Binnen KPMG IT Advisory hebben we een apart team dat zich bezig houdt met informatiebeveiliging. Naast de zwakke plekken van een IT systeem vinden door middel van penetratietests (professioneel hacken), onderzoeken zij ook de vaak zwakste plek van een IT systeem: de mens. Door professioneel phishing- en social engineering technieken toe te passen, is het vaak angstaanjagend makkelijk gebleken de beveiliging van IT systemen te doorbreken.

Dit levert vaak erg vermakelijke verhalen uit de praktijk op. Vandaar dat hier de komende 3 posts aandacht aan wordt besteed. Collega Matthieu Paques is werkzaam bij het team van Information Security en heeft onlangs over zijn phishing werkzaamheden een uiterst vermakelijk artikel geschreven in ons vakblad Compact (gehele artikel te vinden onder deze link). De praktijkvoorbeelden uit dit artikel komen de komende 3 posts voorbij. 

Bij een van onze klanten voerde een collega en ik een geavanceerde phishing-aanval uit. Mijn collega had bij de ingang van het pand van de klant plaatsgenomen en vroeg selectief medewerkers die naar binnen gingen of deze deel wilden nemen aan een enquête over de invulling van een aankomende bedrijfsactiviteit. Bij de ‘selectie’ van medewerkers richtten we ons tot de jongere, vrouwelijke medewerkers om zoveel mogelijk de kans te beperken per ongeluk een IT-medewerker of management aan te spreken. (Deze zouden het immers weten als er een ‘enquete pagina’ bestond en daardoor de aanval mogelijk sneller doorgronden). Ook hadden we vooraf de Linked-in en Facebook profielen van sleutelpersonen in de organisatie bekeken om zo ‘risicopersonen’ te herkennen en kunnen vermijden.

Onder de deelnemers zou dezelfde week nog een iPod Touch worden verloot. De medewerkers die wilden deelnemen kregen een gesloten enveloppe met daarin een brief die de actie uitlegde en een link naar een door ons opgezette (nep)internetpagina met daarop de enquête. Na inloggen kreeg de medewerker een tiental vragen te zien en konden aanvullend nog eigen suggesties worden opgegeven. Na versturen werd de medewerker hartelijk bedankt voor de deelname. Uiteraard waren wij in het geheel niet geïnteresseerd in alle ‘feestideeën’ van medewerkers, maar was het ons alleen om de inloggegevens van de medewerkers te doen. Ikzelf had om de hoek van de ingang positie ingenomen, zodat ik door de ramen aan de zijkant van de ingang in de gaten kon houden of er binnen iets verdachts gebeurde en via de portofoon direct mijn collega kon aangeven zich uit de voeten te maken indien dit nodig was. Tevens kon ik via mijn smartphone ‘live’ vaststellen dat inmiddels enkele gebruikers hun wachtwoord hadden ingetoetst op onze website en de test dus al succesvol was geweest. Na ongeveer 35 minuten verlieten we beide in verschillende richtingen de locatie. We hadden bepaald dat dit zo ongeveer de tijdspanne was waarin in geval van detectie een opvolging zou kunnen plaatsvinden. In de nabespreking met de klant bleek later dat hooguit enkele minuten na ons vertrek twee gealarmeerde medewerkers naar buiten waren gekomen om opheldering te vragen.

Binnenkort deel 2. Mocht je naar aanleiding hiervan meer willen weten, neem dan gerust contact op met Matthieu: paques.matthieu@kpmg.nl.