Wat is social engineering, oftewel social hacking? Wat is hier de betekenis van, hoe gaan social engineers te werk en wat zijn hier voorbeelden van? Lees verder…

De betekenis van social engineering: niet hacken met computers, maar met psychologie

De meest gangbare definitie van social engineering is dat criminelen zich voordoen als iemand anders – meestal een vertrouwd persoon – om vervolgens gevoelige informatie te winnen. Ook fishing is een vorm van social engineering. De criminelen doen zich namelijk bijvoorbeeld voor als jouw bank – en hacken daarmee jouw psychologie. Een ander woord voor social engineering is social hacking.

Daarnaast wordt social engineering ook wel eens gebruikt om onschuldigere activiteiten aan te duiden, waarbij het zelfde principe niet voor criminaliteit toegepast wordt, maar voor prankshows of partycrashing.

Social engineering voorbeelden

  • Criminelen die social engineering inzetten, gebruiken bijvoorbeeld de telefoon om zich voor te doen als iemands baas of collega van een andere vestiging, waarna ze gevoelige bedrijfsinformatie opvragen aan het slachtoffer.
  • Ook de ‘grappige vragenlijsten' op social media worden gebruikt om persoonlijke informatie en antwoorden te winnen voor de geheime wachtwoord-herstel-vragen van bepaalde accounts. “Wat was de naam van je eerste huisdier? In welke stad was je moeder geboren? Combineer deze twee en je hebt je eigen sexy-naam gegenereerd. Grappig hè! Plaats jouw antwoord in de comments!”
  • Hier vind je een hele casus van social engineering om een bedrijf te hacken.

Hoe gaan social engineers te werk?

  • Social engineers zullen eerst een paar keer bellen omdat ‘een klant van mijn filiaal een dvd van Rocky 5 bij jullie filiaal wil halen'. Als de social engineer wéér belt, ‘kennen' ze hem al, en kan hij om gevoelige bedrijfsinformatie vragen.
  • Social engineers kunnen zich ook voordoen als blije klant. “Ik ben een fan van jullie goede service, wat is jullie adres? En van het hoofdkantoor? Voor een bedankbrief.”
  • Social engineers kunnen zich voordoen als onderzoekers die een survey af aan het nemen zijn, met daarin onschuldige vragen én vragen voor het losweken van gevoelige informatie.
  • Social engineers beïndigen het gesprek nooit nadat ze de gewenste informatie hebben gekregen. Ze blijven nog even een praatje maken of andere vragen stellen ter afleiding. Ook doen ze tussendoor een beetje small talk op basis van hun vooronderzoek over het bedrijf, waarbij ze de ‘inside terminologie' gebruiken en bijvoorbeeld weten wat voor crm-systeem gebruikt wordt: ‘Zit je in gebouw 4d of 6h?' ‘Kun je in Hubspot even opzoeken wat het telefoonnummer van klant x is?'
  • Ze doen alsof zij ‘ook maar een doorgeefluik zijn': ‘Hey, ik heb iemand van het hoofdkantoor aan de lijn gehad. Ze vroegen…'
  • Ze doen alsof ze eerder gebeld waren – en nu dus terugbellen voor die ene info.
Hierna lezen:  Pathologische Leugenaar (Ofwel Mythomanie / Pseudologia Fantastica)

Social engineering inzetten voor de lol – en niet voor criminaliteit

Student pretends to be the freshman Chemistry Professor and fools them all [Xpost /r/videos] from SocialEngineering

Partycrashen en pranks de bekendste manieren om social engineering op een casual manier in te zetten. Ook veel Youtube-prankshows maken gebruik van social engeneering om ergens binnen te komen of om te doen alsof ze van de organisatie zijn en ze laten deelnemers dan allemaal grappige dingen doen / opschrijven. Het is nog altijd een slechte daad, maar het is geen zware criminaliteit.

Laten we naar wat tips kijken om dit te bereiken…

Een pak of kostuum dragen = autoriteit

  • Je kunt bijvoorbeeld bij feesten de wachtrij skippen als je er als de DJ uitziet.
  • Ben je ‘van de techniek', draag dan een wat viezig zwart t-shirt met zwarte broek terwijl je wat xlr-kabels over je schouder draagt. Smeer ook wat zwarts op je handen, zoals eyeliner. Loop vlot en met een duidelijke intentie langs de bewaking.
  • Zinloze, maar grappige voorbeelden: Je kunt treinkaartjes controleren als je een conducteur-kostuum hebt. Als je een bewakerspak hebt – bijvoorbeeld met zo'n V'tje erop – kun je mensen dingen laten oprapen.

Ook je creatieve skills komen goed van pas

  • Denk aan de details: laat je stropdas bijvoorbeeld over een schouder hangen om de impressie te geven dat je haast hebt en dat triviale zaken, zoals je stropdas, niet belangrijk zijn vanwege je haast.
  • Ben je bij een concert en heb je de goedkoopst mogelijke tickets, dan kun je een poging wagen om naar een beter vak te gaan door het uiteinde van je ticket in je mond te doen, twee biertjes vast te houden in je handen en een beetje langs de beveiliging heen te manoeuvreren.
  • Staan wat rokers buiten te roken, ga dan via die rokersingang met ze mee naar binnen.
  • Maak meteen vrienden om erbij te horen. Vraag in ieder geval hun naam en bezigheid. En vraag: “Dus, wat brengt jou hier?’’ Zorg dat je weer de naam krijgt.
  • Maak eventueel een praatje met een bewaker en vraag: “Kun je het een beetje vinden met je baas. Klinkt als een lastige man, hoe heet hij?” Dan kun je de naam van de baas gebruiken als je via een andere ingang bij een van zijn collega's naar binnen wilt.

Alles is attitude

  • Mensen zijn natuurlijk niet dom, maar ze geloven meer dan je denkt, vooral als je het serieus brengt, met een straight face.
  • Doe alsof je de manager bent. Heb je het gevoel dat de security je nog een beetje in de gaten houdt, praat dan met wat serveerders om te doen lijken alsof je de manager bent. Stel ze random vragen en wijs naar allerlei dingen zodat het lijkt alsof je ze instructies geeft. Vraag ook eventueel aan andere mensen in de ruimte of alles goed met ze gat, of alles naar wens is, of ze iets nodig hebben, etc.
  • Als iemand je uiteindelijk toch in twijfel trekt, draai dan gewoon je kaartje om en zeg: “Ik ben gewoon op zoek naar X” of “Ik moest gewoon Y halen voor Mr. X”.
  • Stel vragen. Wie de vragen stelt, is de baas. Als ze je stoppen, kijk ze dan aan en zeg: ‘really? Ik moet deze kabels naar de techniek brengen of we verliezen het muziek in 2 minuten.'
  • Breng de leugen alsof je iets triviaals en gewoons zegt. Zeg er ook iets genants bij over jezelf, waardoor jij in een slecht daglicht komt. Dit ontwapent de scepsis van de ander. De beste leugenaars overtuigen de ander ervan dat ze slechte leugenaars zijn.
  • Doe alsof je de place ownt. Als iemand jou hierop aanspreekt, zeg je ‘’shh’’ en wijs naar je mobiel. Of zeg ‘’’hey, de baas is aan de telefoon weet je niet hoe lang de eerste tafel is, ik moet het checken.’’ Staar niet in het rond, stop niet eens voor een seconde en kijk niet verward. Negen van de tien keer zal niemand jouw aanwezigheid in twijfel trekken. Je kunt op deze manier met veel dingen weg komen.
  • Dit maakt allemaal deel uit van een veel grotere levenshack. Doe altijd alsof je ergens thuishoort. Houd je hoofd omhoog, je rug rechtop, en loop met intentie. Als je er nerveus of vaag uitziet, zullen mensen je niet vertrouwen. Als je zelfverzekerd handelt, zullen mensen zich zelden afvragen waarom je ergens bent waar je eigenlijk niet thuishoort.

Act as if even the craziest circumstance is routine for you and people won't suspect a thing.

Onmisbare props om ergens binnen te komen

social engineering props

  • Clipboard met papieren die er belangrijk uitzien – via Microsoft Word-templates.
  • Een sleutelbos waarmee je even zwaait.
  • Ladder.
  • Draag een pak en houd een krant en/of een kop koffie vast. Nu kom je overal mee weg.
  • Geel hesje.
  • Naamkaartjes, polsbandjes en nep-pasjes.
  • Een dienblad met glazen, rietjes, servetjes en drankjes.
  • Een koffiekan… als aanvulling voor de bar… of gewoon twee kopjes koffie… om naar de barmedewerkers te brengen.
  • Neem twee zakken vol ijsblokjes mee om naar de bar te brengen. ‘Ik ben de ijsblokjes-aanvuller. Van de ijsblokjes-taxi.'
  • Wijnglas met bijvoorbeeld appelsap erin, samen met een servet of zakdoekje. Koop dus een wijnglas voor een euro en neem hem mee, vul hem voor het naar binnen gaan met water en houd een servet vast.
  • Doe het bovenstaande in combinatie met dat je aan het bellen bent om langs de security te komen. Je mobiele telefoon is je grote vriend in dit proces. Het is de perfecte terugval als er iets ongewoons gebeurt.
Hierna lezen:  Hoe weet je of iemand liegt? 24 Tips! Herken & Ontmasker Leugenaars

Badges, keycords, naamkaartjes en bandjes…

  • Verzamel en koop verschillende kleuren bandjes, en badges, naamkaartjes aan keycords. Verberg hem een beetje onder je jasje, en ook al is het een andere kleur, er zijn meestal versies voor privé acces, vip acces, organisatie acces en all access… allemaal met een andere kleur.
  • Als je ergens in de problemen komt omdat je er niet hoort, doe je de ‘Jedi wave' met een gelamineerd kaartje in je hand met je foto erop, naam en bedrijf.
  • Je kunt de badge ook aan je broek/riem zichtbaar laten hangen, bijvoorbeeld in combinatie met een wit overhemd.
  • Pers-badges werken verrassend goed. Doe alsof je namens een bekende blog of krant verslag komt doen. Zeg eventueel dat je aan een boek werkt. Als schrijver of filmmaker kom je vaak ergens binnen omdat je niet bij het normale publiek hoort.
  • Maak een gelamineerde ‘pass' met jouw foto en de naam van je website erop. Het is direct een pers-kaart.
  • Of doe alsof je een influencer bent die een review komt schrijven. Maak een website met ‘reviews' en laat zien dat dit event er ook op komt. Je bent een reviewer van clubs, bars en events. Ga naar de bouncer. Wanneer ze vragen om te betalen, zeg dan: “Het is al in orde, ik ben x.” Als de bouncer niet weet wie je bent, laat dan op je telefoon je website zien.
  • Via Google Chrome kun je de functie ‘inspect element' gebruiken en complete teksten en afbeeldingen vervangen om iemand de site te laten zien met zelf geschreven tekstjes. Zo kun je zelfs een nu.nl-artikel over jou laten gaan. Zodra de pagina echter herladen wordt, is werkt het niet meer.

You'd be amazed what you can do with a simple press pass. I used to run a music blog and leveraged that to get me into a few festivals and concerts, free food, back-stage access…

Social engineering boeken

Christopher Hadnagy is de #1 authoriteit. Ook Vince Reynolds en Kevin Mitnick hebben hier bekende boeken over geschreven.

Social engineering forum

social engineering doe alsof je staf bent

Reddit kent een heel leuke community rondom social engineering. Je kunt er leuke tips vinden, vragen stellen en meediscussiëren. Hier vind je deze community.

Opleidingen en vacatures rondom social engineering: ‘ethisch hacken'

Veel bedrijven hebben ‘ethische hackers' nodig. Dit zijn mensen die exact dezelfde skills als de criminelen inzetten, maar dan om beveiligingslekken te ontdekken en aan te wijzen. Er zijn dus vacatures en opleidingen te vinden rondom dit vak.

Social engineering-films

Onderstaande films zijn aanraders als je geïnteresseerd bent in social hacking:

  • Catch me if you can
  • Now you see me
  • Matchstick Men
  • The Thomas Crown Affair
Hierna lezen:  Party crashen? Zo doe je dat! [HowTo] [Partycrasher-tips] [Nooit doen!]

Succes met jezelf beschermen tegen social engineering… of veel plezier met partycrashen!

Wil je nog meer tips zoals deze? Meld je dan hieronder eventjes aan voor een leuke NLP-bonus zodat je niks mist: