het slachtoffer (gevoelige) informatie los te krijgen.
Dit doet de Social Engineer door een rol aan te nemen en deze binnen een scenario te gebruiken waar de kans het grootst is dat het slachtoffer vertrouwt dat de actie gegrond is. Social Engineering wordt gebruikt bij aanvallen op informatiesystemen omdat de mens in een proces vaak de zwakste schakel is.
Deze manier van veiligheid doorbreken kan via elk menselijk contact, zoals bellen of een fysiek gesprek. Indirect contact met technieken zoals phishing, scamming of social media wordt ook ingezet. Net zoals andere kwetsbaarheden in informatiesystemen kan Social Engineering worden toegepast in combinatie met andere aanvalstechnieken.
Sogeti Security dienstverlening
Sogeti test systemen, applicaties en processen op veiligheid. Daarvoor heeft de IT-dienstverlener een aanpak ontwikkeld om informatiebeveiliging in organisaties te meten, verbeteren en beheersbaar te maken. In plaats van te reageren op incidenten voorziet Sogeti in het proactief nemen van passende beveiligingsmaatregelen.
Sogeti is actief bij veel grootzakelijke organisaties in Nederland met een zeer uitgebreid aantal informatiebeveiligingsexperts. Deze deskundigen beschikken over de hoogst haalbare security certificaten van ons land.
Over Sogeti Nederland B.V.
Sogeti is een vooraanstaande IT-dienstverlener actief in applicatiebeheer, management van infrastructuren en High-Tech engineering. De oplossingen van Sogeti voor mobiel werken, security, de cloud en business intelligence dragen bij aan het realiseren van de strategische doelstellingen van haar klanten in de grootzakelijke markt. Op het gebied van software testen is Sogeti marktleider zowel wereldwijd als in Nederland. Passie voor het vakmanschap zit in de genen van de 3000 Sogetisten werkzaam (dicht)bij de klant. Sogeti Nederland B.V. maakt deel uit van de wereldwijde Sogeti groep met zo’n 20.000 IT-professionals in 15 landen met meer dan 100 vestigingen in Europa, de VS en India. Meer informatie is beschikbaar op www.sogeti.nl.
Noot voor de redactie: neem voor meer informatie contact op met Jolanda Peek,
06-52327513.