- “Goedemorgen, ik kom voor de printer.” π¨οΈ
- “Dag, ik kom voor de airco. Ook die in de serverruimte.” π¨
- “We zijn van de planten.” πͺ΄
Vragen die helpen als we proberen binnen te komen tijdens een social engineering test.
Zou jij deze personen binnenlaten? Zelfs als ze geen afspraak hebben of niet op de lijst van vertrouwde leveranciers staan?
Social engineering: de menselijke zwakke schakel
Bij Den Ouden Informatiebeveiliging voeren we regelmatig een social engineering test uit waarbij we proberen om fysiek een organisatie binnen te komen. Dit doen we zelf of met gespecialiseerde testers. Wat we steeds opnieuw zien? We krijgen bijna altijd toegang.
Of het nu gaat om een gemeente, een commercieel bedrijf of een andere instelling, de figuurlijke deuren staan vaak open. Met een goed verhaal en een beetje overtuiging is het vaak niet moeilijk om voorbij de receptie, beveiliging of een nietsvermoedende medewerker te komen.
Cyberaanvallen worden vaak geassocieerd met hackers achter een computerscherm, maar in de praktijk wordt social engineering net zo vaak gebruikt om bedrijven binnen te dringen. Hacken is niet alleen een kwestie van technologie, maar ook van psychologie.
Vaak combineren we een social engineering test met een pentest om een algeheel beeld te krijgen van informatieveiligheid binnen een organisatie. Meer weten over hoe een pentest jouw organisatie kan helpen? Lees er meer over op onze pentest pagina.
Wat testen we tijdens een social engineering test?
Wanneer we een opdracht uitvoeren, stellen we samen met de opdrachtgever doelstellingen vast. Dit kan onder andere zijn:
- Toegang tot een werkstation π»
Kunnen we vertrouwelijke gegevens of netwerken benaderen? - Een fysieke ruimte binnendringen πͺ
Bijvoorbeeld een serverruimte of kantoor waar gevoelige informatie ligt opgeslagen. - Een laptop inprikken π
Directe toegang tot het interne netwerk verkrijgen. Waarom hebben zoveel bedrijven nog steeds geen Network Access Control (NAC)? - Een server benaderen π
Hoe snel kunnen we toegang krijgen tot een systeem met cruciale data?
Uiteraard doen we dit in het kader van ethisch hacken. Ons doel is om organisaties bewust te maken van hun zwakke plekken, zodat ze actie kunnen ondernemen en beter bestand zijn tegen social engineering-aanvallen.
De impact: een eyeopener voor veel organisaties
De resultaten van deze opdrachten zijn vaak een schok. Medewerkers denken dat ze goed beveiligd zijn, maar in de praktijk blijkt dat een vriendelijke glimlach en een overtuigend verhaal genoeg zijn om binnen te komen. Dit leidt vaak tot waardevolle inzichten en verbeteringen in het beveiligingsbeleid.
Wil je op een speelse manier bewustwording creΓ«ren binnen je organisatie? Probeer dan eens ons Escapespel Informatiebeveiliging! Lees er meer over op onze escapespel pagina.
Social engineering-tests voeren we uit als onderdeel van een pentest of als losstaande awareness-campagne. Het is een effectieve manier om de menselijke kant van beveiliging te testen en te versterken.
Benieuwd hoe jouw organisatie zich zou houden tegen een social engineering-aanval? Neem contact met ons op en ontdek waar jouw zwakke plekken liggen β voordat een kwaadwillende hacker ze vindt.
Lees ook onze andere artikelen over informatiebeveiliging op onze blogspagina.
Meer weten?
Neem contact op via onze contactpagina en bespreek de mogelijkheden.
Volg ons op LinkedIn voor meer relevante updates.