social hacking pretexting
23.10.2020

Social Hacking: ‘de mens is de zwakste schakel’

Cybercriminelen gebruiken meerdere manieren om de beveiliging van een organisatie te omzeilen. De zwakste schakel maakt de beveiliging het meest kwetsbaar: de mens. In toenemende mate is de mens het doelwit van aanvallen om vertrouwelijke gegevens te verkrijgen. Een vorm van hacking die zich helemaal richt op een aanval op een persoon en niet op een systeem is ‘social engineering’. In dit artikel licht ethisch hacker Richard Groenewold de werkwijze van een onderdeel van social engineering toe: Pretexting.

Wat is Pretexting?

Bij Pretexting worden medewerkers telefonisch benaderd door een hacker die zich als iemand anders voordoet en snel vertrouwen weet te winnen. Hij gebruikt hierbij weliswaar een vooraf uitgedacht scenario, maar past zijn telefoontactiek / houding bliksemsnel tijdens het gesprek om bij het slachtoffer gevoelige informatie te onthullen, die onder normale omstandigheden absoluut niet bekend zou worden gemaakt.

Waarom vertrouwen medewerkers een hacker?

Je vraagt je vast af waarom een medewerker het zover laat komen dat hij of zij gevoelige informatie deelt. Doordat de beller een smoes of leugen gebruikt én persoonsinformatie deelt die hij via andere bronnen heeft verkregen, zoals een geboortedatum en adres, wint hij vertrouwen en aanzien. Een professioneel hacker is zeer kundig en geslepen en bezit de specifieke kwaliteit om zeer snel het vertrouwen te krijgen. De hacker hoort en voelt al zeer snel of hij de gevoelige informatie kan ontfutselen. Wanneer dit niet het geval is verbreekt hij het gesprek of kapt deze af. Vervolgens belt hij op een later moment naar een collega of andere afdeling, die ook toegang heeft tot dezelfde informatie. Goed om daarom intern een melding te maken als je het idee hebt dat je bent gebeld door een hacker.

Welke informatie kan een hacker verkrijgen?

Afhankelijk van het uiteindelijke doel en wellicht een opdrachtgever kan een hacker alle (persoons-) informatie verkrijgen. Denk aan een BSN-nummer, (feitelijk/officieel) woon- en of verblijfadres, (mobiele) telefoonnummers, hoogte van het maandinkomen, bankrekeningnummer, of namen van samenwerkingspartners, medische- en verzekeringsgegevens en inlognamen en wachtwoorden.

Welke afdelingen en organisaties zijn vatbaar voor Pretexting?

Richard Groenewold stelt dat vrijwel alle afdelingen en sowieso alle organisaties vatbaar zijn voor pretexting. Bij gemeenten en zorginstellingen valt vooral te denken aan afdelingen zoals salarisadministratie, patiëntenadministratie, personeelszaken (HR), uitkeringsadministratie en onroerende zaakbelasting (OZB).

hacker social hacking pretexting

Voorbeeldcases social hacking met pretexting

Gemeente – Afdeling OZB

De hacker heeft via bronnen informatie ingewonnen over burger (B), die in een andere woonplaats (X) heeft gewoond. Hij belt naar de afdeling OZB van de huidige gemeente (Y) en doet zich voor als belastingmedewerker van gemeente (X). Vervolgens vertelt hij dat er een achterstand OZB is en stelt hij vragen over het officiële adres met al dan niet uitgebreide GBA-gegevens, bekende telefoonnummers en een bankrekeningnummer (tegenrekening opzoeken). Een truc die door de hacker kan worden toegepast voor invorderingsbedrijven of informatiebureaus ten aanzien van verhaalsmogelijkheden (beslaglegging) en/of voor het opbouwen van een dossier identiteitsfraude.

Gemeente – Afdeling Dienst Sociale Zaken en Werkgelegenheid

De hacker belt naar de Dienst Sociale Zaken en Werkgelegenheid en stelt van het UWV te zijn. Hij vraagt naar de afdeling invordering en geeft aan eveneens van de afdeling invordering te zijn. Vervolgens wordt aangegeven dat er onduidelijkheden zijn of een storing is in SUWI-net en wordt de medewerker gevraagd om gegevens over de uitkering. Alle persoonsgebonden gevoelige informatie in SUWI-net kan en zal worden verstrekt.

Gemeente / Ziekenhuis – Afdeling Salarisadministratie

De hacker belt naar de salarisadministratie en doet zich voor als een willekeurige deurwaarder die een dienstverband wil verifiëren. De medewerker pareert dat dit schriftelijk dient te gebeuren maar de deurwaarder heeft dit al gedaan en geen reactie verkregen. Gezien de urgentie (einde maand) dient het nu telefonisch te worden gecontroleerd. Vervolgens worden niet alleen details van de loondienstbetrekking bekend gemaakt (hoogte inkomen, andere beslagleggingen, etc.), maar ook een feitelijk woonadres van de medewerker. Achteraf zal blijken dat het niet een deurwaarder was, maar een rancuneuze ex-echtgenoot, die op zoek was naar het nieuwe (schuil-)adres van zijn ex-vrouw.

Ziekenhuis – Afdeling Patiëntenadministratie

De patiëntenadministratie wordt gebeld door dr. (X) met de vraag of mevrouw (Y) nog is opgenomen. Dit blijkt inderdaad het geval. De beller (hacker) klinkt en spreekt welbespraakt en toch ook wat oud. Of een screenshot van het EPD kan worden gemaakt en even naar hem kan worden gemaild. Dit alleen van de medicijnen, omdat mevrouw Y een patiënt met een ‘verleden’ is waarover hij niet verder mag verklaren. Vervolgens wordt onder andere gevraagd naar haar huidige verzekeringsgegevens (doktersassistente is ziek), contactgegevens van naasten, de afdeling en het kamernummer. Doel van de hacker is hierbij gericht op afpersing van het betreffende ziekenhuis / (vervolg-fraude) bij de zorgverzekeraar, bedreiging of inbraak van het woonhuis van de betreffende patiënt.

Is social hacking te voorkomen?

Absoluut! Zo zijn medewerkers van Burgerzaken al goed bewust en geïnstrueerd dat zij telefonisch nooit informatie delen. Naast bewustzijn en awareness programma’s is er nog meer in de middelenmix van awareness. Bijvoorbeeld een op maat gemaakte pentest om deze vorm van hacking te laden bij medewerkers en daarmee tegen te gaan. Bij onvoldoende bescherming tegen social engineering lopen medewerkers, burgers en patiënten een reëel gevaar wanneer de verkregen informatie in verkeerde handen valt. En niet te vergeten de eventuele ingediende schadeclaim, reputatieschade en een torenhoge boete opgelegd door de Autoriteit Persoonsgegevens.

Dit kunnen we toch ook zelf?

Een ethisch hacker pretexting bezit alle specifieke kwaliteiten om een dergelijke pentest adequaat uit te voeren. Het geeft je een realistisch beeld van de werkelijke bescherming. Het advies van Richard is daarom om niet je eigen vlees te keuren maar een pentest door een beroepsmatige inventieve ethisch hacker te laten uitvoeren. Meer weten over de mogelijkheden van awareness en pentesten? Neem dan contact met ons op.