Hacken zonder computerkennis is vaak een slimme keuze voor hackers, zeker voor wie toch al een licht manipulatieve natuur heeft. Waarom zou je moeite doen een rigide, logisch denkende computer ervan te overtuigen om je toegang te verschaffen, als je met veel bluf een mens zo gek kunt krijgen gewoon het wachtwoord te geven?
Computers hebben kwetsbaarheden, oftewel exploits, maar mensen hebben die ook. Een social engineer, oftewel een sociale hacker, specialiseert zich in het vinden van patronen of juist inconsequenties in menselijk gedrag die zij of hij voor eigen doel kan aanwenden.
In mijn eigen werk als journalist heb ik sommige van de onderstaande trucs gebruikt. Doe dit wel altijd op legale én ethische wijze. Voorbeeld: autoriteit veinzen om ervoor te zorgen dat een crimineel je te woord wil staan, is iets anders dan met diezelfde gedraging een scholier koeioneren. Doe voor het overige vooral je voordeel met onderstaande lijst, en print hem uit om voor je medewerkers.
Hiërarchische autoriteit veinzen
Je zult de eerste niet zijn die wachtwoorden uitgeeft aan een net gekleed iemand die zonder schroom en met zelfverzekerde stem daarom vraagt. Pas vooral op voor mensen die spreken alsof het niet bij ze opkomt dat je wel eens zou kunnen weigeren.
Overdonderen met nepkennis
Bij de receptie van je bedrijf gaat de telefoon: "Verdorie. Maar u weet toch wel meneer, dat als we niet binnen vijf minuten root zijn op de server, er een cascadereactie ontstaat in de TCP/IP-stack, waardoor de routers van de AMS-IX en de Surfnet-backbone zullen crashen en het internetverkeer in Rucphen plat komt te liggen? Om dat te voorkomen hebben we toch echt het wachtwoord nodig."
Wat hiervoor staat, is totale nonsens, maar in veel gevallen zal het voldoende blijken om minder technisch onderlegde mensen te overtuigen mee te werken, al was het maar omdat niemand graag toegeeft dat ‘ie iets niet snapt. Om uitleg vragen is vaak bedreigender voor het ego van het slachtoffer dan instemmend knikken, want bij dat laatste loop je tenminste geen risico op een confrontatie met iemand die wellicht meer weet dan jij.
‘Expert' Rian van Rijbroek kwam met soortgelijk geleuter zelfs bij Nieuwsuur aan tafel - terwijl je van journalisten toch mag verwachten dat die geen schroom hebben om door te blijven vragen totdat ze iets volledig begrijpen. Het helpt trouwens ook als de social engineer in zo'n scenario de tijdsdruk verhoogt, zoals in dit voorbeeld het geval is.
Beroep doen op empathie
Zelfs een hardvochtig mens zegt niet graag 'nee' tegen een bedelaar, al was het maar omdat er omstanders bij zijn die hem of haar erop aan zullen kijken. Een social engineer weet dat het instinct om te willen helpen bij veel mensen aanwezig is. Zij kan daar op veel manieren misbruik van maken. Bijvoorbeeld door te doen alsof ze nieuw op de zaak is en gelijk vandaag een belangrijk gesprek heeft met de baas. Jammer genoeg is ze haar toegangspasje vergeten, maar als ze teruggaat om het te halen, mist ze haar afspraak! Het uitleggen aan haar chef zou een flater betekenen op haar eerste werkdag. Dat wil je haar toch zeker niet aandoen?
Wortel en stok
Goede social engineers zijn meesters in het toepassen van de stick and carrot-methode, wat zoveel wil zeggen als slijmen en dreigen tegelijk. Een populaire constructie om je tot praten te motiveren, is bijvoorbeeld het in het vooruitzicht stellen van een beloning als je meewerkt ("Ontzettend bedankt! Ik zal zeker niet nalaten dit tegen je baas te zeggen!"), terwijl de social engineer tegelijkertijd subtiel dreigt met vergelding als je dat niet doet ("Zonder die informatie loopt het project misschien vertraging op, maar ach, mij zullen ze er niet op aankijken").
Flirten en vleien
De wortel, zonder stok. Je hebt een baan als portier of receptioniste, en een goed geklede heer of dame komt langs voor een afspraak met een collega die er ‘toevallig' niet is. Wat vriendelijke woorden over jezelf en je professionele capaciteiten later volgt een uitnodiging om even een broodje te doen, want de man of vrouw in kwestie heeft zijn volgende afspraak toch pas aan het einde van de middag. En of hij of zij in de tussentijd even van een bedrijfscomputer gebruik mag maken om zijn mail te checken? Op dat moment installeert de social engineer een stukje software waarmee hij later toegang kan krijgen tot het hele netwerk. De investering: een paar uurtjes en twee tientjes voor de lunch.
Hebberigheid
Minder nauwkeurig, maar werkt ook vaak: een USB-stick met kwaadaardige software laten slingeren bij het fietsenhok van een bedrijf. Altijd wel een hebberig iemand die het ding gelijk in z'n werk-PC steekt. En de social engineer hoeft er niet eens fysiek voor je bedrijf binnen.
Naast deze voorbeelden lees je in mijn boek (On)veilig online wat je nog meer kunt doen om jezelf of je organisatie te beschermen, hoe je anoniem blijft, en wat je rechten zijn. In interviews met hackers, beveiligingsexperts, privacydeskundigen en digitale rechercheurs leer je van professionals hoe cybercriminelen en privacyschenders denken, en hoe je ze te slim af kunt zijn.
Andrew Dasselaar (1975) werkt sinds 1992 als journalist. Hij schreef voor Elsevier, het Financiële Dagblad, NRC Handelsblad, NU.nl en tal van andere media. Ook was hij docent journalistiek aan de Rijksuniversiteit Groningen en de Universiteit Leiden. Tevens gaf hij gastcolleges aan de Erasmus Universiteit Rotterdam en Fontys Hogeschool Journalistiek, en bij tientallen mediabedrijven. (On)veilig online is zijn nieuwe boek.