Soms is het kinderlijk eenvoudig om bedrijven, en zelfs beveiligde afdelingen binnen bedrijven, ongeoorloofd binnen te dringen. Maar hoe gaan die indringers nu precies te werk?
Wij beschrijven hier twee methodes die we bij onze penetratietesten en bij onze Red Teaming activiteiten met veel succes inzetten. In veel situaties lukt het onze auditors om zo binnen te komen en op zoek te gaan naar informatie, kritische processen of kwetsbare personen.
Hoe we dat doen? Simpelweg door een geautoriseerd persoon te volgen of zover te krijgen dat hij of zij ons bewust binnen laat!
Om de handelingen te beschrijven van een onbevoegde persoon die, zonder toestemming, een bevoegde persoon volgt naar een gebied met beperkte autorisatie, worden ook wel de termen piggygacking en tailgaten gebruikt. In feite kunnen piggybacking en tailgaten elektronisch of fysiek zijn. De handeling kan legaal of illegaal zijn, geautoriseerd of ongeoorloofd, afhankelijk van de omstandigheden. De termen hebben echter vaker de connotatie dat het een illegale of ongeoorloofde handeling is.
In termen van beveiliging lijken piggybacking en tailgaten veel op elkaar. We kunnen piggybacking vergelijken met ‘meeliften’ en we kunnen tailgaten vergelijken met ‘bumperkleven’. In beide situaties maakt een persoon oneigenlijk gebruik van de autorisatie van een ander persoon bij het betreden van bijvoorbeeld een terrein, gebouw of beveiligde zone binnen een gebouw.
Tailgaten
Wanneer een indringer een geautoriseerde persoon illegaal op de hielen volgt, zonder dat deze het in de gaten heeft, en zo samen een barrière passeert, dan spreken we van tailgaten (“bumperkleven”). Vergelijk het met het van dichtbij volgen van een andere auto bij een slagboom van een parkeerterrein waardoor de slagboom open blijft staan en de tweede auto dus uit kan rijden zonder een betaalbewijs aan te bieden. De geautoriseerde persoon heeft dit doorgaans niet in de gaten.
Maar het kan ook zo zijn dat die persoon wel merkt dat er iets iet klopt, maar het onvoldoende tot hem of haar door dringt of dat hij of zij op dat moment de indringer niet durft tegen te houden of aan te spreken. Dit kan dan weer te maken hebben met de natuurlijke (doorgaans positieve) eigenschappen van de mens in het algemeen. Kwaadwillenden maken hier graag gebruik van. Denk aan de natuurlijke eigenschap van mensen om geen fouten te willen maken zoals het aanspreken van de verkeerde persoon, of moeten constateren dat men het verkeerd heeft gezien en daarmee geconfronteerd wordt. Dan kan men maar beter doen of ze het helemaal niet gezien hebben. Een andere eigenschap is dat mensen van nature goedgelovig en behulpzaam zijn.
Hoe vaak komt het voor dat er iemand mee loopt die wel te goeder trouw is. Die kans is dus veel groter dan dat jij nu precies de dupe wordt van een kwaadwillende die jou aan het tailgaten is.
Piggybacking
Piggybacking lijkt veel op tailgaten en feitelijk worden deze termen ook vaak door elkaar gebruikt. Op zich is dat niet zo erg maar aan de hand van een uitleg over de verschillen proberen we meer inzicht te geven in deze verschillende aanvalsvormen en kunt u zich er wellicht gerichter tegen wapenen.
Bij piggybacking wordt een geautoriseerd persoon of een toezichthouder (receptie/ beveiliging) feitelijk om de tuin geleid waardoor deze niet in de gaten heeft dat men te maken heeft met een indringer. Beter gezegd; men ziet, in tegenstelling tot tailgaten, wel wat er gebeurt maar men ziet het niet als security breach.
Piggybackers hebben verschillende methoden om beveiligers of toezichthouders te misleiden.
Denk aan:
- Het heimelijk volgen van een persoon die gemachtigd is om een locatie binnen te gaan, waardoor het lijkt alsof hij legitiem wordt geëscorteerd. Hierbij kan zo iemand hulpmiddelen gebruiken zoals bedrijfskleding of een nagemaakte bedrijfspas. Maar ook een vriendelijke groet kan al voldoende zijn om het vertrouwen te wekken bij de geautoriseerde persoon.
- Deelnemen aan een grote groep die bevoegd is om ergens naar binnen te gaan. Men doet zich voor als een lid van een groep door zich erin te vermengen. Soms wordt alleen de woordvoerder van de groep gecontroleerd en bevestigd deze dat de rest bij hem hoort.
- De piggybacker zoekt een bevoegde persoon die de regels van de betreffende organisatie negeert (bijvoorbeeld door te gaan roken bij een nooddeur en deze op een kier te laten staan), deze persoon wordt er dan bijvoorbeeld toe aangezet om te geloven dat de piggybacker ook is geautoriseerd en laat hem eenvoudigweg naar binnen gaan. Dergelijke methodes werken doorgaans erg goed bij expedities of tijdens verhuizingen en bouwwerkzaamheden. De piggybacker kan feitelijk zo op een prettige manier meeliften en wordt soms ook verder nog geholpen bij zijn actie.
Piggybacking en tailgaten zijn vormen van penetratietesten maar hebben zeker een relatie met eenvoudigere vormen van social engineering. Met een goede voorbereiding zijn dit zeer effectieve methodes die bij het Red Teamen worden ingezet.
Bekijk de 10 voordelen van Red Teaming Meer weten over social engineering?
