Waarom securitymensen Robin Sage moeten linken

Social engineeren kan een krachtig hackmiddel zijn. Waarom moeilijk doen met software, 0-days, infiltratie van systemen, en dergelijke tech-taktieken? Jezelf ergens naar binnen 'praten' kan ook toegang tot gewenste systemen, personen of instanties opleveren. Zeker nu tegenwoordig tech zo handig kan helpen bij social engineering.

Overtuigend overkomen

Voor serieuze social engineering is wel wat meer tech nodig. Zoals Noord-Koreaanse hackers hebben ingezet om overtuigend over te komen op securityspecialisten. Niet alleen claimen dat je een collega bent, die ook op kwetsbaarheden jaagt, maar jezelf credentials bezorgen door een inhoudelijke blogsite op te tuigen. En natuurlijk daarnaast meerdere accounts op social media aanmaken die de blogs en zelfverklaarde security-experts liken, doorgeven, aanprijzen en zo schijnbaar valideren.

De Threat Analysis Group (TAG) van Google heeft deze werkwijze van staatshackers uit het communistische land geopenbaard. Diverse securitymensen wereldwijd duiken nu in geschiedenis van chatberichten en social DM's (direct messages) om te zien of zij ook benaderd zijn door wat nu social engineers blijken te zijn.

Gerechtvaardigd wantrouwen

Een vrouwelijk lid van Google's bughunting team Project Zero weet snedig op te merken dat haar security-afweer tegen dick pics net zo effectief blijken te zijn tegen Noord-Koreaanse hackers. Maar niet elke IT-beveiligingsexpert heeft de negatieve ervaringen van nogal wat vrouwen online. Toch zouden securityspecialisten niet verbaasd moeten zijn over deze serieuze vorm van social engineering. Als ze maar Robin Sage zouden kennen.

Zij is eind 2009 online gekomen, als Amerikaanse cyber threat analyst die in haar 25 jaar jonge leven al flink wat had bereikt op securitygebied. Tenminste, zo bleek uit haar accounts op Facebook, LinkedIn en Twitter én uit haar eigen worden tegen andere security-experts. Die collega's in het brede werkveld van security, cyber, inlichtingen en militaire zaken hadden niet door dat Robin Sage niet echt was. Sommige van hun gaven haar vertrouwelijke informatie, anderen 'lekten' slechts gevoelige informatie door met haar te linken.

'Mata Hari van cyberspace'

Dit ondanks het feit dat haar naam, profielen en uitlatingen redelijk gevuld waren met hints over haar nepheid. Zo is haar naam afkomstig van een grote elite-oefening van het Amerikaanse leger, die al sinds 1974 wordt gehouden. Zo ging ze prat op een MIT-opleiding en 10 jaar werkervaring, dus al vanaf haar 15e levensjaar. Natuurlijk zijn er superhackers, inclusief 'wonder women', die al op jonge leeftijd indrukwekkend werk verrichten en voor geheime diensten werken. Maar Robin is dat niet.

Zij was een Mata Hari van cyberspace; een fictieve femme fatale die de gevaren van social engineering duidelijk maakte. Wat een leerzame paper en interessante presentatie op hackersconferentie Black Hat heeft opgeleverd, door de securitymannen achter Robin. Haar Facebook- en LinkedIn-profielen zijn verwijderd, haar Twitter-profiel is leeggehaald. Maar haar lessen leven nog. Alleen kennelijk niet bij genoeg security-experts?