Mystery visit: van fysieke toegang tot volledige domeinovername
In de wereld van digitale beveiliging ligt de nadruk vaak op IT-systemen en data. Toch is fysieke beveiliging minstens zo belangrijk. Want als iemand eenvoudig een gebouw kan binnendringen, liggen systemen en informatie alsnog bloot. Een effectieve manier om dit te testen is een mystery visit. In deze blog lees je wat een mystery visit is, welke risico’s het blootlegt en hoe onze dochterorganisatie RedTeam bij een klant een volledige domeinovername wist te realiseren.
Mystery visit?
Een mystery visit is een penetratietest waarbij een beveiligingsexpert zich voordoet als een kwaadwillende die fysieke toegang probeert te krijgen tot het pand van een organisatie. Het doel: vaststellen hoe effectief de fysieke beveiligingsmaatregelen zijn en welke zwaktes een aanvaller zou kunnen misbruiken.
Onze dochterorganisatie RedTeam voerde zo’n scenario uit bij een klant. Vanuit een simpele mystery visit werd niet alleen het Nederlandse hoofddomein, maar ook internationale vestigingen gecompromitteerd.
Stap voor stap
Fase 1: Voorverkenning
Een RedTeam-tester voerde een eerste observatie uit. Hierbij werd gekeken hoe de receptie reageerde op onbekenden en hoe het gebouw was ingericht. De receptionist bleek alert: vreemden werden direct aangesproken. Dit bood echter ruimte voor een tactiek met twee mystery guests: één die afleidde, en één die ongemerkt kon doorlopen.
Fase 2: De aanval
Tijdens de daadwerkelijke aanval bleek het al voldoende om met één mystery guest naar binnen te gaan. De receptiedeur stond halfopen, waardoor de receptionist de binnendringer niet zag. De tester liep door naar een computerlokaal waar meerdere medewerkers aanwezig waren. Omdat de aanwezigheid niet verdacht werd gevonden, kreeg de mystery guest vrij spel.
Daar ontdekte RedTeam cruciale zwakheden:
- Computers zonder gebruikersaccounts: directe toegang was mogelijk.
- Geen Network Access Control (NAC): een dropbox kon geplaatst worden om later extern verbinding te maken.
- Mogelijkheid om vanaf de computer een tunnel op te zetten naar een RedTeam-server.
Met deze toegang werden kwetsbaarheden verder uitgebuit. Zo verkreeg RedTeam domeinadministrator-rechten en konden opgeslagen inloggegevens uit browsers worden uitgelezen. Hiermee was laterale beweging naar buitenlandse domeinen mogelijk. Omdat deze omgevingen identiek waren geconfigureerd, konden dezelfde kwetsbaarheden opnieuw worden misbruikt – met volledige domeinovername als gevolg.
Fysiek én digitaal grijpen in elkaar
Het niet aanspreken van onbekenden in het gebouw lijkt misschien klein, maar kan grote gevolgen hebben. Zeker in combinatie met onbeschermde computers en ontbrekende netwerkbeveiliging. In dit scenario leidde het tot volledige domeincompromittering, inclusief internationale omgevingen.
Dit laat zien dat fysieke en digitale beveiliging onlosmakelijk verbonden zijn. Regelmatige evaluatie en tests – zowel op menselijk handelen als op technische maatregelen – zijn cruciaal om grip te houden op je totale veiligheidspositie.
Jouw fysieke beveiliging testen
Benieuwd wat een mystery visit kan blootleggen binnen jouw organisatie? Onze dochterorganisatie RedTeam voert realistische fysieke penetratietests uit die direct inzicht geven in kwetsbaarheden en verbeterpunten.