Social Engineering

woensdag 12 mei 2010 12:02

Acties:

0 Henk 'm!

Team Manager NAB Racing

Topicstarter

Hoi tweakers,

Social engineering is 1 van de technieken die hackers/crackers tegenwoordig gebruiken om tot een bepaald doel te komen. Zo kunnen ze informatie van iemand lospeuteren en daarmee een organisatie binenndringrn. Mij fascineren de verhalen hoe dit gebeurt aangezien ik zelfi n de ICT beveiliging een opleiding volg en nu ook een stukje ga schrijven voor onze klanten over social engineering. je kunt sdit het beste tegen gaan door ervaringen te delen. Op die manier is iemand alerter als die voor een situatie komt te staan waarbij hij/zij het doelwit is van een social engineer.

Hebben jullie misschien ervaring/verhalen over social engineering ? Ik lees ze graag, en andere tweakers ook denk ik.

Ik zelf heb in het boek van kevin mitnick (Art of deception) gelezen hoe iemand een telefoonlijn omdraaide zodat alle politie agenten naar hem belden ipv naar de politie centrale. Hij kreeg zo de ID nummers van hun en zei dan dat het systeem niet werkte. later gooide hij de lijn weer op normaal en belde hij de politiecentrale. Als de cetnrale vroeg om authenticatie door middel van ID nummer, gaf hij het nummer van 1 die hij had gekregen toen de agenten hem belden en dachten dat hij in de centrale zat. Zo kon hij strafzaken en documenten inzien van de politie en zichzelf inzekeren.

All-Round nerd | iRacing Profiel

donderdag 13 mei 2010 11:43

Acties:

0 Henk 'm!

WAY

The art of deception is echt een leuk boek op dat gebied. Wel op dit moment een beetje achterhaald, maar de principes die hij toepast zijn nog steeds toepasbaar

Google scholar heeft een aantal artikelen over het onderwerp waar je misschien interesse in hebt:

http://scholar.google.com...um=1&ie=UTF-8&sa=N&tab=ps

donderdag 13 mei 2010 12:02

Acties:

0 Henk 'm!

Woksie

Gone

Faceman!

Hij gebruikt ook Social Engineering in the A-Team om allerlei spullen te regelen. Wel in het klein, maar zeer effectief.

Wat betreft Art Of Deception, haal dat een beetje maar weg. Veel van die dingen worden nu standaard gecontroleerd of zijn nu zo uitgevoerd dat bij het doorgeven van onjuiste informatie (centrale imiteren) er een bepaald protocol gevolgd moet worden waardoor je er alleen iets aan hebt als je dat noodprotocol weet.

Wil niet zeggen dat het niet meer mogelijk is, integendeel. In veel bedrijven worden stukken informatie doorgegeven zonder verdere verificatie. Voorbeeld van een hulpmiddel is de agenda van Google die door veel bedrijven wordt gebruikt. Je kan er zo achter komen wie er gaat solliciteren en soms staat zelfs hun telefoonnummer erbij.

Het is leuk om erachter te komen hoe bepaalde instanties werken en hoe je zonder de juiste rechten maar met genoeg zelfvertrouwen informatie kan onderscheppen of zelfs veranderen, ik raad het alleen af om te doen

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

vrijdag 14 mei 2010 22:34

Acties:

0 Henk 'm!

j0rDy

genoeg informatie over te vinden! begin eens met de boeken van kevin mitnick. hier staan wat leuke verhalen in over social engineering. daarbij heb je nog wat websites waar info te vinden is als:
http://socialengineering.com/
http://www.net-security.org/article.php?id=1342
http://www.social-engineer.org/

bedenk dat dit een hele moeilijke tak van hacken is. maar naar mijn mening ook een van de leukste!

zondag 16 mei 2010 01:00

Acties:

0 Henk 'm!

w4rguy

Team Manager NAB Racing

Topicstarter

nou het gaat me meer om de tweakers, of zij ooit ergens de dupe van zijn geworden of een social engineer door hebben gehad... om op die manier ervaringen te delen.

Om zo te bewijzen dat het niet echt de "ver-van-me-bed-show" is.

All-Round nerd | iRacing Profiel

zondag 16 mei 2010 01:10

Acties:

0 Henk 'm!

Teckna

Vooral als puber gedaan. o.a. door pincodes van videotheek pasjes te kunnen veranderen maar ook gratis dingen gekregen of noem het maar op. als je maar een beetje de procedures kent gaat het makkelijk.

Social engineering is eigenlijk helemaal niet moeilijk als je maar gewoon wat zelfvertrouwen hebt en analytische vermogen. het sleutelpunt blijft manipulatie en de mens is maar al te makkelijk te manipuleren.
(de mens is altijd de zwakste schakel in een beveiliging)

The art of deception is wel een goed boek om mee te beginnen. je leest meer wat ervaringen dan dat je daadwerkelijk leert te social engineren tho.

zondag 16 mei 2010 01:18

Acties:

0 Henk 'm!

Verwijderd

Hmmm, overlaatst een presentatie gezien van een werknemer op mijn stage (Dimension Data). Hij werkt namelijk bij de afdeling security en penetration testing.

Daarin zei hij hoe hij voorbeeld naar een sollicatiegesprek ging, en na het sollicitatiegesprek gewoon zei tegen die kerel: Ik laat mezelf wel uit, waarna hij gewoon rondliep met zijn laptop door de gang op zoek naar een ethernetpoort. En vanaf daaruit zoveel mogelijk informatie te weten zien te komen over het netwerk (IP's, routers, firewalls, switches, ...)

Ook een voorbeeld dat hij gaf en geprobeerd had: Naam te weten komen van de CEO, daarna bellen naar de IT dienst en als woedend klagen dat je het beu bent dat je nooit kan inloggen met da verdomde wachtwoord omdat je het altijd vergeet en eisen dat ze het resetten naar een wachtwoord naar keuze. Ongeloofelijk hoeveel mensen toch bang zijn van hun baas...

[ Voor 7% gewijzigd door Verwijderd op 16-05-2010 01:19 ]

zondag 16 mei 2010 13:46

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Verwijderd schreef op zondag 16 mei 2010 @ 01:18:
Ook een voorbeeld dat hij gaf en geprobeerd had: Naam te weten komen van de CEO, daarna bellen naar de IT dienst en als woedend klagen dat je het beu bent dat je nooit kan inloggen met da verdomde wachtwoord omdat je het altijd vergeet en eisen dat ze het resetten naar een wachtwoord naar keuze. Ongeloofelijk hoeveel mensen toch bang zijn van hun baas...

Vaak is een simpele aanpak de makkelijkste en het effectiefst. Het voorbeeld wat jij schetst hoeft niet eens zo veel te maken te hebben met bang zijn voor de baas maar meer met hoe iets gebracht is. Simpelweg bellen met een bestaande naam en bijbehorende afdeling is bij veel bedrijven al genoeg om een wachtwoord te laten resetten.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zondag 16 mei 2010 13:54

Acties:

0 Henk 'm!

peak

Bor de Wollef schreef op zondag 16 mei 2010 @ 13:46:
[...]

Vaak is een simpele aanpak de makkelijkste en het effectiefst. Het voorbeeld wat jij schetst hoeft niet eens zo veel te maken te hebben met bang zijn voor de baas maar meer met hoe iets gebracht is. Simpelweg bellen met een bestaande naam en bijbehorende afdeling is bij veel bedrijven al genoeg om een wachtwoord te laten resetten.

Yep, heb dit ook vaak genoeg gezien.
Ik heb meerdere malen een soort van ID check door gepushed. Maakt niet uit waaruit die ID check bestaat. Het kan uit een zin of cijfers bestaan die de werknemer moet onthouden om zijn of haar password te laten resetten. Vergeet diegene het, kom dan maar langs de IT afdeling.

Ik moet toegeven dat dit bij kleinere bedrijven niet werkt, want je gaat uiteindelijk op basis van stemherkenning werken. ( stemherkenning in je eigen hoofd, niet d.m.v. software

)

zondag 16 mei 2010 14:08

Acties:

0 Henk 'm!

Verwijderd

Verwijderd schreef op zondag 16 mei 2010 @ 01:18:
Daarin zei hij hoe hij voorbeeld naar een sollicitatiegesprek ging, en na het sollicitatiegesprek gewoon zei tegen die kerel: Ik laat mezelf wel uit.

Getest en dat werkt goed. Alleen gebruikte ik als cover geen sollicitatiegesprek maar een schoolproject om de IT-manager te interviewen voor verdere baan keuze. Uiteindelijk stond ik naast het serverpark van een ziekenhuis. Overigens niks gehackt alleen rondgekeken en verbaast gestaan.

Als je dan in wil breken is het eigenlijk heel simpel. Krijg een paar van die goedkope 512mb usb stickes en zet een phonehome trojan in de autoload. Als je fysiek binnen bent en je laat zo'n usbstick achter op het bureau met eventueel een briefje er bij met enkel 'presentatie kijk even of het klopt' optioneel de naam van de werknemer van de maand op die afdeling en je bent binnen. Bij niet IT afdelingen is het nog makkelijker dan zet je er personeelsfeestje2008 foto's op en niemand kan zijn nieuwsgierigheid bedwingen.

Of wat denk je van s'ochtends gewoon die usb stick uitdelen ook allemaal een vorm van social enginering.

maandag 17 mei 2010 10:33

Acties:

0 Henk 'm!

w4rguy

Team Manager NAB Racing

Topicstarter

wat ik ook had gelezen ooit, is dat iemand gewoon random usb-sticks met een trojan had neergelegd op de grond waar werknemers van een IT-bedrijf rookten. bijna alle usb-sticks waren meegenomen. en ook bijna alles wat mee was genomen, was geactiveerd op een systeem binenn het bedrijf! Kosten ? 35 euro. Winsten? teveel!

All-Round nerd | iRacing Profiel

maandag 17 mei 2010 10:37

Acties:

0 Henk 'm!

RemcoDelft

Bor de Wollef schreef op zondag 16 mei 2010 @ 13:46:
[...]

Vaak is een simpele aanpak de makkelijkste en het effectiefst. Het voorbeeld wat jij schetst hoeft niet eens zo veel te maken te hebben met bang zijn voor de baas maar meer met hoe iets gebracht is. Simpelweg bellen met een bestaande naam en bijbehorende afdeling is bij veel bedrijven al genoeg om een wachtwoord te laten resetten.

Of wellicht een mailtje met de gewenste afzender... Maar ja, als je als bedrijf dergelijke dingen driedubbel wilt controleren, wordt het voor het personeel ook niet leuker/makkelijker. Zeker omdat 99,999% van alle password-reset-verzoekjes inderdaad gewoon iemand is die z'n password is vergeten...

maandag 17 mei 2010 10:46

Acties:

0 Henk 'm!

ralpje

Deugpopje

Ook een leuke video om even te kijken:

http://video.google.com/v...2160824376898701015&hl=en

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

maandag 24 mei 2010 14:25

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

RemcoDelft schreef op maandag 17 mei 2010 @ 10:37:
[...]

Zeker omdat 99,999% van alle password-reset-verzoekjes inderdaad gewoon iemand is die z'n password is vergeten...

Dat hangt denk ik ook van de branche af waar je kijkt. Ik ken gevallen waarbij collega's van elkaar bij een klant (in elkaars afwezigheid) elkaar's wachtwoord lieten resetten en zelfs waarbij klanten van bedrijven de servicedesk opbelden om een wachtwoord van een medewerker te laten resetten. In kleine omgevingen (ons kent ons) is dat risico mogelijk veel lager.

[ Voor 4% gewijzigd door Bor op 24-05-2010 17:25 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 25 mei 2010 10:12

Acties:

0 Henk 'm!

w4rguy

Team Manager NAB Racing

Topicstarter

Het is, naar mijn mening, per bedrijf ook verschillend hoe ver zij gaan in de bescherming tegen social negineering. hetzelfde als dat een klein bedrijf geen virus scan licentie van 50.000 euro gaat kopen terwijl een bedrijf als Getronics dat wel zou (moeten)doen. stukje afweging van behoefte naar beveiliging.

All-Round nerd | iRacing Profiel

Onderwerpen