Volgens Gartner is het grootste veiligheidsrisico voor bedrijven het zogenaamde 'social engineering', waarbij gebruikers om de tuin geleid worden door een hacker. In plaats van software te kraken of naar lekken in de beveiliging te zoeken, proberen kwaadwilligen gebruikers te overtuigen om een bijlage bij een e-mail te openen, hoewel ze zich ervan bewust zijn dat dit risico's inhoudt. Mensen zijn van nature onbetrouwbaar en ontvankelijk voor manipulatie en misleiding, aldus Gartner. Criminelen gebruiken dan ook verschillende vormen van 'social engineering' om iemands identiteit over te nemen en op die manier gevoelige informatie te pakken te krijgen.
Manipulatie van de gebruiker gevaarlijker dan hacken
Lees meer
Social engineering onder de loep genomen
Nieuws van 16 maart 2006
Defensie rekruteerde op Defcon
Nieuws van 11 augustus 2005
Computer Assisted Lying helpt stress verminderen
Nieuws van 18 juli 2005
Leerlingen van school gestuurd wegens hacken
Nieuws van 29 december 2004
Ernstig veiligheidsgat gevonden in Googles Gmail
Nieuws van 31 oktober 2004
Mythen over veiligheid van Windows en Linux ontkracht
Nieuws van 23 oktober 2004
Microsoft waarschuwt voor lekken en brengt patches uit
Nieuws van 13 oktober 2004
Ruim een miljoen Nederlanders kunnen online stemmen
Nieuws van 27 september 2004
MIT ontdekt kritiek lek in Kerberos-implementatie
Nieuws van 3 september 2004
Termen 'e-jihad' en 'e-terrorisme' steken de kop op
Nieuws van 25 augustus 2004
Reacties (44)
/u/24089/evilbonzi-eye-dawuss-v2.png?f=community){kind=small}
Heel toevallig is hierover net gisteren een topic op GoT geopend:
http://gathering.tweakers.net/forum/list_messages/972017
Ook wel interessant in deze context
http://gathering.tweakers.net/forum/list_messages/972017
Ook wel interessant in deze context
Waar ik niet eens in mag komen, 
misschien kun je een mede-tweaker zover krijgen dat je zijn wachtwoord krijgt 
:strip_exif()/u/75576/jedi.gif?f=community){kind=small}
svMp zou jij even je wachtwoord kunnen posten, dan kunnen wij ook meegenieten : )
:strip_exif()/u/4086/avatar3.gif?f=community){kind=avatar}
Kopie van het draadje:
<span style="color:blue">...knip.... als het in een besloten forum staat is het dus niet de bedoeling dat je het mirrort</span>
<span style="color:blue">...knip.... als het in een besloten forum staat is het dus niet de bedoeling dat je het mirrort</span>
Het blijkt dat jij op http://home.wxs.nl/~cbierman/got/972017.htm een topic mirrort uit een besloten forum van Gathering of Tweakers.
Ondanks het feit dat het in dit geval een weinig schadelijk onderwerp is is het expliciet *niet* de bedoeling dat dit gebeurt zonder toestemming van de crew van Tweakers.net. Ik wil je dan ook dringend verzoeken deze pagina per direct offline te halen.
Sommige mensen kunnen niet in de SG-topics komen.
Dit is meestal ook gewoon de 'schuld' van de IT afdeling...
* Gebruikers die beroepsmatig geen reden hebben om atachements te openen zouden daar ook geen mogelijkheid voor moeten hebben
* De gewone gebruikers zouden niet via het internet toegang moeten kunnen krijgen. Waardoor het niet uitmaakt of ze een hacker hun wachtwoord geven.
* De gewone gebruikers ook als gewone gebruiker laten inloggen, en niet als administrator
* Als algemene regel: gebruikers alleen toegang geven tot functies die ze werkelijk nodig hebben.
Ik denk dat je als bedrijf je je medewerkers tegen zichzelf moet 'beschermen'.
* Gebruikers die beroepsmatig geen reden hebben om atachements te openen zouden daar ook geen mogelijkheid voor moeten hebben
* De gewone gebruikers zouden niet via het internet toegang moeten kunnen krijgen. Waardoor het niet uitmaakt of ze een hacker hun wachtwoord geven.
* De gewone gebruikers ook als gewone gebruiker laten inloggen, en niet als administrator
* Als algemene regel: gebruikers alleen toegang geven tot functies die ze werkelijk nodig hebben.
Ik denk dat je als bedrijf je je medewerkers tegen zichzelf moet 'beschermen'.
En mensen kunnen niet eens even hun webmail op werk kunnen checken raken ook alleen maar gefrustreerd op die systeembeheerder die zonodig alles blokkeert. En gaan dan zelf proberen om alles te omzeilen. Wat tot nog meer problemen leidt.
Je medewerkers tegen zichzelf beschermen is helaas wel een beetje nodig maar vergeet niet dat het ook een plezierige werkomgeving moet blijven. Je kunt niet zomaar alles dichtplakken en blokkeren.
Je medewerkers tegen zichzelf beschermen is helaas wel een beetje nodig maar vergeet niet dat het ook een plezierige werkomgeving moet blijven. Je kunt niet zomaar alles dichtplakken en blokkeren.
:strip_icc():strip_exif()/u/112916/51.jpg?f=community){kind=small}
De praktijk is vaak inderdaad dat systeembeheerders niet meer aan de functionaliteit van een systeem denken maar alleen aan de veiligheid. Alles wordt als kantoormachine gezien dus een beetje mail een beetje tekstverwerking en een beetje internet. Een zich zelf respecterende techneut schrijft zelf z´n software en gebruikt een pc netwerk of whatever voor veel meer dan dat.
Diezelfde techneut lacht om de meeste veiligheidvoorzieningen (even de harddisk mee naar huis een forensic tooltje eroverheen, ik zie jou twijfelen en voila u is administrator), geef die mensen de tools om de zaak veilig te houden, firewall virusscanner cryptopakketje en verder beperkte admin rechten. Log een aantal zaken om ze te kunnen aanspreken op fouten en verder heb je geen last van ze omdat ze de problemen zelf wel oplossen.
Diezelfde techneut lacht om de meeste veiligheidvoorzieningen (even de harddisk mee naar huis een forensic tooltje eroverheen, ik zie jou twijfelen en voila u is administrator), geef die mensen de tools om de zaak veilig te houden, firewall virusscanner cryptopakketje en verder beperkte admin rechten. Log een aantal zaken om ze te kunnen aanspreken op fouten en verder heb je geen last van ze omdat ze de problemen zelf wel oplossen.
De meeste gebruikers (>90%) zijn typkippen (no offence) die niet eens weten wat een firewall DOET.
Je moet ze dus wel degelijk tegen zichzelf beschermen, en het zelf oplosssen kunnen ze echt niet. Bovendien wil je alle systemen een beetje gelijk houden.
Je moet ze dus wel degelijk tegen zichzelf beschermen, en het zelf oplosssen kunnen ze echt niet. Bovendien wil je alle systemen een beetje gelijk houden.
Zet dan gewoon een losse pc neer die wel verbonden is met het internet maar niet met het bedrijfsnetwerk.
Daar kunne ze dan op surfen en hun eigen email checken.
Daarmee sla je twee vliegen in een klap:
# de veiligheid vergroot je ermee
# je ziet direct wie er bezig is met z'n persoonlijke zooi.
Daar kunne ze dan op surfen en hun eigen email checken.
Daarmee sla je twee vliegen in een klap:
# de veiligheid vergroot je ermee
# je ziet direct wie er bezig is met z'n persoonlijke zooi.
Ik neem aan dat men wat opgegroeid is dan... Om door cracken hacken tunnellen, is beghoorlijk kinderachtig, kun je ook voor ontslagen worden.
Ik heb hier maar 1 ding op te zeggen: voice-over-IP INVOLVES SPEEEEEEEECHHHH UITROEPTEKEN UITROEPTEKEN UITROEPTEKEN!!!!!
Maargoed, valt hier op tweakers met de berber-praktijken (of liever gebrek daaraan als je beter weet) wel mee geloof ik, gelukkig!
Maargoed, valt hier op tweakers met de berber-praktijken (of liever gebrek daaraan als je beter weet) wel mee geloof ik, gelukkig!
Het gaat hier niet over 'technische' beveiliging. Je kunt bijvoorbeeld een verkoper gelimiteerde toegang tot het internet geven, maar hij zal altijd toegang hebben tot klantgegevens aangezien dat z'n werk is. Met social engineering benader je dan die verkoper op een andere manier (telefoon/mail) als je dan bijvoorbeeld achter zijn login naam weet te komen en hij heeft een redelijk simpel wachtwoord is dat ook binnen no time te cracken.
Om m'n eigen post te quoten:<quote>Met social engineering benader je dan die verkoper op een andere manier (telefoon/mail) als je dan bijvoorbeeld achter zijn login naam weet te komen en hij heeft een redelijk simpel wachtowoord is dat ook binnen no time te cracken.</quote>
Het is technisch echt niet zo moeilijk om te bepalen welke gebruikers alleen in de winkel mogen inloggen en welke gebruikers ook via het internet mogen inloggen.<quote>De gewone gebruikers zouden niet via het internet toegang moeten kunnen krijgen. Waardoor het niet uitmaakt of ze een hacker hun wachtwoord geven.</quote>
Voor dit soort toepassingen zijn biometrische systemen ook zeer intressant. Probeer maar eens iemand over te halen om z'n duim of oog af te staan.... zal niet zo makkelijk gaan.
Daar heb ik idd te snel over heen gelezen, maar 't blijft natuurlijk dat als je in een business to business situatie zit dat je vaak verkopers hebt die veel op de weg zitten. Wil je die efficient laten werken is toegang tot het bedrijfsysteem vaak handig.
Het veiligste zou dan idd inloggen i.c.m biometrische systemen zijn. Het lijkt mij echter dat dat extra kosten zijn die makkelijk afgewenteld kunnen worden als de betreffende personen een soort van agreement afsluit (met het bedrijf) dat ze dus persoonlijk aansprakelijk worden gesteld als ze wachtwoorden of bedrijfgevoelige info prijsgeven.
Het veiligste zou dan idd inloggen i.c.m biometrische systemen zijn. Het lijkt mij echter dat dat extra kosten zijn die makkelijk afgewenteld kunnen worden als de betreffende personen een soort van agreement afsluit (met het bedrijf) dat ze dus persoonlijk aansprakelijk worden gesteld als ze wachtwoorden of bedrijfgevoelige info prijsgeven.
Het zal je verbazen. Reden waarom bijvoorbeeld de automobiel industrie afziet van biometrische identificatie als vervanger van de autosleutel of chipkaart als toegangsmiddel tot je automobiel. Het risico van het aantal potentieele ongewilde amputaties leek, gezien de waarde van het te stelen object, onverantwoord.Voor dit soort toepassingen zijn biometrische systemen ook zeer intressant. Probeer maar eens iemand over te halen om z'n duim of oog af te staan.... zal niet zo makkelijk gaan.
jaja... bij vingerafdrukken zou dat nog wel kunnen gebeuren, maar bij netvlies- en gezichts-herkenning zie ik dat toch niet zo snel gebeuren. Bij infrarood-gezichts-herkenning is dat al helemaal onmogelijk.<quote>Het zal je verbazen. Reden waarom bijvoorbeeld de automobiel industrie afziet van biometrische identificatie als vervanger van de autosleutel of chipkaart als toegangsmiddel tot je automobiel. Het risico van het aantal potentieele ongewilde amputaties leek, gezien de waarde van het te stelen object, onverantwoord.</quote>
niet zo makkelijk....God verhoede dat ze zoiets op pinautomaten op straat gaan gebruiken, dan zal het 's nachts pinnen behoorlijk afnemen.Voor dit soort toepassingen zijn biometrische systemen ook zeer intressant. Probeer maar eens iemand over te halen om z'n duim of oog af te staan.... zal niet zo makkelijk gaan.
/u/28892/flo.png?f=community){kind=small}
Hoeveel seconden mag ik gebruiken voor het uitnemen van een oog?
/u/32247/jayce.JPG?f=community){kind=small}
Even wat nuance....
1. De meeste gebruikers hebben de attachment functie hard nodig om verslagen en andere docs te kunnen mailen...
Nu zou je bepaalde extencies kunnen blokken, op die manier voorkom je al een hoop...
2. Waarom zou een gewone gebruiker geen internet mogen hebben???
Ook hier geldt dat wanneer je het goed geregeld hebt kan je ook dit goed beheren en in de gaten houden...
3. Helemaal mee eens..
Alleen sommige programma's werken alleen als iemand als admin is ingelogt, raar maar waar...
4. Ook mee eens, zie eerdere punten...
/edit
Reactie op Desktop
/edit
1. De meeste gebruikers hebben de attachment functie hard nodig om verslagen en andere docs te kunnen mailen...
Nu zou je bepaalde extencies kunnen blokken, op die manier voorkom je al een hoop...
2. Waarom zou een gewone gebruiker geen internet mogen hebben???
Ook hier geldt dat wanneer je het goed geregeld hebt kan je ook dit goed beheren en in de gaten houden...
3. Helemaal mee eens..
Alleen sommige programma's werken alleen als iemand als admin is ingelogt, raar maar waar...
4. Ook mee eens, zie eerdere punten...
/edit
Reactie op Desktop
/edit
/u/40481/crop63f777c898038_cropped.png?f=community){kind=small}
vaak is het niet alleen de schuld maar ook de oorzaak bij de IT afdeling. IT afdelingen zijn vaak erg bevattelijk om simpel antwoord te geven en toch teveel informatie weg te geven. admins zijn naar mijn idee erg gemakkelijk te bewerken ondanks dat ze beter zouden moeten weten. dus ipv naar de eindgebruiker te kijken lijkt het me belangrijker om naar de oorsprong te gaan en die op te leiden namelijk dat de admins weten welke informatie men weggeeft.
admins zijn vaak beta personen die naar mijn idee op technisch vlak wel genoeg kennis hebben maar op eq niveau toch wel achter liggen wat ze bevattelijk maakt.
admins zijn vaak beta personen die naar mijn idee op technisch vlak wel genoeg kennis hebben maar op eq niveau toch wel achter liggen wat ze bevattelijk maakt.
/u/64683/crop67e6d240d8cdc_cropped.png?f=community){kind=small}
En als blijkt dat het systeem gekraakt is geweest ?
Een paswoord heb je zo veranderd. Kom maar eens om een nieuw oog.
Biometrische beveiliging is echt niet zo geweldig.
Een paswoord heb je zo veranderd. Kom maar eens om een nieuw oog.
Biometrische beveiliging is echt niet zo geweldig.
:strip_icc():strip_exif()/u/90918/crop5eede9fd77a6a_cropped.jpeg?f=community){kind=small}
Tegenwoordig heeft iedereen wel een bijlage nodig, tenzij ze natuurlijk geen e-mail hebben. Ook bepaalde attachments blokkeren, lijkt me drastisch en totaal overbodig. De meest vriendelijke optie is op de mailserver een anti-spamtool te zetten en natuurlijk een virusscanner die alles scant. Machtigingen zijn natuurlijk ook nooit overbodig: de gebruiker moet niet zelf zijn schijf kunnen formateren en als beheerder is zeker uit den boze.
Voor mensen die op afstand werken/vaak op een andere locatie werken, investeer je maar in een systeem als Vasco Digipass, dat een dynamisch wachtwoord genereert en natuurlijk moet je gebruikers dan verplichten om bij het verlies van hun digipass (dit is het apparaatje dat afhankelijk van enkele parameters (tijd+gebruiker/wachtwoord) een logincode geeft. Het veiligste zijn de hogere modellen waar de gebruiker een statisch wachtwoord moet ingeven en zo een toegangscode krijgt. Lagere modellen geven een toegangscode bij het openklikken ervan) www.vasco.com )
Als systeembeheerder weet je vaak niet wat personen moeten doen, en de medeling 'vraag het aan de systeembeheerd' is ook voor velen niet heel duidelijk. Goede afspraken maken goede vrienden: maak groepen aan, stel ze zo strak mogelijk in, schrijf een memo aan iedereen waarin je vraagt bij problemen met machtigingen het je te melden en bekijk de problemen dan. Zo kan je het voor gebruikers goed werkbaar maken, hoewel je op voorhand niet hun hele takenpakket moet doorworstelen en toch heb je veiligheid. Je moet eigenlijk ervoor zorgen dat je van iedere gebruiker een overzicht hebt wat hij kan met een computer en hoever zijn kennis rijkt. Tweakers kan je meer vrijheden geven, omdat ze weten wat ze kunnen doen, maar beginners hebben een vaster schema nodig.
Voor mensen die op afstand werken/vaak op een andere locatie werken, investeer je maar in een systeem als Vasco Digipass, dat een dynamisch wachtwoord genereert en natuurlijk moet je gebruikers dan verplichten om bij het verlies van hun digipass (dit is het apparaatje dat afhankelijk van enkele parameters (tijd+gebruiker/wachtwoord) een logincode geeft. Het veiligste zijn de hogere modellen waar de gebruiker een statisch wachtwoord moet ingeven en zo een toegangscode krijgt. Lagere modellen geven een toegangscode bij het openklikken ervan) www.vasco.com )
Als systeembeheerder weet je vaak niet wat personen moeten doen, en de medeling 'vraag het aan de systeembeheerd' is ook voor velen niet heel duidelijk. Goede afspraken maken goede vrienden: maak groepen aan, stel ze zo strak mogelijk in, schrijf een memo aan iedereen waarin je vraagt bij problemen met machtigingen het je te melden en bekijk de problemen dan. Zo kan je het voor gebruikers goed werkbaar maken, hoewel je op voorhand niet hun hele takenpakket moet doorworstelen en toch heb je veiligheid. Je moet eigenlijk ervoor zorgen dat je van iedere gebruiker een overzicht hebt wat hij kan met een computer en hoever zijn kennis rijkt. Tweakers kan je meer vrijheden geven, omdat ze weten wat ze kunnen doen, maar beginners hebben een vaster schema nodig.
Volgens mij mis je de essentie van het verhaal. Je kunt met technische oplossing maar tot een bepaald niveau komen. Uiteindelijk is er een mens die beinvloedbaar is. Die kun je niet patchen en er is ook geen firewall tegen. De enige manier is om alles uit en in de kluis te stallen. Maar wat nu als de inbreker de bewaking weet te overtuigen dat hij degene is die er even in moet. Tsja...
Een goed boek hier over : "the art of deception" by Kevin Mitnick.
Dit was trouwens zelf 1 van de grootste hackers ooit...tot hij werd opgepakt dan....
Zie ook "hackers takedown".
Een film over Kevin Mitnick's leven en meesterwerk.
Dit was trouwens zelf 1 van de grootste hackers ooit...tot hij werd opgepakt dan....
Zie ook "hackers takedown".
Een film over Kevin Mitnick's leven en meesterwerk.
:strip_icc():strip_exif()/u/50282/crop5f6d92956b6af_cropped.jpeg?f=community){kind=small}
Inderdaad erg interessant, verplichte lectuur voor de beginnende systeembeheerder denk ik zelfs. Het verbaast je keer op keer hoe simpele trucs door de social engeneer gebruikt kunnen worden om medewerkers dingen te laten doen die, in het totaalplaatje, erg gevaarlijk kunnen zijn voor de veiligheid van je bedrijf of instelling. Hij geeft niet alleen toelichting over hoe de trucs hebben kunnen gebeuren, maar ook hoe je dat het beste kunt voorkomen.
//edit
Overigens ook naar het Nederlands vertaald: "De kunst van het misleiden".
//edit
Overigens ook naar het Nederlands vertaald: "De kunst van het misleiden".
Kevin Mitnick schrijft een goed boek jah.
Hij was alleen geen "hacker" zoals de media deze groep tegenwoordig kenschetst.
Een directe kennis van onder andere Steve Jobs, en het onderwerp van een zeer interessante film over de paranoia van de Amerikaanse overheden (FBI en meer) op het voor hen schaduwachtige gebied van computernetwerken.
De enige criminaliteit die hij ten toon spreidde was - zoals altijd - het onderschatten van de idioterie en schuldzoekerij van de Amerikaanse overheid.
Als je echt wilt weten wie kevin Mitnick is moet je de film "Freedom Downtime" eens bekijken.
Is niet makkelijk te vinden, maar zeer de moeite waard, vooral als het gaat over de eindeloze stupiditeit van het Amerikaanse rechtssysteem.
Hij was alleen geen "hacker" zoals de media deze groep tegenwoordig kenschetst.
Een directe kennis van onder andere Steve Jobs, en het onderwerp van een zeer interessante film over de paranoia van de Amerikaanse overheden (FBI en meer) op het voor hen schaduwachtige gebied van computernetwerken.
De enige criminaliteit die hij ten toon spreidde was - zoals altijd - het onderschatten van de idioterie en schuldzoekerij van de Amerikaanse overheid.
Als je echt wilt weten wie kevin Mitnick is moet je de film "Freedom Downtime" eens bekijken.
Is niet makkelijk te vinden, maar zeer de moeite waard, vooral als het gaat over de eindeloze stupiditeit van het Amerikaanse rechtssysteem.
People, by nature, are unpredictable and susceptible to manipulation and persuasion.
euh... je bedoelt 'onvoorspelbaar'...Mensen zijn van nature onbetrouwbaar en ontvankelijk voor manipulatie en misleiding, aldus Gartner.
dit veranderd de inhoud nogal.................
Tijd voor een social firewall...... 
:strip_icc():strip_exif()/u/30846/crop624404d93a803_cropped.jpg?f=community){kind=small}
Gezond verstand, argwaan
Da's een goede om mee te beginnen.
Paranoia is een zwaardere versie van the social firewall..
Da's een goede om mee te beginnen.
Paranoia is een zwaardere versie van the social firewall..
/u/34907/qs-logo.png?f=community){kind=logo}
Daar heb ik gisteren een soortgelijk topic over geopend op GoT -> http://gathering.tweakers.net/forum/list_messages/972017///
Ik ben het er ook helemaal mee eens. Het is zo ontzettend makkelijk om dingen voor elkaar te krijgen waar je normaal van zou denken dat het niet mogelijk zou moeten zijn.
@ dawuss
Ik ben het er ook helemaal mee eens. Het is zo ontzettend makkelijk om dingen voor elkaar te krijgen waar je normaal van zou denken dat het niet mogelijk zou moeten zijn.
@ dawuss
Dit is volgens mij al net zolang bekend als dat het hacken bestaat. In de wat grotere bedrijven hebben ze daar ook weer contracten/policies voor. Lijkt een beetje op het gevalletje dat een helpdesk nooit om je wachtwoord vraagt. Maar als je als onbekende opbelt en je voordoet als iemand die het probleem van de user kan oplossen zijn er genoeg mensen die maar al te graag hun wachtwoord afgeven om geholpen te worden.
Echt nieuws is dit niet natuurlijk, diverse onderzoeken hebben al aangetoond dat mensen voor zeer weinig hun password afgeven. Heel veel mensen hebben ook geen flauw benul wat de implicaties kunnen zijn door het weggeven van hun password of het openen van e-mail attachments, een computer gebruiken is een verantwoordelijkheid waar niet iedere medewerker zich van bewust is. Uiteraard zijn er veel meer social engineering mogelijkheden die imho effectiever zijn dan IE en OE exploits naar binnen smokkelen, da's meer voor script kiddies en spamboeren. Bijvoorbeeld bedrijven die een hoog personeelsverloop hebben zijn ook uitermate kwetsbaar, je hebt immers minder zicht op wie nou eigenlijk wat gedaan heeft als je al 4 of 5 systeem beheerders verder bent. Gewoon solliciteren bij een target is altijd een optie natuurlijk, evenals aanpappen met bepaalde medewerkers van een bedrijf. Bedrijven cq personeelsleden geven vaak ook zelf gewoon informatie weg, trots als een pauw vertellen hoe goed je security wel niet is (want...) en wat voor super netwerk je hebt liggen kan zeker interessante informatie zijn voor een hacker.
Ach dit gebeurt toch al decennia lang. De eerste hackers belde toch gewoon op naar iemand in een bedrijf, en zeiden dat ze systeembeheerders waren, om vervolgens te vragen of die mensen het nummer van hun modem wilde oplezen.
Goed tijden veranderen, de aanpak is iets anders. Maar de slimmigheid blijft hetzelfde.
Ik vind dat dit soort witteboorden criminaliteit natuurlijk niet goed is, maar ik vind het nou ook niet zo'n probleem. Als de mensen, die echt zo stom zijn om in dit soort geintjes te trappen, toegang hebben tot informatie die mogelijkerwijs bruikbaar zou zijn voor een hacker, dat de echte systeembeheerder ze gewoon minder informatie of rechten had moeten geven. Beetje een eigen schuld dikke bult situatie IMHO.
Goed tijden veranderen, de aanpak is iets anders. Maar de slimmigheid blijft hetzelfde.
Ik vind dat dit soort witteboorden criminaliteit natuurlijk niet goed is, maar ik vind het nou ook niet zo'n probleem. Als de mensen, die echt zo stom zijn om in dit soort geintjes te trappen, toegang hebben tot informatie die mogelijkerwijs bruikbaar zou zijn voor een hacker, dat de echte systeembeheerder ze gewoon minder informatie of rechten had moeten geven. Beetje een eigen schuld dikke bult situatie IMHO.
:strip_icc():strip_exif()/u/42939/aquamaterial.jpg?f=community){kind=small}
Als je als bedrijf zijnde zorgt dat je medewerkers goed ingelicht zijn, maakt social engineering geen kans.
Als ik binnenloop bij een universiteit, een studentnummer van 1 van de inlogschermen pak (wat te vaak niet gecleared wordt) en de helpdesk bel dat ik m'n wachtwoord vergeten ben ("Ja, ik ben een half jaar op stage geweest en ik ben m'n wachtwoord kwijt. Mijn studentnummer is n29583"), dan hoort de helpdesk niets te geven en wanneer er iemand langsgestuurd wordt, dient een id of schoolpas getoond te worden.
Social Engineering is heel eenvoudig en wanneer het misgaat is het niet alleen de schuld van de gebruiker. De IT-afdeling is verantwoordelijk voor het correct informeren en instrueren van de gebruikers. Een simpele regel als 'Geef nooit je inloggegevens prijs, ook niet aan het management of de it-afdeling.' kan al veel schelen.
Als ik binnenloop bij een universiteit, een studentnummer van 1 van de inlogschermen pak (wat te vaak niet gecleared wordt) en de helpdesk bel dat ik m'n wachtwoord vergeten ben ("Ja, ik ben een half jaar op stage geweest en ik ben m'n wachtwoord kwijt. Mijn studentnummer is n29583"), dan hoort de helpdesk niets te geven en wanneer er iemand langsgestuurd wordt, dient een id of schoolpas getoond te worden.
Social Engineering is heel eenvoudig en wanneer het misgaat is het niet alleen de schuld van de gebruiker. De IT-afdeling is verantwoordelijk voor het correct informeren en instrueren van de gebruikers. Een simpele regel als 'Geef nooit je inloggegevens prijs, ook niet aan het management of de it-afdeling.' kan al veel schelen.
Op dit item kan niet meer gereageerd worden.