Dat heeft Thomas Ryan van Provide Security in de praktijk aangetoond. Zijn bedrijf kan ingehuurd worden voor penetratietests en beveiligingsadvies. Zelf heeft hij onder andere gewerkt als consultant en trainer voor de Amerikaanse luchtmacht.

Hij is er achter gekomen dat via social engineering het erg eenvoudig kan zijn militaire ict'ers om de tuin te leiden en zo gevoelige informatie te verkrijgen. Daarvoor heeft Ryan het alter ego Robin Sage aangemaakt, een vrouw van in de 20 die zogenaamd werkt voor het Naval Network Warfare Command, meldt DarkReading. Met een paar foto's die Ryan van het internet plukte, maakte hij een LinkedIn-, Facebook-, en Twitterprofiel aan. Het LinkedIn-profiel is inmiddels verwijderd.

Hooggeplaatste militairen

Vervolgens ging hij op zoek naar mogelijke slachtoffers. Door Robin bevriend te laten worden met militaire ict'ers was het makkelijk om informatie te achterhalen, vertelt Ryan. Via Twitter werd contact gelegd met een militair die vervolgens foto's uitwisselde met daarin opgenomen informatie van de locatie waar de foto's in Afghanistan zijn genomen. Volgens Ryan waren er meer militairen die informatie over hun positie en volgende reisdoel in Afghanistan en Irak deelden met Robin.

Via de sociale netwerken kwam Robin in contact met leden van de Joints Chiefs of Staff, een groep hooggeplaatste Amerikaanse militairen die de Amerikaanse overheid adviseren. Ze legde ook contact met de cio van de NASA, een hooggeplaatst lid van de inlichtingendienst van de US Marines, een Chief of Staff van het House of Representatives en verschillende medewerkers van het Pentagon en het ministerie van Defensie.

Verstopte hints

Daarnaast werd contact gelegd met verschillende defensie-aannemers die Robin een baan aanboden, waaronder Lockheed Martin.Ook verschillende beveiligingsexperts trapten in het begin in de val, zoals de cto van WhiteHat Security en Marc Maiffret, cto van FireEye.

De foto van de vrouw die Robin moest voorstellen is volgen Ryan het resultaat van een zoekopdracht naar een 'emo chick', de vrouw zou ook poseren voor pornografsche fotoshoots. Ryan bouwde ook verschillende aanwijzingen in die erop wezen dat het om een nepaccount ging. Zo is Robin Sage de codenaam voor het laatste deel van het examen voor Amerikaanse groene baretten.

Feesten op Black Hat

Daarnaast had de vrouw op de gekozen foto een Oost-Europees uiterlijk. Dit zou erop moeten wijzen dat het mogelijk om een spion ging. Ook het cv van Robin was overdreven indrukwekkend. Zo studeerde ze aan de MIT, liep ze stage bij de National Security Agency (NSA) en zou ze op dit moment een positie hebben in het Naval Network Warfare Command. Allen vrij simpel te controleren claims. Daarnaast was het adres van Robin het huidige adres van BlackWater, een leverancier van huurlingen dat na schandalen zijn naam veranderde in Xe Services.

Als er vragen kwamen over waar iemand haar van moest kennen antwoordde Robin: "Herinner je je niet dat we samen gefeest hebben tijdens Black Hat?"Volgens Ryan was dat meestal voldoende om LinkedIn-leden over de streep te trekken.

Ryan is van plan om tijdens Black Hat 2010 eind deze maand meer uit de doeken te doen over de door hem succesvol gepleegde misleiding. Zijn toespraak is getiteld: "Getting In Bed With Robin Sage."