Studenten leren manipuleren

Liegen en bedriegen, geen vaardigheden waarvan je verwacht dat De Haagse Hogeschool ze aan haar studenten onderwijst. Toch is dat in essentie wat docent en sociaal psycholoog Michelle Ancher doet bij haar ict studenten. Nog erger: de studenten krijgen opdracht binnen te dringen bij bedrijven waar ze niets te zoeken hebben. Waarom?

Luc en Michelle

De truc is zo oud als de wereld, de Grieken pasten hem toe in Troje met het befaamde paard, en toch trapt een hightech bedrijf er ook nu nog in. Luc Pluimakers moet er om gniffelen. Met een aantal medestudenten wist hij dankzij een taart van de Hema bij een ict bedrijf binnen te dringen. Luc: “Die taart kostte een paar euro daarmee omzeilden we een veiligheidssysteem van tientallen duizenden euros.”

Beïnvloedingstechnieken leren

Het succes van deze zogeheten social engineering aanval kwam niet uit de lucht vallen. Michelle Ancher, docent bij de specialisatie Informatie Security Management, onderwees de studenten in de beïnvloedingstechnieken van Cialdini. “Twee daarvan zijn sympathie en wederkerigheid: als je iemand iets geeft, voelt hij zich genoodzaakt iets terug te doen. Het geven van iets maakt jou bovendien sympathieker en als iemand je aardig vindt, gunt hij je meer.”

Bedrijfscultuur onderzoeken

De studenten leerden ook dat ze zich moesten verdiepen in de cultuur van het bedrijf dat ze aanvielen. Luc: “ We kwamen erachter dat dit een trots bedrijf is dat overal zijn logo op plakt en graag successen deelt. Daarom kozen we voor een taart met daarop het logo en een felicitatie van een andere afdeling aan de afdeling waar we binnen moesten dringen.” Met de taart in de hand wisten de studenten het bedrijf binnen te komen, waar hun aanval werd gestuit door een beveiligingsmedewerker die even vergeten was dat hij deze studenten hun gang mocht laten gaan.

Verkeerde laptop mee

Terwijl Luc al bij een flexwerkplek aangeschoven was om het bedrijf digitaal binnen te dringen, werd hij aangesproken door de beveiligingsmedewerker “Het viel hem op dat ik geen Apple laptop had, terwijl iedereen daar met een Apple werkt. Terwijl hij met me praatte realiseerde de beveiliger wat ik kwam doen, maar toen was het te laat: een andere medewerker was al begonnen te controleren of ik in het systeem stond. Later zei hij dat als ik niet door de veiligheidsmedewerker was aangesproken, hij zich niet met mij bemoeid zou hebben.”

Netwerk binnendringen

Het was niet de eerste aanval die de studenten bij dit bedrijf uitvoerden. Ze waren al bij een andere locatie binnengedrongen door gewoon met een stel werknemers mee te lopen (tailgating). In eerste instantie lukte het niet op het bedrijfsnetwerk te komen (hun volgende doel) omdat ze het wachtwoord niet kregen, maar de studenten gaven niet op. Luc: “Het was zo’n hip ict bedrijf met een ontspanningsruimte waar een tv en een Play Station stond. Toen bedacht ik dat die ook vaak zijn aangesloten op het netwerk. Door de lan-kabel van de tv op mijn laptop aan te sluiten, kon ik zonder problemen het bedrijfsnetwerk op. Overigens was naast de relaxruimte het kantoor van een hooggeplaatste medewerker en daar zijn we ook nog binnen geweest en konden we vertrouwelijk stukken inzien.”

Zelf ervaren

Heel spannend allemaal, maar waarom geeft De Haagse haar studenten opdracht een aanval op een organisatie uit voeren?  Michelle: “Dit noemen we counter social engineering. We willen dat studenten met het uitvoeren van een aanval zelf ervaren hoe makkelijk of moeilijk het is om medewerkers te manipuleren. Als ze na hun studie bij een organisatie als information security professional aan het werk gaan, kunnen ze zich daar beter tegen wapenen.”

Leren over kwetsbaarheden

Uitgangspunt van een social engineering aanval is dat de mens vaak de meest kwetsbare factor is als het om beveiliging gaat; mensen zijn makkelijker te manipuleren dan de techniek. De organisaties (groot, klein, commercieel, non-profit) die ‘aangevallen’ worden, melden zich vrijwillig op bij De Haagse. Michelle: “Ze staan te trappelen om mee te doen. Het is een ideale manier om meer te leren over hun eigen kwetsbaarheden en hoe zich te wapenen tegen aanvallers.”

Binnenkomen lukt vaak

De deelnemende organisaties geven toestemming aan de studenten voor een aanval en slechts een zeer beperkt aantal medewerkers weet ervan, zodat de situatie voor de studenten en het bedrijf zo realistisch mogelijk is. “Het doel van de course is om middels een aanval, per telefoon, digitaal of fysiek, een ingang te vinden naar gevoelige informatie,” vertelt Michelle. “De meeste groepen lukt het om binnen te komen. Eenmaal binnen worden studenten weliswaar vaak aangesproken maar kunnen ze ook hun gang gaan.”

Ethische aspecten

Hoewel uitermate leerzaam voor student en organisatie, is het ook belangrijk stil te staan bij de ethische aspecten van zo’n aanvalsopdracht. Hoe ver ga je met het beïnvloeden van menselijk gedrag? Michelle: “Sommige studenten willen niet iemand misleiden. We zullen ze nooit dwingen om dat tegen hun zin te doen. In overleg met de aan te vallen organisatie tekenen de studenten een geheimhoudingsverklaring, daarnaast stellen ze zelf een protocol op hoe ze omgaan met vertrouwelijke info.”

Nadenken over consequenties

Tijdens de les daagt Michelle haar leerlingen uit na te denken over wat ethisch verantwoord is. “Hoe ga je bijvoorbeeld om met het rapporteren van verkeerd gedrag van medewerkers? Mijn advies is: rapporteer alleen resultaten die relevant zijn voor je doel. Is het echt nodig om de naam van de medewerker te noemen? Meestal volstaat het om de naam van de afdeling te noemen. Denk goed na over de consequenties van je handelen, over de gevolgen van je aanval. En houd je hierbij uiteraard aan de wet. Denk vooral zelf na: de praktijk is niet zwart-wit, er is veel grijs gebied.”

Makkelijk te manipuleren

Hoe kijken studenten aan tegen de social engineering opdracht en de ethische kant ervan? Luc: “Het was spannend, de adrenaline gierde soms door je lijf. Ik vond het niet moeilijk om onwaarheden te vertellen, maar dat komt omdat er voor ons geen gevolgen waren, zoals een straf.  We hebben vooraf nagedacht over de ethische kant en een ethisch protocol opgesteld. Het was een zeer leerzame opdracht. Ik weet nu hoe belangrijk bedrijfscultuur is en dat de mens een zwakke schakel is die heel makkelijk te manipuleren is.”

Meer lezen? Kijk bij de opleiding HBO-ICT en het lectoraat Cybersecurity.