Interview met een ethical hacker
Hackers worden steeds slimmer in het ontfutselen van informatie. Om uw organisatie te beschermen is het bewust en weerbaar maken van medewerkers belangrijk. Audittrail werkt al een aantal jaar samen met ethische hackers om producten te ontwikkelen die hieraan bijdragen. Ethische hackers proberen net als ‘echte’ hackers gaten in de digitale beveiliging te vinden en zo informatie los te peuteren. Het grote verschil: ethische hackers laten organisaties weten wanneer ze iets hebben gevonden en misbruiken deze inzichten niet voor criminele activiteiten.
De ethical hacker
Omdat we ons kunnen voorstellen dat u net zo benieuwd bent als wij naar wat dit allemaal inhoudt, vroeg ik Kenneth Linzey (27), IT security adviseur en ethical hacker bij HackDefense naar zijn vak. Kenneth: “Mijn werk bestaat uiteindelijk uit het inzichtelijk maken van risico’s voor klanten. Dat betekent dat wij ons het grootste gedeelte van de tijd bezig houden met het uitvoeren van penetratietesten en hierover rapportages opstellen.”
Phishingtest
Voor Audittrail houdt Kenneth zich vooral bezig met het opzetten en uitvoeren van phishingtests. Hackers sturen phishing e-mails om bijvoorbeeld wachtwoorden of bankgegevens te ontfutselen. Met phishingtests bootsen we deze e-mails zo veel mogelijk na, maar in plaats van door een vreemde partij worden alle ingevulde gegevens nu ontvangen door een ethical hacker. De Audittrail phishingtests zijn voornamelijk gericht op het verzamelen van bedrijfsgevoelige informatie zoals wachtwoorden en gebruikersnamen. Kenneth legt uit: “Middels phishingtesten onderzoeken we een aantal dingen. De weerbaarheid van de organisatie, hoe snel wordt er gereageerd, hoeveel mensen klikken er op onze link, hoeveel wordt er ingelogd en hoeveel sets gebruikersnamen en wachtwoorden worden daarbij afgegeven, hoeveel wordt onze nepexecutable of nepbestand gedownload en tot slot hoe vaak wordt deze uitgevoerd door medewerkers van de organisatie.”
Ik vroeg Kenneth wat ethical hackers doen met de gegevens die ze ‘buit maken’ via een phishingtest: “Meestal niets, het gaat ons om de statistiek die hier uit komt. De meeste phishingtesten die wij op dit moment uitvoeren meten alleen het aantal clicks en ingelogde gebruikers. Wachtwoorden worden nooit naar onze servers verstuurd; er zit een stukje JavaScript in onze pagina’s dat er voor zorgt dat het wachtwoord wordt omgezet naar een statistiek. Hoeveel hoofdletters zaten er in het wachtwoord? Hoeveel kleine letters, speciale karakters en getallen? Dat gebruiken wij in de rapportage om een uitspraak te kunnen doen over het wachtwoordbeleid van de organisatie. Gebruikersnamen komen wel in onze logs terecht, maar doen we verder niets mee; we beschermen de identiteit van de mensen die inloggen op onze phishingdomeinen. Zo voorkomen we naming & shaming.”
Risico’s
Als ik hem vraag hoe risicovol phishing nu echt is antwoordt hij dat er “maar één iemand in een van onze phishingsmailtjes hoeft te trappen”. Zeker wanneer de autorisatiematrix niet (goed) is ingericht kunnen hackers met één account veel informatie inzien. De gevaren van phishing zijn niet te onderschatten. Hackers worden steeds slimmer en gebruiken bijvoorbeeld persoonlijke informatie van social media kanalen om phishingaanvallen te personaliseren.
Als laatste vraag ik Kenneth of hij nog tips heeft voor organisaties: “train met regelmaat tegen cyber security incidenten zoals phishing. Niet alleen kan dit de awareness onder de medewerkers verhogen, maar ook bereidt het voor op wanneer er een echt incident uitbreekt. Vandaag de dag is het immers niet meer de vraag of je gehackt wordt, maar wanneer.”
Mocht u meer willen weten over de samenwerking tussen Audittrail en HackDefense, of meer informatie willen over een phishingtest of andere social engineering tests van Audittrail, neem dan contact op via koffie@audittrail.nl of 071-7471717.