artikel

Social engineering is het meest geliefde instrument van hackers

Business

Aardige, behulpzame mensen zijn levensgevaarlijk. Tenminste, als het om cybersecurity gaat. Dat is de belangrijkste boodschap van Loren Roosendaal, cybersecurity expert van Nyenrode University. ‘Bedrijven kijken steeds naar hard- en software om zich te beveiligen. Ze vergeten de mensen die daarmee werken. Wie veilig wil zijn voor hackers, moet vooral zijn mensen trainen om voorbereid te zijn op hackers die via ‘social engineering’ willen binnenkomen.’

Social engineering is het meest geliefde instrument van hackers

De wereldwijde kosten van cybercrime worden geschat op 400 miljard euro. Eén van de kostbaarste hacks ooit was die bij de Amerikaanse zorgverzekeraar Anthem, waarbij de gegevens van tachtig miljoen Amerikanen werden buitgemaakt. De schade wordt geraamd op 31 miljard dollar. Hoe de hacker daarin slaagde? Bijna iedereen denkt dan aan razendsnel code intypende nerds die de ene na de andere digitale slotgracht en muur binnendringen om in het bijna onneembare cyberslot te komen. Maar nee, het ging eenvoudiger. De hacker belde op met een smoes, vroeg het wachtwoord en kreeg dat. Niet zo vreemd, want 66 procent van de werknemers is bereid zijn wachtwoord aan een collega te geven. Het enige dat je hoeft te doen, is het wachtwoord intypen en …Binnen! ‘Onderzoek van IBM uit 2014 geeft aan dat maar vijf procent van de hacks te maken heeft met een fout in de digitale beveiliging’, zegt Roosendaal. ‘De overige 95 procent komt doordat medewerkers informatie weggeven. Maar bij het budget voor het voorkomen van cybercriminaliteit liggen de verhoudingen andersom: 95 procent gaat op aan encryptie en firewalls; de kruimels blijven over om de eigen mensen te trainen.’

‘Kill all humans’

Het is een gevleugelde uitspraak onder cybersecurity experts: de enige manier om volledige cyber security te bereiken is kill all humans. Gelukkig hoeft dat niet, want volledige veiligheid is ook helemaal niet nodig. Net als bij gewone inbraak is het voldoende als je de lat net iets hoger legt dan bij de buurman. Dat betekent dat ‘basishygiëne’ in de vorm van een bijgewerkte virusscanner en firewall meestal al voldoende is. En als je in plaats van iedereen om te brengen, je personeel gewoon een beetje traint in het omgaan met risico’s, ben je een heel eind op weg. Het meeste geliefde instrument van hackers bij gerichte cyberinbraken is social engineering: mensen zodanig bewerken met smoesjes, dat ze je helpen om binnen te komen. ‘Zo kwam ’s werelds bekendste hacker Kevin Midnik in de jaren tachtig bij meer dan de helft van de top vijftig techbedrijven in de Verenigde Staten binnen’, zegt Roosendaal. De meest gevoelige zaken die hij wist te bereiken waren de broncode van Nokia en Motorola telefoons, een systeem waarmee hij tachtig procent van alle mobiele telefoons in de Verenigde Staten zou kunnen afluisteren en het kernwapenbeheersingssysteem Norad. De FBI had anderhalf jaar nodig om hem te vinden, omdat hij de FBI ook had gehackt en dus elke stap voor kon zijn.’

Vijf minuten

Met een voorbeeld uit zijn eigen praktijk laat Roosendaal zien hoe dit zo’n beetje werkt. ‘Ik had een klant die het idee om zijn data in de cloud te hebben – dus in een biometrisch beveiligd serverpark – maar onveilig vond. Die wilde de zaak liever in zijn eigen datacenter houden.’ Roosendaal besloot na het gesprek het punt te maken dat dit niet de juiste keuze was. Er was op dat moment een rondleiding in het bedrijf bezig. Hij belde toen hij buiten stond naar de receptioniste, onder de naam van haar collega die de rondleiding coördineerde: ‘Er staat zometeen een meneer voor de deur die zijn badge is vergeten voor de tour.’ Vervolgens meldde Roosendaal zich bij de receptioniste, kon naar binnen en ging naar de ruimte die als datacenter te boek stond. De deur van die ruimte bleek gewoon open: hij kon een USB-stick rechtstreeks in de server steken om bestanden te stelen of om spionagesoftware te installeren. ‘Vervolgens belde ik de directeur’, zegt Roosendaal, ‘met de vraag of hij naar kamer K307 wilde komen. Daar zag hij mij met de USB-stick in de hand staan, slechts vijf minuten na afronding van ons gesprek.’ Het besluit om de gegevens toch maar extern op te slaan was daarna snel genomen.

Vlotte babbel

Roosendaal heeft het in zijn betoog in het geheel niet over professionele cyberspionage door ‘statelijke actoren’, een activiteit die ook zeer actueel is. Maar hij weet bijzonder goed duidelijk te maken dat iemand van kwade wil eigenlijk niet eens zoveel verstand van ICT hoeft te hebben om in cybercrime actief te zijn. Waar je ook werkt, overal zijn zaken die het stelen waard zijn. En een beetje handige jongen of meisje met een vlotte babbel hoeft eigenlijk maar vrij weinig moeite te doen om daarbij te komen.

Dit artikel is gebaseerd op de voordracht tijdens het congres Master of Safety op 9 november in Nieuwegein over industriële veiligheid, georganiseerd door Pilz. masterofsafety.nl

Reageer op dit artikel