De Groningse studievereniging Realtime had gevraagd of ik een lezing
over social engineering zou willen geven. Altijd leuk om te doen en ook altijd
leuk om te peilen wat er onder studenten leeft, dus ja, met alle plezier! En zo
toog ik aan het einde van de middag naar het verre noorden, want de lezing zou
’s avonds plaatsvinden. Mooi dat ondanks dat tijdstip én een wiskundetentamen op
de dag erna toch een volle zaal op de lezing afkwam. Maar voordat ik van start
ging, wilde ik wel zeker weten dat niemand zich in het onderwerp had vergist en
hoopte dat het een datingavond voor techneuten zou worden. Iedereen bleef
keurig zitten.
Nu ben ik zelf geen social engineer, maar ik kan natuurlijk wel
vertellen wat die lui doen, hoe ze het doen en wat hen bezielt. Ik begin dit
soort verhalen altijd graag met een theoretische onderbouwing, we zijn per slot
van rekening onder studenten hè. Dat begint dan simpel met de Dikke Van Dale en
Wikipedia. Maar ja, de Dikke noemt social engineering een eufemisme en
Wikipedia houdt het op “computerkrakers” die computersystemen aanvallen via “de
zwakste schakel in de computerbeveiliging, namelijk de mens”. Dat staat haaks
op de mantra van onze CIO, die stug volhoudt dat de mens juist de stérkste
schakel is. Die uitspraak moet je zien in het licht van het weerbaar maken van
de mens, hem de juiste kennis en middelen geven om zich te verdedigen.
Zelf zou ik als volgt uitleggen wat een social engineer doet: hij wil
iemand iets laten zeggen of doen, zonder dat diegene in de gaten heeft dat hij
iets zegt of doet, wat hij helemaal niet mag of wil zeggen of doen. Zijn
ultieme doel is het vergaren van informatie om daar munt uit te slaan. Dat kan
ermee beginnen dat hij op slinkse wijze een kantoorpand weet binnen te dringen,
bijvoorbeeld door met een grote doos aan te komen lopen en erop te vertrouwen
dat iemand de deur voor hem openhoudt. Eenmaal binnen gaat hij op zoek naar een
werkplek die niet vergrendeld is of naar een netwerkaansluiting waar hij zijn
eigen laptop op aansluit. Vaak hoeft de social engineer echter helemaal niet
fysiek op locatie aanwezig te zijn. Hij kan zich ook bedienen van technische
foefjes, zoals phishing.
Maar eerst nog even terug naar de theorie. Hoe krijgt de social engineer
zijn beoogde slachtoffers zo ver dat ze doen wat hij wil? Daarvoor grijpen we
terug op de zes beïnvloedingsprincipes van Robert Cialdini (Tsjaldini), emeritus hoogleraar Psychology & Marketing aan de universiteiten van Arizona en
Stanford. In 1984 beschreef hij in zijn boek Influence: The psychology of persuation volgens welke principes
mensen kunnen worden beïnvloed. Voor de social engineer zijn twee daarvan het
belangrijkst: autoriteit en schaarste. Mensen zijn geneigd om iemand die
autoriteit uitstraalt te gehoorzamen. Die uitstraling kan fysiek zijn –
bijvoorbeeld door een uniform te dragen – of mentaal: ik ben jouw baas (of: ik
ben jou de baas). Het creëren van schaarste kom je wel tegen in phishing mail:
je krijgt een geweldige aanbieding en die is slechts één dag geldig, en op =
op. Zo word je ertoe verleid om niet te lang erover na te denken maar snel op
een link te klikken.
De studenten waren mij te slim af toen ik een trucje van Ian Mann wilde
toepassen. In zijn boek Hacking the human
vertelt hij dat de mens gemakkelijk instructies opvolgt. Om dat te demonstreren
liep hij tijdens een lezing de zaal in en verzon dat er in de aankondiging iets
zou hebben gestaan over hypnotiseren. Hij stelde zijn gehoor gerust: “Ik ga u
niet hypnotiseren hoor, maar wilt u wel even allemaal opstaan?” Toen iedereen
stond, liep hij terug naar het podium en zei triomfantelijk: “Zie je wel hoe
gemakkelijk de mens instructies opvolgt?” Toen ik dit in mijn eigen lezing
vertelde, zei ik vóór die laatste zin: “Gaan jullie trouwens ook maar even
staan.” Iedereen bleef zitten. Ze hadden me door.
Mann zegt ook dat uitzicht op een beloning goedgelovig maakt. Daarop is
de 419-scam gestoeld, waarbij een Afrikaanse prins je een ruime beloning in het
vooruitzicht stelt als je hem helpt om een paar miljoen van een geblokkeerde
bankrekening vrij te maken of iets dergelijks (er zijn ook varianten met goud
en erfenissen). Natuurlijk vraag je je af hoe dit kan en waarom die prins
uitgerekend bij jou uitkomt. Maar door die beloofde beloning zijn er altijd
weer mensen (ook nu nog) die erin tuinen. Want als je hieraan meedoet, dan
krijg je op een gegeven moment het verzoek om een bepaald bedrag over te maken
dat nodig is om dat geld vrij te maken. Uiteraard zie je dat geld nooit meer
terug, laat staan die vette beloning. 419 is trouwens het fraude-artikel in het
Nigeriaanse Wetboek van Strafrecht.
Dit was nog maar de theorie, terwijl deze blog al bovengemiddeld lang is
geworden. Weet je wat? Ik knip hem gewoon in tweeën. Volgende week dus het
vervolg. Dan kijken we naar de praktijk, en hoe je jezelf kunt beschermen tegen
de technische trukendoos van social engineers.
En in de grote boze buitenwereld …
... schrijven natuurlijk ook anderen over social engineering.
... heeft de politie verdachten van CEO-fraude aangehouden. Onder andere
in Groningen...
... verloren Google en Facebook een flink bedrag aan een crimineel die
zich voordeed als hardware-leverancier.
... raken Amerikaanse studenten via phishing hun studiefinanciering
kwijt.
... had Facebook wachtwoorden onversleuteld opgeslagen. Maar er is niets
aan de hand, zeggen ze. En ook: het betreft “some passwords”, maar ze gaan wel
honderden miljoenen gebruikers hierover inlichten.
... is onafhankelijke berichtgeving in dit soort gevallen altijd handig.
... zijn bij Myspace alle bestanden verloren gegaan die gebruikers er
tussen 2003 en 2015 op hebben gezet. Door een fout tijdens een servermigratie.
... bevat Google Play veel onveilige virusscanners.
... zijn er nog wel meer Android-apps die niet deugen.
... bouwt DARPA aan een veilig systeem om te stemmen. Open source, en
daardoor straks voor iedereen gratis te gebruiken.
... vallen zakelijke appjes op het privétoestel van ambtenaren onder de
Wob.
... komen niet alle helpdesk-scammers uit India.
Geen opmerkingen:
Een reactie posten