Toon posts:

Simpele Social Enginering 'hack' tbv presentatie

Pagina: 1
Acties:

donderdag 21 november 2024 17:46

Acties:
  • 0 Henk 'm!
  • MrE
  • Registratie: Mei 2000
  • Laatst online: 06-09 20:52

MrE

Sugardaddy take me home..

Topicstarter
Voor een presentatie over digitale veiligheid en 'gevaar' waar medewerkers onbewust mee te maken krijgen wil ik weten of er iets eenvoudigs is dat ik kan laten zien op het gebied van social engineering.

Normaal geef ik altijd een voorbeeld van 'een aardigheidje van de zaak dat met de post thuisbezorgd wordt'
In het doosje, met opdruk van het bedrijf zit een briefje van het bedrijf hoe blij ze met je zijn en onder andere ook een USB stick en wat andere goedkope prullaria.
Maar als ik dan vraag wie de USB stick zou gebruiken voelt iedereen de bui al hangen en geeft iedereen aan dat niet te doen.

Voor de komende presentatie zoek ik daarom naar een voorbeeld dat makkelijk in de praktijk kan brengen niets kost (of in ieder geval niet meer dan €50)
Iets waarmee ik 'slachtoffers' kan maken zonder dat ze dit al van verre aan zien komen en waarmee ik ook geen serieuze veiligheidsovertredingen of gênante onthullingen veroorzaak.

Het gaat om een presentatie bij een directie van een organisatie die 20K+ medewerkers heeft verdeeld over filialen in heel Nederland.

the -<::::::::::D is mightier than the <:::::::::[=@

donderdag 21 november 2024 17:53

Acties:
  • +1 Henk 'm!
  • EvH
  • Registratie: Juli 2014
  • Laatst online: 08:16

EvH

Stuur ze een bedank kaartje. Bedankt voor je inzet van dit jaar, verzilver je kerstcadeau met unieke code XXX op website YYY twv € 100,-

Je val zet je dan op de website.
Alternatief: lever je kaartje in bij persoon X voor datum Y en ontvang je persoonlijke geschenk.

Genoeg mensen die erin trappen op een website of aankomen zetten met het kaartje.

vrijdag 22 november 2024 08:15

Acties:
  • +1 Henk 'm!
  • BytePhantomX
  • Registratie: Juli 2010
  • Laatst online: 22-09 18:34

BytePhantomX

Geen idee wat voor werk je doet en hoe je opdracht in elkaar zit, maar als ik dit lees moet ik aan deze video denken: YouTube: S3E1 CyberFUD - Waarom onrealistische risico's schadelijk zijn

Live tijdens de presentatie wifi netwerken afvangen en met wiggle.net opzoeken waar mensen zijn geweest of wonen. Zoiets denk ik: YouTube: From WiFi SSID to your home address! wigle.net

vrijdag 22 november 2024 14:20

Acties:
  • 0 Henk 'm!
  • jeroen3
  • Registratie: Mei 2010
  • Laatst online: 07:39

jeroen3

Meld je hier aan voor de presentatie “weerbaarheid tegen social engineering”

[ qr code naar rick astley ]

?

vrijdag 22 november 2024 14:35

Acties:
  • 0 Henk 'm!
  • KatirZan
  • Registratie: September 2001
  • Laatst online: 18-09 12:53

KatirZan

Wandelende orgaanzak

We kunnen denk ik allemaal wel iets verzinnen wat middels social engineering zorgt voor het achterhalen van gegevens.

In de praktijk zal het meer technisch gericht gaan rond het aspect; Goedemiddag, u spreekt met "blabla" van uw telecommaatschappij "blibber". Tijdens een onderzoek is naar voren gekomen dat uw toestel niet naar behoren werkt en deze willen wij vrijblijvend voor u vervangen, u krijgt van ons een retourdoos blablabala (je begrijpt het idee).

Ondertussen "weten" de mensen wel dat ze niet zomaar een at-random ontvangen product moeten gebruiken, zeker niet bij gebruik van laptops/tablets/telefoons.
Ook "weten" we ondertussen wel dat gebruikersnamen en wachtwoorden telefonisch ook niet doorgegeven moeten worden en dat alle aan privé gelieerde zaken of zakelijke interne onderdelen besproken mogen/moeten worden met willekeurige "vreemden" aan de telefoon of per email.

Spoofen is daarentegen vaak nog wel een probleem, vooral bij de wat kleinere bedrijven die dit nog niet afgevangen hebben.
Een mail verzenden vanaf een intern bekend mailadres, doen alsof het verzonden is door een collega en deze laten klikken op de link naar een interne memo / interne website etc..etc...

Voordeel van dergelijke mails is dat ze en-masse worden verstuurd en daarmee vaak een sloot aan interne adressen bevat en daarmee betrouwbaar over kunnen komen.

Wij kregen voorheen zelfs gewoon maar facturen opgestuurd door "bedrijven" met het verzoek deze te betalen binnen een bepaald termijn omdat anders service "bla" zou aflopen.
Crime bij deze is zelfs dat ze het je lastig kunnen maken als je hier niet op reageert, wettelijk gezien zou je bezwaar moeten maken om van de betaalverplichting af te komen.

Wabbawabbawabbawabba

vrijdag 22 november 2024 14:40

Acties:
  • +1 Henk 'm!
  • sOid
  • Registratie: Maart 2004
  • Niet online

sOid

Misschien niet helemaal waar je naar op zoek bent, maar ik laat dit filmpje wel eens zien. Werkt eigenlijk altijd wel goed om bewustwording te creëren.



Nog een andere optie is om een mystery guest (/fysieke pentester) met een verborgen camera op te laten nemen hoe makkelijk het is om zich fysiek toegang te verschaffen tot een kantoor/filiaal. Daar komt vaak ook een stukje social engineering bij kijken (bijvoorbeeld tailgaten of door een ladder mee te nemen en een hesje van een voor het bedrijf bekende leverancier aan te trekken).

[ Voor 40% gewijzigd door sOid op 22-11-2024 14:41 ]

vrijdag 22 november 2024 14:41

Acties:
  • 0 Henk 'm!
  • The Eagle
  • Registratie: Januari 2002
  • Laatst online: 01:15

The Eagle

I wear my sunglasses at night

Simpele enquete in MSFT forms, afzender de stagiare. Lulverhaal erbij dat je mensen wat beter wilt leren kennen en wat meer van ze wilt weten. Vragen naar triviale dingen (namen kinderen, huisdieren, emailadres, etc). EN dan bewust die form niet beveiligd zetten.

Vervolgens laten zien: en iedereen kan alles zien van elkaar. Bovendien heb je ze naar de dinge gevraagd die vaak als herstelvragen of bij password hackes gebruikt worden. EN dat staat dan ook nog open en bloot ergens op het internet.

EN vervolgens laat je ze dus idd zien hoe een hacker te werk gaat om een ww te kraken enzo. Goudmijntje bij de hand ;)

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

vrijdag 22 november 2024 15:00

Acties:
  • 0 Henk 'm!
  • kwibox
  • Registratie: Oktober 2022
  • Laatst online: 22-09 18:45

kwibox

Als jij de presentatie maakt/voorlichting gaat geven maar zelf niet voldoende manieren of voorbeelden kent van phishing of social engineering, ben je dan wel de juiste persoon om een effectief praatje te kunnen geven?

Bedoel met 20k+ medewerkers zal er vast wel wat voorgevallen zijn. Lijkt mij veel effectiever daar zaken uit te halen dan zelf bedachte duidelijk fictieve voorbeelden waarvan men ze eerder zal herkennen als foute boel (en er dus niet intrapt). Succesvolle pogingen zijn immer niet evident als zodanig herkend, dan zouden ze niet succesvol zijn geweest ;)

[ Voor 46% gewijzigd door kwibox op 22-11-2024 15:13 ]

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq