De Nederlandse IT-dienstverlener Sogeti heeft een wedstrijd gehouden waarin de deelnemers via social engineering gegevens boven water moesten halen bij een of meerdere bedrijven die behoren tot de top 100 van Nederland. Dertig deelnemers waren er aan de Sogeti Social Engineering Challenge. Geen enkel bedrijf uit de top 100 bleek ertegen bestand.

Iedere deelnemer aan de wedstrijd wist belangrijke informatie te achterhalen zoals het besturingssysteem dat door het bedrijf werd gebruikt. Ook was het makkelijk te achterhalen welke PDF-reader of browser werd gebruikt en de naam van het wifinetwerk. Moeilijker werd het met het achterhalen welke e-mailclient werd gebruikt, hoe het intranet heet of welke IT-ondersteuning van buitenaf was gecontracteerd.

Niemand verbaast zich

Vrijwel niemand bij de gebelde bedrijven vroeg zich af waar al die vragen voor waren bedoeld en of deze wel mochten worden beantwoord. Sterker nog, in sommige gevallen werd de hulp van de 'aanvaller' gevraagd in het opzoeken van bij voorbeeld de versie van Outlook, waarbij die natuurlijk met plezier samen met de bedrijfsmedewerker een stappenplan doorliep.

De beste tijd om medewerkers van bedrijven tot praten te verleiden is rond de lunch en midden in de week. Dan worden makkelijk belangrijke gegevens verstrekt over de telefoon aan een wildvreemde, die zich het beste kan voordoen als student of onderzoeker. Dan krijgen ze zomaar de naam van het interne Wifi-netwerk in handen, de gebruikte beveiligingssoftware, de gebruikte browser, welk bedrijf de archiefvernietiging doet of wie de cateraar van de organisatie is.

Draadloos netwerk kopiëren

Vaak staat informatie ook gewoon 'op het internet' zoals de naam van het draadloze bedrijfsnetwerk, dat via Wigle is te achterhalen. Overigens is het simpelweg langslopen bij het bedrijfspand vaak voldoende om de naam van het netwerk op te pikken.

De informatie kan worden gebruikt om op diverse manieren het bedrijfsnetwerk binnen te komen. Zo is de naam van het wifi-netwerk interessant om een alternatief netwerk op te zetten dat lijkt op het draadloze bedrijfsnetwerk. Als iemand daarmee verbindt, kan er een man-in-the-middle-aanval worden opgezet.

Informatie over de browser en het besturingssysteem geeft de aanvaller vervolgens meer kans om een gerichte aanval op die medewerker te openen via bijvoorbeeld e-mail of instant messenger. Bekendheid met de ict-dienstverlener of cateraar kan de aanvaller fysieke toegang verschaffen tot het pand.

Eerst informatie vergaren

De dertig 'hackers' kregen een willekeurig bedrijf toegewezen met de opdracht in eerste instantie een rapport op te stellen met daarin de informatie die ze uit openbare bronnen konden vinden over het betreffende bedrijf. Daar moesten dan ook telefoonnummers bij zitten die bruikbaar waren voor de volgende stap in de social engineering, het bellen met de juiste personen.

De belronde werd tijdens The Hack in the Box gedaan. De deelnemers kregen 30 minuten de tijd om de lijst van gevonden en bruikbare telefoonnummers te bellen en vooraf vastgestelde typen informatie te verkrijgen. Daarvoor kregen ze punten.

Niet bellen op vrijdag namiddag

Degenen die zich het minst goed hadden voorbereid voordat ze een bedrijf gingen bellen, bleken weinig punten te verdienen en werden vaker geconfronteerd met een onverwachte situatie. Daardoor zagen ze de geloofwaardigheid van hun verhaal afnemen. De social engineer moet zelf overtuigd zijn van zijn verhaal omdat dat afstraalt op het doel tijdens het telefoongesprek. Degenen die op vrijdag na 15 uur moesten bellen, scoorden minder punten.

Sommige telefoongesprekken duurden wat korter dan gepland simpelweg omdat de deelnemers helemaal hyper werden van alle bereidwilligheid aan de andere kant van de lijn en even op adem moesten komen.