Social engineering & identiteitsfraude

Onze auditors zijn experts in het misleiden van mensen om zo informatie los te krijgen of mensen een bepaalde ongewenste handeling te laten uitvoeren. Doen we door het vertellen van een goed verhaal en/of het namaken van iemands identiteit. Dit noemen we respectievelijk social engineering en identiteitsfraude. Dit kan zowel fysiek als digitaal plaatsvinden, de digitale manier staat hier beschreven.

Social engineering

Social engineering is het psychologisch misbruiken van bepaalde eigenschappen van de mens om zo een kwaadwillende actie in te zetten. Deze techniek zetten wij, als red-teamexperts, in omdat de mens vaak de zwakste schakel is in uw beveiliging. Dat de mens vaak de zwakste schakel is, komt doordat we als mens geneigd zijn om het goede te doen en behulpzaam te zijn. Daarbij is de mens van nature risicomijdend en willen we als mens voorkomen dat we fouten maken. Van al deze eigenschappen maken onze auditors maar al te graag misbruik. Dit doen zij onder andere door bepaalde situaties te framen zodat de medewerker gaat geloven in het verhaal van de auditor. Tevens zijn de pretexten van de auditors gebaseerd op de 7-principes van Cialdini, hierdoor wordt de medewerker onbewust gestimuleerd tot het uitvoeren van een bepaalde handeling. Vaak wordt social engineering gekoppeld aan het verkrijgen van informatie via de ‘digitale weg’ (zie cyber pentest). Echter, onze auditors zijn daarbij ook experts in ‘fysieke social engineering’ en kunnen medewerkers met een glimlach en een goed verhaal toe zetten tot het uitvoeren van bepaalde ongewenste handelingen. In de laatste jaren is er veel aandacht voor de digitale vorm van social engineering maar blijft de fysieke weg soms achter, terwijl een kwaadwillende net zo goed voor deze vorm kan kiezen.

 

Hoe ziet dat er in de praktijk uit?

Onze auditors weten precies hoe ze medewerkers kunnen aanzetten tot een bepaalde ongewenste handeling. Zo spelen zij in op bepaalde zwakheden van het menselijk gedrag. Een hele simpele klassieker ondertussen is bijvoorbeeld het achterlaten van een USB-stick (met malware) waarmee de nieuwsgierigheid van een medewerker wordt getriggerd. Iets wat verder gaat op het manipuleren van menselijk gedrag is het inspelen op de goede eigenschappen van de mens, bijvoorbeeld dat men van nature behulpzaam wil zijn. Zo zijn we geneigd om de deur open te houden voor de persoon achter ons, helemaal als diegene achter ons een vriendelijke, open of juist autoritaire uitstraling heeft, daar maakt de kwaadwillende maar al te graag gebruik van. Dit zijn de wat simpelere vormen van social engineering. Onze auditors weten daarnaast ook medewerkers dusdanig te manipuleren dat zij zelfs meer vergaande en ongewenste handelingen uitvoeren. Door bijvoorbeeld met een goed verhaal in een extra beveiligde ruimte te komen of bepaalde vertrouwelijke informatie te delen. Dit kan dan ook in combinatie met Identiteitsfraude plaatsvinden. Lees hieronder meer over identiteitsfraude.

Identiteitsfraude

Bij Redteam Experts zijn we gespecialiseerd in het stelen, namaken van iemands identiteit en het creëren van een nieuwe identiteit met als doel om ongeautoriseerd toegang te krijgen tot (vertrouwelijke) informatie of een beveiligde zone binnen een organisatie. Het misbruik maken van valse of gestolen identiteitsgegevens heet identiteitsfraude en is een veelvoorkomende criminele werkwijze om bijvoorbeeld spullen op iemands naam te bestellen zonder als crimineel te hoeven te betalen. Bij Redteam experts maken we gebruik van grofweg twee hoofdcategorieën om ongeautoriseerd toegang te krijgen tot informatie of bepaalde beveiligde zones: vervalsing en vermomming.

Vervalsing

We zijn in staat om vrijwel alle vormen van identiteitskaarten (bestaand en niet bestaand) en bedrijfspassen na te maken. Hiermee kunnen we onszelf voordoen als iemand anders (look a like fraude) en kunnen we daarmee toegang krijgen tot bepaalde zones van een gebouw of tot bepaalde informatie. Tevens zijn er bedrijfspassen welke minder goed beveiligd zijn waardoor we in staat zijn om deze clonen en daarmee de toegang te krijgen tot beveiligde gebieden. Onze werkwijze limiteert zich niet tot enkel het namaken/clonen van passen. Zo maken we ook facturen na waardoor we bepaalde informatie kunnen opvragen of een bepaalde actie in werking kunnen zetten welke een negatief effect kan hebben op uw bedrijfsvoering (in simulatie, zie onze werkwijze). Dit geldt ook voor het namaken van bepaalde verklaringen welke een medewerker onder druk kunnen zetten tot het uitvoeren van een bepaalde ongewenste handeling. Bij Redteam experts is ons niets te hoog gegrepen en kunnen we hier, binnen we afgesproken kaders, heel ver in gaan. Denk bijvoorbeeld aan sollicitatie middels een fake CV om zo bij de Te Beschermen Belangen te kunnen komen. Deze werkwijze is niet onbekend voor kwaadwillende personen en wordt veelal door statelijke actoren ingezet om informatie te stelen van binnen de organisatie. Tevens is dit een onderwerp wat speelt bij de ondermijnende criminaliteit. Kortom, is uw organisatie wel bestand tegen kwaadwillende welke middels vervalsing een ongewenste handeling willen inzetten?

Vermomming

Zoals beschreven kunnen we vrijwel alle vormen van identiteitskaarten en bedrijfspassen namaken. Dit in combinatie met de expertise in social engineering maakt dat we met een goed verhaal vrijwel overal binnen kunnen komen. Een veelgebruikte werkwijze is het voordoen als medewerker van een onderhoudspartij om zo ongeautoriseerd tot een bepaalde zone te komen. Immers onderhoudspartijen dienen altijd toegang te krijgen tot bepaalde ruimtes voor diens werkzaamheden. Onze auditor met een op echt lijkend identificatie van een onderhoudsorganisatie, passende kleren en een goed onderbouw verhaal kan een medewerker overtuigen om de auditor toe te laten tot bijvoorbeeld het beveiligd gebied van een organisatie. We hebben door de jaren heen bij Redteam Experts een zeer groot arsenaal opgebouwd en hebben vrijwel alle middelen en expertise tot onze beschikking om ‘iemands identiteit te stelen’ en daarmee bij de Te Beschermen Belangen te komen.