Blog: Ervaringen van een Mystery Guest

04 dec 2018

Organisaties willen hun kroonjuwelen maximaal beschermen, zowel digitaal als fysiek. Digitaal zijn er vaak al stappen gemaakt, mede doordat dit aspect vaak in de media wordt uitgelicht en de gevaren van het niet goed digitaal beveiligen worden benadrukt. Denk aan alle nieuwsberichten over hacks, phishing- en ransomware-aanvallen. Toch zien we bij NextTech Security een toenemende interesse in fysieke beveiliging. Regelmatig krijgen we de opdracht van organisaties om hun kantoren fysiek te laten infiltreren door een mystery guest. Ze willen daarmee inzicht krijgen in wat er door insluipers te halen valt. Wij achterhalen het merk printer, trekken onze printermonteur-vermomming aan en gaan op pad!

Wat onderzoeken we?

Inzicht in bewustzijn en gedrag met een mystery guest onderzoekIn de basis onderzoeken we hoe veiligheidsbewust de organisatie is en hoe medewerkers handelen. Ons onderzoek begint al bij de ingang van een kantoor. Hoe makkelijk kunnen wij ongeautoriseerd toegang krijgen tot het pand? Eenmaal binnen kijken we hoe makkelijk we door het gebouw kunnen rondlopen en of we toegang kunnen krijgen tot werkruimtes en technische of serverruimtes. Daarnaast kijken we of clean desk wordt nageleefd door vast te stellen of medewerkers gevoelige documenten opruimen, werkstations vergrendelen als ze niet op hun werkplek zitten, archieven afsluiten en printerruimtes netjes houden. Een ander onderzoeksdoel is om vast te stellen hoe gevoelig medewerkers zijn voor social engineering. Zijn ze te manipuleren om vertrouwelijke gegevens, zoals inloggegevens, af te staan?

Waar schuilen de gevaren?

Bepaald vertoond gedrag is toe te dichten aan het feit dat medewerkers niet bewust zijn van deze eenvoudige werkmethode van criminelen. Eenmaal ge├»nfiltreerd gaan ze er van uit dat de “bezoeker” legitiem is en dus geen kwaad in de zin heeft. Iemand die langs de receptie is gekomen zal er wel met een reden zijn. Daarnaast spelen we tijdens deze onderzoeken handig in op factoren waar mensen gevoelig voor zijn, namelijk hulpvaardigheid en goedgelovigheid. Waarom zou iemand twijfels hebben bij onze printermonteur die een reparatie moet uitvoeren en daarom even moet plaatsnemen achter een systeem van een medewerker om wat instellingen te checken?

Wat komen we zoal tegen?

  • Toegang tot panden: Vrijwel elk onderzoek verbazen we ons weer hoe makkelijk het is om ons langs de receptie te manoeuvreren zonder vragen te krijgen. Zijn er toegangspoortjes? Dan is tailgating (achter elkaar aan lopen) vaak geen probleem, dit doen medewerkers onderling ook vaak. Desnoods springen we eroverheen. Een paar vreemde blikken, maar aangesproken worden we niet. We zien vaak dat organisaties te veel vertrouwen op systemen zoals toegangspoortjes of -pasjes, maar dat de procedures rondom deze systemen niet goed worden nageleefd. Zo worden pasjes vaak meegegeven zonder dat bezoekers geverifieerd worden.
  • Toegang tot ruimtes: Veel ruimtes blijken in de praktijk niet op slot, zelfs het kantoor van de directeur. Hoewel de technische ruimtes vaak wel op slot zitten krijgen we door middel van social engineering ook relatief gemakkelijk toegang tot deze ruimtes. Een beetje bluffen en zelfverzekerdheid doen in dit geval wonderen. Vaak loopt de medewerker die de ruimte heeft geopend ook weg, zodat de onderzoeker vrij zijn gang kan gaan.
  • Schermvergrendeling: Eenmaal op de afdelingen zien we vaak lege werkplekken waar het scherm van de pc niet vergrendeld is. Dit gebeurt echt niet alleen bij korte afwezigheid. Vaak lopen we later nog een rondje en treffen we precies hetzelfde aan. De onderzoeker kan plaatsnemen en heeft zo direct toegang tot het systeem.
  • Clean desk: Hoewel veel organisaties aandringen op clean desk blijkt dit in de praktijk niet helemaal te worden nageleefd. Vaak komen we telefoons, portemonnees, facturen en documenten met persoonsgegevens tegen. Deze liggen gewoon voor het oprapen. En ook al worden documenten netjes opgeborgen, lades en archiefkosten worden vaak niet goed afgesloten.
  • Plaatsnemen achter werkstations: De vraag of we mogen plaatsnemen achter werkstations wordt in de meeste gevallen positief beantwoord. Regelmatig krijgen we de reactie “oja, ik ondervond al problemen met printen” of “de printer was inderdaad al een tijd stuk”. Als we vervolgens “per ongeluk” het scherm locken en vragen om het wachtwoord, geven veel medewerkers zonder verdere vragen hun wachtwoord! Alles valt of staat met een legitieme klinkende smoes.
  • Behulpzaamheid van medewerkers: Medewerkers willen zo behulpzaam mogelijk zijn. We worden zelden aangesproken, omdat men ons werk niet wil belemmeren. En waarom zou iemand twijfelen als onze onderzoeker hem of haar op de man af vraagt om hem even te helpen?

Wat te doen als je nattigheid voelt?

Maar zeker ook wanneer je geen nattigheid voelt en er van overtuigd bent dat het om een legitieme bezoeker of externe partij gaat zonder kwade bedoelingen: volg altijd de procedures die jouw organisatie heeft opgesteld. Deze zijn in het leven geroepen om incidenten te voorkomen. Een paar tips die we alvast willen meegeven:

  1. Ken je een persoon niet? Spreek hem aan en neem contact op met zijn contactpersoon.
  2. Vergrendel altijd je scherm als je je werkplek verlaat, ook al is het maar voor even.
  3. Houd je bureau opgeruimd en bewaar gevoelige informatie in goed afgesloten lades of kasten.
  4. Laat nooit zomaar iemand achter jouw werkstation zitten en op jouw account handelingen uitvoeren. Verwijs door naar de contactpersoon.
  5. Strikt persoonlijke gegevens zoals wachtwoorden hoef je NOOIT te delen.
  6. Doe ALTIJD direct melding van verdachte bezoekers en verzoeken!

Het is van groot belang dat medewerkers kennis hebben van de manieren waarop criminelen organisaties duperen. Bewustwording is hier essentieel. Vaak zien we dat organisaties pas actie ondernemen als er zich een incident heeft plaatsgevonden. Wees criminelen dus een stap voor door personeel goed op te leiden, want het kan elke organisatie overkomen. Bekijk eens onze online leeroplossing.

NextTech Security is specialist in mystery guest onderzoeken

Laat medewerkers het gevaar van een mystery guest ervaren! Krijg inzicht in het veiligheidsniveau, gedrag en de mate van bewustzijn binnen de organisatie. Zijn medewerkers alert genoeg om mystery guests te ontmaskeren en kunnen ze gemanipuleerd worden om vertrouwelijke gegevens af te geven? Test het! Een onderzoeker van NextTech Security komt langs op locatie, bijvoorbeeld in de rol van printermonteur, om de organisatie te infiltreren.

Kijk ook eens op nexttech.nl/social-engineering voor de andere social engineering onderzoeken. Of lees onze blog over telefonische phishing.

Terug naar het overzicht