Met alle
“oorlogvoering” op het internet de laatste tijd, zoals de hack op DigiNotar om
maar een voorbeeld te noemen, moeten we niet vergeten dat het soms niet eens
nodig is een echte “hack” uit te voeren. Een telefoontje kan al voldoende zijn.
De eerste stap is
om een nieuwe medewerker binnen een organisatie, zoals een bank, te vinden. Dit
is vrij eenvoudig gezien het gebruik van sociale netwerken zoals LinkedIn. Iedereen
kent ze wel; de mailtjes waarin iemand aangeeft gestart te zijn bij zijn nieuwe
baan.
De volgende stap
is de identiteit en telefoonnummer van een manager vinden die werkzaam is op
een andere locatie of in ieder geval onbekend is voor de nieuwe medewerker.
Hiervoor is LinkedIn wederom een goede bron.
Of het centrale nummer van de instantie om zo de naam en het
telefoonnummer van de manager te achterhalen. Zeker wanneer iemand net is
aangenomen, zal het eenvoudig zijn deze te manipuleren wanneer iemand zich
voordoet als een manager.
Er zijn genoeg
softwarepakketten en diensten die het mogelijk maken het telefoonnummer waarmee
gebeld wordt te “Spoofen” (het vervalsen van in dit geval een telefoonnummer),
waardoor het lijkt dat dit het nummer van een manager op de andere locatie is.
Als de zogenaamde
manager dan in “paniek” belt dat hij per direct toegang moet krijgen tot een
bepaald systeem omdat er een storing is op zijn locatie, kan een nieuwe
medewerker bezwijken onder de druk van een hoger in functie staande collega. Inloggegevens
worden overhandigd om in te loggen op het netwerk, en de buit is al zo goed als
binnen.
Het probleem in dit
voorbeeld is dus niet de technische beveiliging van de systemen, maar de
onzekerheid van een nieuwe medewerker wanneer hij of zij onder druk wordt
gezet. Er moeten regels zijn voor dit soort zaken, zodat een nieuwe medewerker
zich niet hoeft te schamen wanneer hij “Nee” aan een leidinggevende moet verkondigen.
Zorg er dus voor
dat regels omtrent het communiceren van gevoelige informatie duidelijk is voor
iedereen. En dat iedereen zich aan deze
regels houdt!
