Als je de kans hebt gehad om de film ‘Meet the parents’ te zien dan heb je waarschijnlijk begrepen wat we bedoelen met de “Circle of Trust”. In de film wordt de persoon gespeeld door Ben Stiller continue onderzocht door de persoon gespeeld door Robert De Niro.
In de film gaat Ben Stiller trouwen met de dochter van Robert De Niro, een ex-spion, welke twijfelt aan de identiteit van Ben Stiller en tot het uiterste gaat om dit te verifiëren.

In de film maakt Robert De Niro een cirkel en verteld Ben Stiller dat hij moet worden toegelaten binnen de “Circle of Trust” voor hij toestemming krijgt om met zijn dochter te trouwen. De hele film gaat over Ben Stiller’s pogingen om binnen de cirkel te komen.

Dit scenario past prima in de huidige sociale netwerk sites. Sociale netwerk sites zijn totaal afhankelijk van vertrouwen. Met de toename van blogs, Twitter, Hyves, Facebook en andere vormen van sociale media, krijgen potentiële aanvallers veel manieren om contact te leggen met hun eventuele doelen. Deze manieren gaan veel verder dan het opzoeken van een eventueel contact persoon via Whois of Ripe. Potentiële aanvallers kunnen gericht zoeken op bedrijven, wie er werken, wat hun functie is, welke relaties ze hebben etc. etc. Het belangrijkst is binnen te komen in de “Circle of Trust”.

Eenmaal binnen de “Circle of Trust” kan een aanvaller gebruik maken van social engineering. Een aanvaller heeft nu toegang tot persoonlijke informatie zoals CV’s, thuis adres, telefoonnummers, werkgevers, familie, vrienden, opleiding, foto’s etc. etc. Sociale media sites delen meer informatie dan de meeste gebruikers weten of verwachten of nodig hebben om in contact te blijven. De aanvaller gaat nu een relatie opbouwen met het slachtoffer door zich bijvoorbeeld voor te doen als ex-collega, of interesse te tonen in onderwerpen welke het slachtoffer online heeft staan. De aanvaller kan de vertrouwensrelatie uitbreiden naar andere gebruikers en vrienden om meer informatie te verzamelen.

Social engineering aanvallen zijn gevaarlijk, vaak wordt er gebruik gemaakt van menselijke emoties. Potentiële aanvallers maken volop gebruik van niets vermoedende internet gebruikers.

Sociale media….weg met de beveiliging
Een hack aanval bij een groot bedrijf laat zien hoe hackers Facebook, LinkedIn, Hyves en andere sociale netwerk sites kunnen gebruiken om de beveiliging van een bedrijf te omzeilen. Voor deze aanval maakten hackers gebruik van social engineering om toegang te krijgen tot informatie welke gebruikt kon worden om kritische systemen te compromitteren.
Het meest belangrijke onderdeel van een aanval is niet altijd een kwetsbaarheid; soms is het het vertrouwen van een gebruiker.

Gedurende de aanval hebben hackers gekeken naar toegangsmogelijkheden tot het bedrijf. Hackers hebben tijdens deze aanval gebruik gemaakt van Hyves en LinkedIn. De hackers hebben een profiel aangemaakt welke zich voordeed als een medewerker van het bedrijf, uitgebreid met werk ervaring, “gestolen” van echte medewerkers van het bedrijf. Met dit profiel hebben de testers getracht vrienden te maken.

Wat de sociale netwerk vrienden niet wisten was dat dit allemaal onderdeel uitmaakte van een social engineering aanval tegen de medewerkers om het vertrouwen te winnen opdat ze mogelijk hun gebruikersnaam en wachtwoord eenvoudiger af zouden staan. Deze aanval laat gelijk het belang zien van beleid en richtlijnen binnen organisaties ten aanzien van sociale media.

“Voor de komst van sociale netwerk sites konden criminelen contact zoeken met medewerkers via dingen als spam, of misschien konden ze bellen en social engineering technieken toepassen,” aldus Ronald Kingma, eigenaar ISSX. “Maar sites als Hyves, LinkedIn en Facebook geven criminelen de mogelijkheid om bijna alle beveiligingsmaatregelen van een bedrijf te omzeilen en direct contact te hebben met medewerkers.”

Vertrouwen is het toverwoord als het aankomt op phishing. Voor de hackers betekende dit het uitvoeren van informatie verkenning op het internet. Het bleek dat ongeveer 120 medewerkers gebruik maakten van Hyves en LinkedIn. Aangezien de meeste medewerkers mannelijk waren en tussen de 20 en de 40 jaar oud besloten de hackers een afbeelding te nemen van een aantrekkelijke 28-jarige dame voor het fictieve profiel. Met dit profiel bouwden ze een lijst vrienden op.

De volgende stap was het misbruiken van een cross-site scripting (XSS) fout in de website van de opdrachtgever. Deze XSS aanval zorgde voor een legitiem lijkende beveiligde website welke onderdeel leek te zijn van de website van de opdrachtgever. Na chat- en e-mail sessies met echte medewerkers gedurende een aantal dagen stuurden de hackers via Hyves en LinkedIn een bericht naar alle echte “bevriende” medewerkers waarin stond vermeld dat de website van het bedrijf gehackt was.

De gebruikers welke de website bezochten werden gevraagd hun gebruikersnaam en wachtwoord te verifiëren – deze gegevens werden direct doorgestuurd naar een server van de hackers. Deze bonus bevatte onder andere gebruikersnamen en wachtwoorden welke de hackers toegang konden geven tot het netwerk, inclusief de Active Directory server, het mainframe en verschillende financiële systemen.

“Als jullie medewerkers sociale netwerken gebruiken dan wil je graag weten hoe vatbaar ze zijn om overgehaald te worden om iets te doen wat een groot risico kan zijn voor jullie bedrijf,” aldus Ronald.

Er is geen simpel antwoord op de vraag over hoe je de identiteit van mensen op sociale netwerk sites kan controleren. Bedrijven lopen altijd risico’s dat vertrouwelijke informatie op het internet wordt gezet, denk maar eens aan klagende en/of boze (ex)werknemers. Uit onderzoek blijkt dat 34% van de bedrijven in de VS hier in de laatste twaalf maanden mee te maken heeft gehad. Zonder het te realiseren bieden bedrijven over de hele wereld toegang tot vertrouwelijke informatie over hun infrastructuur, systemen, mensen en processen.
 
“Het is niet praktisch om sociale netwerk sites te blokkeren, simpel genoeg omdat ze steeds populairder worden.”aldus Ronald. “Het is raadzaam om de medewerkers te vragen hun werkgever, of links naar de werkgever niet te vermelden in hun profiel. Je kunt zelfs gebruik maken van een gedragscode welke medewerkers ontmoedigt om vanaf het werk berichten op sociale websites te plaatsen. Hieraan kun je dan een goede training over social engineering bewustwording koppelen.”

“Wacht een paar maanden en voer dan een audit uit om te kijken of werknemers zich houden aan de regels van het bedrijf en gebruik de resultaten om de gedragscode te fine-tunen.”