2min

Tags in dit artikel

, ,

Een onderzoeker die social engeneering uitvoerde heeft het afgelopen jaar duizenden identiteiten succesvol kunnen stelen van onder meer Amerikaanse banken en andere bedrijven.

Joshua Perrymon, hackingdirector voor PacketFocus Security Solutions en CEO van RedFlag Security, verkleedde zich met zijn team vaak als een ambtenaar van de inspectiedienst. Met vervalste identiteitsbewijzen en rijbewijzen kwamen ze vaak op de drukste periode van de dag binnen. "In 98 procent van de gevallen vraagt iemand of ik hulp of iets anders nodig heb. Dan ga ik met die persoon zitten en vraag ze dertig vragen over hun interne beveiligingsprocedures, alarmen, et cetera," vertelt hij.

De volgende stap is het kantoor doorlopen opzoek naar een lege werkplek. "In veel gevallen bevinden de klantgegevens zich op het bureau, dus neem ik ze mee. Mijn favoriete actie is het openen van een kast en dan zeven of acht mappen mee te nemen en die onder mijn clipboard te stoppen. We proberen altijd binnen zeven minuten weer buiten te staan."

Eén keer was het zelfs zo erg dat Perrymon voor een datacenter met een grote doos stond die hij zogenaamd af moest leveren. Een medewerker liet hem binnen en de beveiligingsonderzoeker had direct toegang tot de backbone van een grote internetserviceprovider.

Ondanks het gebruik van neppe ID-papieren heeft hij ze wel laten zien. "Wat we willen zien is of het een werknemer opvalt dat we geen echte badge hebben. Daarom maken we onze identiteiten niet perfect, zodat ze het kunnen zien. Maar in negen van de tien keer vragen ze je niets."

"Gedurende de laatste vijf jaar hebben we een succesratio van 100 procent gehad. We liepen uit elk bedrijf met tenminste vijf complete identiteiten," vertelde de onderzoeker.