Top 100 organisaties geven met gemak informatie weg

Sogeti presenteert de uitkomsten van de Social Engineering Challenge die tijdens het Hack-in-the-Box evenement eind mei jl. in Amsterdam voor het eerst in Europa is georganiseerd. Voorafgaand aan deze wereldwijde securityconferentie riep de ICT-dienstverlener hackers op om in competitieverband willekeurige organisaties uit de Nederlandse Top 100 te ‘Social Engineeren’. Uit de nu uitgebreid geanalyseerde resultaten blijkt dat het mogelijk is bij elke Top 100 organisatie relatief eenvoudig gegevens boven water te krijgen. Een aanval midden in de week na lunchtijd blijkt bovendien het meest effectief te zijn. Het doel van de Sogeti Social Engineering Challenge is Nederlandse organisaties bewuster te maken van de kwetsbaarheden ten gevolge van het menselijke gedrag van hun medewerkers.

De verkregen informatie bestaat onder andere uit welk type software wordt gebruikt, of IT wordt IT en zo ja, aan welk bedrijf, welke browsers worden gebruikt, wat is de naam van het draadloos netwerk, welk bedrijf de archiefvernietiging doet en wie de cateraar van de organisatie is.

“Dit lijkt onschuldige informatie maar door wat vernuft zijn hackers in staat achterhaalde informatie in te zetten om bijvoorbeeld de volledige regie van het bedrijfsnetwerk over te nemen. Organisaties zijn zich bewust van de noodzaak hun informatietechnologie goed te beveiligen. Echter, ‘het beveiligen van de rol van de mens’ krijgt nu nog onvoldoende aandacht. Social Engineering helpt organisaties om inzicht te krijgen in zwakheden van processen en medewerkers bewuster te maken van hun verantwoordelijkheden.” aldus Marinus Kuivenhoven, Senior Security Expert van Sogeti.

Aanpak
Om de Challenge niet te beïnvloeden zijn organisaties vooraf niet ingelicht. De wedstrijd is zo opgezet dat deze binnen de kaders van de wet valt. Het doel is dan ook niet organisaties lastig te vallen of in een kwaad daglicht te zetten maar juist een beeld te krijgen van de effectiviteit van Social Engineering aanvallen, en deze kennis te delen. Nadat deelnemers zich hadden geregistreerd, kregen ze een door Sogeti willekeurig geselecteerd Nederlands top 100 bedrijf toegewezen. Vervolgens werd deelnemers gevraagd bedrijfsinformatie uit publieke bronnen op te halen, waarbij het in deze fase niet was toegestaan om actief contact te zoeken met de desbetreffende organisaties.

Deze informatie gebruiken hackers om een goede ‘pretext’ te vormen. Dat is een geloofwaardig scenario om een effectieve aanval te doen. De meest gebruikte zoekmethode voor deze ‘pretext’ was Google met 52%, gevolgd door Monsterboard en bedrijfswebsites. Social media werden opvallend weinig gebruikt. Wellicht doordat het doelwit een organisatie betreft en daarmee dus een collectief en geen individu.

Bellers die zich voordoen als student of onderzoeker, blijken blijken zeer succesvol te zijn in het verkrijgen van relevante informatie. Of anders gezegd, medewerkers van Top 100 organisaties zijn boven verwachting zeer behulpzaam voor hackers.

Een opvallend resultaat is ook dat veel informatie kan worden achterhaald uit media die organisaties zelf publiceren. Bijvoorbeeld via vacatureteksten wordt achterhaald welke software wordt gebruikt.

30 hackers hadden zich aangemeld voor deelname aan de Social Engineering Challenge.