11 nov
Als ThreadStone helpen wij organisaties hun digitale weerbaarheid te vergroten. Een van de manieren waarop we dat doen is door in de praktijk te testen. Eigenlijk is er niets mooier dan dat. Omdat wij onze opdrachtgevers zo duidelijk kunnen laten zien wat er nog te verbeteren valt. En vaak is het een goede test voor alle betrokkenen.
Criminelen kunnen ongemerkt en anoniem op afstand proberen in te breken. Het komt steeds vaker voor. De afgelopen tijd is er dan ook veel aandacht voor inbraken via de digitale snelweg. Maar ook de ‘ouderwetse’ fysieke variant moeten we niet vergeten.
Met Social engineering/mystery guest (een van onze diensten) sturen wij een professional op pad om te kijken of hij of zij bij een vestiging of kantoor van de opdrachtgever kan binnenkomen. Wat de echte kwade jongens in zo’n situatie doen, varieert van ergens in het netwerk een keylogger plaatsen (een apparaatje dat toetsenbordaanslagen registreert) en het binnendringen van het netwerk via een van de pc’s, tot het stelen van inlogcodes of andere gevoelige informatie.
In de praktijk komen we bij zo’n social engineering-test soms bijzondere dingen tegen. Zo kon een van onze ‘mystery guests’ zonder pasje doorlopen bij een tourniquet waar de beveiligers nota bene naast stonden. Nog een paar praktijkvoorbeelden: ‘gewoon’ even gaan zitten werken in de kamer van de directeur, omdat er ‘iets nagekeken moet worden’. Een dossierkast die openstaat. Systemen die niet door gebruikers ‘gelocked’ zijn. Post-it geeltjes die op monitoren zijn geplakt met gevoelige gegevens. Printers die nog vol liggen met gevoelige informatie. Whiteboards met wachtwoorden. En zelfs een pc met admin-rechten, die niet door de gebruiker was vergrendeld , waarmee het plaatsen van een ransomware in feite kinderspel zou zijn.
Voor ons is dit soort situaties geen reden om met het vingertje te wijzen. Social engineering is vooral een perfect middel om onze opdrachtgevers – en misschien zelfs ook lezers van deze blog – alerter te maken. Om hun beveiligingsbeleid tegen het licht te houden en zo nodig aan te scherpen. Want een fysieke voorbereiding of diefstal ter plekke kan een digitale inbraak heel simpel maken.
Meer informatie is te vinden op https://www.threadstone.eu/routekaart/Mystery_guest.