Marcel van der Velde is social engineer en ethical hacker. In dit interview legt uit wat social engineering is en vertelt hij welke gevaren er voor het bedrijfsleven op de loer liggen.

Marcel van der Velde bekent aan het begin van het interview dat het vooral de kunst van het beïnvloeden is die hem fascineert. “Waarom krijgt de een wel iets voor elkaar en de ander niet? Maar ook: hoe houden goochelaars ons voor de gek, en welke wegen bewandelen valsspelers in casino’s?” Tegenwoordig geeft Van der Velde cursussen en lezingen over social engineering. “Met alleen computers kon ik als jonge jongen niet zoveel. Maar toen ik hoorde over social engineering viel het kwartje. Daar wilde ik meer van weten!”

Sociale interactie volgens een vooraf bedacht plan om een doel te bereiken

Van der Velde legt allereerst het begrip social engineering uit. Social is het aangaan of ondergaan van contact met anderen. Engineering is iets realiseren door gebruik te maken van een vooraf bedacht plan. Samengevoegd: sociale interactie volgens een vooraf bedacht plan om een doel te bereiken.

Eigenlijk doet iedereen aan social engineering

“Als kind paste ik het al toe. Bijvoorbeeld als ik een snoepje van mijn oma wilde. Ik wist hoe ik me dan moest gedragen. Eigenlijk doet iedereen aan social engineering. Kijk naar elke persoonlijke interactie, opvoeden, advies geven. Thuis lopen we rond in een joggingbroek. Op het werk trekken we nette kleren aan. Met klanten praten we anders dan met onze vrienden in de kroeg. We veranderen ons gedrag om iets te bereiken. Bewust of onbewust passen we allemaal wel eens social engineering toe. En daar is niets mis mee.”

De zwarte kant van social engeneering: oplichting

Maar social engineering heeft ook een zwarte kant. Van der Velde. “Het wordt bijvoorbeeld ook toegepast bij oplichting. Oplichting is iets van alle tijden en tegenwoordig goed te automatiseren. Daardoor zien we online een sterke toename van deze aanvallen. De kwantiteit is vaak belangrijker dan de kwaliteit: success by numbers. Het versturen van één e-mail kost evenveel moeite als het versturen van 10 miljoen. De social engineer heeft alleen een adressenlijst nodig. En die is gewoon online te koop. Reageert slechts 0,1 procent van de ontvangers, dan nog is de verzamelde buit altijd aantrekkelijk.

IT is voor het klassieke oplichtersvak een enorme katalysator

Neem het bekende voorbeeld van de Nigeriaanse prins met 1 miljard dollar op zijn rekening. Hij belooft in zijn e-mail 1 miljoen dollar aan degene die zijn geld veilig wegzet. Maar dan heeft hij nog wel even het burgerservicenummer of andere persoonlijke gegevens van zijn bereidwillige helper nodig. IT is voor het klassieke oplichtersvak een enorme katalysator.”

Digitale wereld maakt anonimiteit eenvoudig

De social engineer kan zich vandaag de dag goed verstoppen. In de digitale wereld is het vervalsen van bijvoorbeeld een identiteit eenvoudig. Met Gmail maak je simpel een anoniem adres. Of voor bijvoorbeeld het plaatsen van een andere naam op een koopakte kan Photoshop worden gebruikt.

Volgens Marcel van der Velde moeten we security toepassen op het gat tussen te veel en te weinig vertrouwen.

Volgens Marcel van der Velde moeten we security toepassen op het gat tussen te veel en te weinig vertrouwen.

Social engeneering met festivaltickets

Van der Velde komt met nog een aansprekend voorbeeld van oplichting. “Een social engineer post op een forum dat hij zijn toegangskaartje voor het Pinkpop festival kwijt is. Hij bevindt zich – zo schrijft hij – al in het hotel bij Landgraaf en is op zoek naar een nieuw e-ticket. Het maakt hem niet uit wat het moet kosten. Verschillende woekeraars reageren op zijn oproep. Met een aantal gaat hij de onderhandelingen aan. Verschillenden gaan akkoord met 450 euro voor een kaartje. Het geld wil hij best overmaken – schrijft hij – maar voor alle zekerheid vraagt hij vooraf wel om een legitimatiebewijs van de verkoper. ‘Je snapt dat ik niet zomaar 450 euro aan een onbekende overmaak’.

De social engineer verzamelt op deze manier diverse legitimatiebewijzen via een anoniem e-mailadres

Het resultaat? De social engineer verzamelt op deze manier diverse legitimatiebewijzen via een anoniem e-mailadres. Met deze bewijzen reageert hij vervolgens op andere aanbieders van het kaartje. ‘Ik wil graag jouw e-ticket kopen, wil je mij die mailen? Ik maak het geld over, maar het duurt waarschijnlijk even voordat het op je rekening staat. Weet je wat? Ik stuur je mijn legitimatie per e-mail. Dan weet je met wie je zaken doet.’ Samengevat, zo’n 20 personen stuurt hij elkaars legitimatie. De 20 e-tickets verkoopt hij online voor een dikke prijs. Met het laatste kaartje bezoekt hij Pinkpop en heeft een fijn weekend.”

Cybercriminaliteit dagelijkse bedreiging in het bedrijfsleven

Maar niet alleen privé kan er heel wat gebeuren. Ook het bedrijfsleven wordt bijna dagelijks geconfronteerd met cybercriminaliteit, vaak via social engineering. “Elk bedrijf heeft wel iets te verbergen”, zegt Van der Velde. “Neem Coca Cola. Krijg je het recept – de holy grail – te pakken, dan kun je goed geld verdienen. En wat als een social engineer in jouw kritieke infrastructuur weet binnen te komen? Of in het ICS/Scada-systeem, dat het bedrijf gebruikt om iets fysieks aan te sturen? Hij kan op die manier een datalek veroorzaken. Behalve dat er dan gegevens op straat liggen, loopt het bedrijf het risico op een enorme boete gezien de huidige AVG regelgeving. En met bemachtigde medewerkersgegevens kan een social engineer dieper in het bedrijf doordringen, bijvoorbeeld om een omvangrijke fraude op te zetten.”

Aan te veel vertrouwen ga je kapot, maar aan te weinig ook

Een bepaalde mate van vertrouwen is noodzakelijk

Kunnen we nog wel vertrouwen op ons vertrouwen in de mens? Voor het antwoord op deze vraag baseert Van der Velde zich op het gedachtegoed van cybersecurity goeroe Bruce Schneier. “Vertrouwen is heel vreemd. Aan te veel ga je kapot, maar aan te weinig ook. Vertrouw je te veel, dan laat je een loodgieter in huis, die – als je even niet oplet – je hele huis leeg rooft omdat hij geen loodgieter is. Aan de andere kant, niemand vertrouwen werkt ook niet. Dan kun je niet ‘zomaar’ in een taxi stappen. Want heeft de taxichauffeur wel een rijbewijs? Heeft hij niet teveel gedronken? Een bepaalde mate van vertrouwen is noodzakelijk. En het gat tussen te veel en te weinig vertrouwen? Daar moeten we security op toepassen.” Maar wat voor security dan?

Drie aandachtspunten

Registreer en communiceer verdachte situaties
Van der Velde: “Dat zou ik in drie aandachtspunten willen samenvatten. Goede social engineers zijn niet op te sporen, maar pogingen soms wel. Gebeurt er iets vreemds, registreer en communiceer het dan. Daarmee voorkom je dat de aanvaller het op een andere plek binnen het bedrijf opnieuw kan proberen.

Identificeer je assets en communiceer het belang ervan binnen je bedrijf
Ten tweede, identificeer je assets en communiceer het belang ervan binnen je bedrijf. Neem het eerdergenoemde voorbeeld van Coca Cola. Het geheime recept is zo’n asset. Daarover wordt niet gesproken. Probeert iemand dat wel, dan moet dat een alarm doen afgaan.

Wees er van bewust dat werk en privé steeds meer verweven raken
Tot slot, vergeet niet dat alles met elkaar verweven is. Je bent niet alléén functionaris, maar ook gewoon mens. Werk en privé raken vaak verweven. Sommige mensen werken in de trein en voeren een luidruchtig telefoongesprek over belangrijke contracten. Ik heb wel eens achter iemand gezeten van wie ik zijn huis had kunnen kopen op zijn naam en met zijn geld.”

Verhoog het veiligheidsbewustzijn en maak een plan van aanpak

Veiligheidsbewustzijn is een eerste stap bij de erkenning dat de zwarte kant van social engineering een aandachtspunt is. Van der Velde: “Volg een cursus, doe interne workshops, laat een deskundige aan het woord. En/of maak samen een plan van aanpak. Dan kom je al een heel eind.”

Gelukkig zijn er ook nog voldoende integere redenen om social engineering toe te passen

Social engineering is een breed begrip. “De zwarte kant ervan lijkt groot en manifest, omdat de securitywereld vooral wordt geconfronteerd met mensen die het niet goed menen. Maar gelukkig zijn er – zoals eerder uitgelegd – nog voldoende integere redenen om social engineering toe te passen. Die kant mogen we niet vergeten”, aldus Van der Velde.


Bron: https://www.securitymanagement.nl/vertrouwen-op-ons-vertrouwen-in-de-mens