The S-Unit

The S-Unit 100% offensive security
Menu

What The Hack

Wat social engineering onthult over jouw fysieke beveiliging en hoe je die versterkt

De kracht van social engineering

In ‘What The Hack’ laat Remco, ethisch hacker bij The S-Unit, zien hoe hij tijdens een gedeeltelijk anonieme social engineeringtest toegang kreeg tot onder meer de serverruimte. Hoe kon dit gebeuren, en wat kun je als security officer doen om fysieke beveiliging te versterken?

De voorbereiding

Samen met mijn collega’s testte ik de fysieke beveiliging en het securitybewustzijn van een organisatie met circa 10.000 medewerkers. Het doel: zoveel mogelijk fysieke toegang verkrijgen, zonder op afstand te hacken.

Elke social-engineeringopdracht start met een observatie van de omgeving. We brachten onder meer in kaart:

  • deuren en hekwerk
  • rookplaatsen en looproutes
  • toegangsprocedures
  • kledingstijl van medewerkers
  • uitstraling en logica van de omgeving

De psychologie achter social engineering

Komt deze strategie je bekend voor? Onze aanpak leunde op de zeven beïnvloedingsprincipes van Robert Cialdini, technieken die ook phishing en marketing zo effectief maken. In deze case waren autoriteit en sympathie de sleutel tot succes.

De zeven principes:
wederkerigheid, commitment & consistentie, sociale bewijskracht, autoriteit, sympathie, schaarste en eenheid.

Het cover-up scenario

We kozen een geloofwaardig verhaal: externe wifi-specialisten die de wifi kwamen verbeteren. Iedereen klaagt weleens over de wifi, dus een perfect rookgordijn.

Sympathie als toegangspas

De test op locatie kon beginnen. In de voorbereiding zagen we op Google Maps dat we het terrein op konden door over het hek heen te klimmen, maar dit bleek in het echt niet te kunnen. Via de intercom bij het hek vroegen we daarom om toegang, maar de centralist hield voet bij stuk: geen pas, geen toegang. Even later bood een medewerker hulp aan. Na een korte uitleg mocht Bas, mijn collega, achter hem aan rijden en ik reed stiekem mee. Daarna hielp de medewerker Bas door een beveiligde deur en liet hem vervolgens zijn gang gaan.

In een ander gebouw bleek een open loods de zwakke schakel. Een onbeveiligde deur in de loods gaf mij directe toegang tot het gebouw.

Bevindingen verzamelen

Eenmaal in het gebouw had ik vrije toegang tot werkplekken, vergaderruimtes en de kantine. Ik zag een netwerkpoort en sloot mijn laptop hierop aan. Er zat geen beveiliging op de netwerkpoort (een check), waardoor ik gelijk een IP-adres kreeg van het bedrijfsnetwerk. Even later zag ik in de kantine hoe een medewerker zijn laptop, telefoon en documenten onbeheerd achterliet. Ik maakte een praatje met hem bij het koffiezetapparaat. Niemand vroeg zich af wie ik was of wat ik hier deed. Ik legde alles vast met foto’s en video’s en vervolgde mijn ronde. Wat kon ik nog meer vinden?

Toegang tot kledingruimte

Bas liet me binnen in een ander gebouw. Ons verhaal bleek overtuigend, want medewerkers deelden zelfs hun netwerkklachten met ons. Vervolgens vond Bas een sleutelkluisje met een briefje en daarop een telefoonnummer. Ik probeerde de eerste vier cijfers. En… klik. De kluis ging open. Met de sleutel kreeg ik toegang tot de kledingruimte. We trokken de kleding aan en maakten foto’s en filmpjes voor bewijs.

De serverruimte

Op een simpele navraag wees een medewerker de serverruimte aan en scande zijn pas, nadat we eerst zijn vertrouwen wonnen. De eerste scanpoging mislukte. Na aandringen scande hij zijn pas opnieuw. Ditmaal ging de deur wel open. Hij zette een stoel tussen de deur, liet ons alleen achter en gaf ons daarmee onbeperkte toegang tot het digitale hart van het pand. De serverkasten stonden niet op slot (wel een harde eis vanuit ISO27001). Daardoor konden we overal bij. Ondertussen legden we alles vast. Mission complete!

Mission complete. En nu?

Vijf uur lang liepen we ongehinderd rond. Door observatie, een geloofwaardig verhaal en grote menselijke fouten kregen we toegang tot gebouwen, werkplekken, gevoelige informatie en de serverruimte zonder één alarm te activeren.

Hoe kun je dit soort fysieke aanvallen voorkomen?

  • Versterk fysieke toegangscontrole door anti-tailgatingmaatregelen toe te passen en toegangsprotocollen strikt na te leven.
  • Pas defense-in-depth toe met gelaagde beveiliging van serverruimtes, archieven en apparaten, zodat ongeautoriseerde toegang ook intern wordt beperkt.
  • Beveilig netwerktoegang technisch om misbruik na fysieke toegang te voorkomen.
  • Leg beleid vast voor ongeautoriseerd bezoek en borg dit met verificatie en gerichte bewustzijnstraining over risico’s.
  • Maak toegangsprocedures concreet zodat medewerkers weten wanneer en hoe zij onbekenden wel of geen toegang mogen geven.

Benieuwd welke risico’s social engineering blootlegt in jouw organisatie? Ontdek de mogelijkheden.

Wilt u meer weten over de diensten van The S-Unit? Of heeft u een andere S-entiële vraag voor ons?
Neem contact op