Maandelijkse vulnerability scanning: Eerste maand kosteloos! Meer informatie →
Hero

WIJ ZIJN

HACKIFY

Wat is een mystery guest pentest

Icon van een mystery guest pentest

Technische beveiliging is maar één kant van het verhaal. Een goede firewall, een intrusion detection systeem en sterke versleuteling stellen weinig voor als een aanvaller gewoon via de voordeur naar binnen loopt. De fysieke beveiliging en de oplettendheid van uw medewerkers zijn vaak de zwakste schakel, en een beveiliging is zo sterk als de zwakste schakel.

Een mystery guest pentest (kort voor mystery guest penetratietest, ook wel physical penetration test of social engineering assessment genoemd) test die fysieke kant. Onze pentesters bezoeken uw locatie onopvallend en proberen, zonder dat uw medewerkers het weten, binnen te komen in het gebouw, in gevoelige ruimtes en bij uw systemen. Precies zoals een echte aanvaller dat zou doen.

Of het nu gaat om tailgating, badge cloning, social engineering of een usb-drop: een mystery guest pentest laat zien hoe goed uw organisatie beschermd is tegen fysieke en menselijke dreigingen. Het draait hier niet om techniek, maar om mensen, procedures en fysieke controles.

Waarom en wanneer is een mystery guest pentest belangrijk?

Een aanvaller die fysiek bij uw locatie binnenkomt, kan malware installeren, gegevens stelen, een badgesysteem klonen of rechtstreeks bij uw netwerk. Uw technische beveiliging merkt daar vaak niets van.

Een mystery guest pentest is verstandig in onder meer deze situaties:

  • Bij een nieuwe kantoorlocatie, om de fysieke beveiliging te controleren voordat uw medewerkers verhuizen
  • Om aan te tonen dat u voldoet aan ISO 27001, NIS2 of branche-eisen rond fysieke beveiliging
  • Om te zien of uw security-trainingen het gewenste effect hebben
  • Na een wijziging in uw toegangssystemen, zoals nieuwe badgelezers, biometrie of nieuwe procedures
  • Na een inbraak of social engineering-aanval, om te controleren of uw verbeteringen werken

Test niet alleen uw techniek, maar ook de fysieke en menselijke kant. Voor een aanvaller is een medewerker vaak het makkelijkste doelwit.

Welke technieken worden gebruikt?

Welke technieken onze pentesters inzetten, hangt af van het scenario en van de branche waarin u werkt. Elke omgeving is anders, en dat bepaalt welke aanpak het beste past.

Fysieke toegangstechnieken

  • Tailgating: meelopen met iemand die wél een geldige badge heeft
  • Badge cloning: het kopiëren van toegangspassen
  • Lock picking: een fysiek slot openen zonder sleutel
  • Piggybacking: meelopen door een deur die een medewerker net opent
  • Zoeken naar deuren, ramen of andere ingangen die niet beveiligd zijn

Social engineering-technieken

  • Pretexting: een valse identiteit aannemen, bijvoorbeeld die van een leverancier of sollicitant
  • Vishing: telefonisch informatie ontfutselen over de organisatie en haar procedures
  • Face-to-face contact om gevoelige informatie los te krijgen
  • Inspelen op autoriteit of urgentie om een medewerker te overtuigen

Technieken na binnenkomst

  • Usb-drops: geprepareerde usb-sticks achterlaten (rubber ducky-aanvallen)
  • Aansluiten op een ethernetpoort in een openbare ruimte
  • Gevoelige documenten en informatie verzamelen
  • Inloggen op een onbeheerde werkplek of computer

Waarom kiezen voor Hackify?

  • Onze ethische hackers hebben minimaal 5 jaar ervaring en 3 certificaten, met de juiste expertise per testonderdeel. Dat ligt boven het branchegebruik van 1 jaar en 1 certificaat.
    • Onze pentesters deden responsible disclosures bij onder meer Philips, Zoom, Oracle en de Politie.
    • Ze wonnen prijzen bij hackcompetities als Hack010, PVIB CTF, Hackerhotel en HackTheHague.
  • Wij hebben ervaring met fysieke pentesten, social engineering en red teaming.
  • U heeft direct contact met de pentester die uw test uitvoert, zonder accountmanager ertussen.
  • Een mystery guest pentest kunnen wij meestal binnen 2 tot 3 weken inplannen.

Meer over onze aanpak en expertise leest u op de pagina over ons.

Plan uw mystery guest pentest

Wilt u weten hoe kwetsbaar uw fysieke beveiliging is? Neem dan vrijblijvend contact met ons op. We vertellen u graag meer over ons bedrijf en onze aanpak, en horen graag wat de scope van uw locatie is.

Elke locatie en elk scenario is anders, dus stellen wij voor elke opdracht een voorstel op maat op. Een pentest kan binnen 3 weken van start. De uitvoering duurt, afhankelijk van het type test en de complexiteit, tussen 1 dag en 2 weken.

Klaar voor een mystery guest-test?

Wij proberen ongeautoriseerd uw kantoor binnen te komen en laten zien waar fysieke security verbetering nodig heeft. Vraag een voorstel op maat aan.

Neem contact op

Of mail ons direct via [email protected]

Veelgestelde vragen over mystery guest pentests

Wat is het verschil tussen een mystery guest pentest en een reguliere pentest?

Een mystery guest pentest kijkt naar de fysieke beveiliging en naar social engineering op locatie. Wij onderzoeken dan:

  • de fysieke toegangscontrole en beveiliging
  • social engineering en de security-awareness van uw medewerkers
  • scenario’s met badge cloning en tailgating
  • onbeheerde werkplekken en zichtbare gevoelige gegevens
  • fysieke inbraak en red teaming

Een reguliere pentest onderzoekt uw technische systemen. Een mystery guest pentest test de menselijke en fysieke kant van uw beveiliging.

Wat kost een mystery guest pentest?

De prijs van een mystery guest pentest is afhankelijk van de scope, het aantal locaties en andere aspecten zoals maatwerk en specifieke vereisten. Na een intakegesprek stellen wij een passend voorstel voor u op dat aansluit bij uw situatie.

Welke scenario’s kunnen jullie testen?

Onze pentesters kunnen verschillende realistische scenario’s spelen:

  • als bezoeker of leverancier proberen binnen te komen
  • via een sollicitatiegesprek toegang krijgen tot het gebouw
  • zich voordoen als schoonmaker of onderhoudsmonteur
  • binnenkomen alsof ze een nieuwe collega zijn
  • meelopen met iemand die wél geautoriseerd is (tailgating)
  • geprepareerde usb-sticks achterlaten (een rubber ducky)

We stemmen elk scenario vooraf met u af. Het doel is steeds om te zien hoe goed uw beveiliging stand houdt.

Hoe lang duurt een mystery guest pentest?

Hoe lang een mystery guest pentest duurt, hangt af van de complexiteit en de testvorm die u kiest:

  • een basistest op één locatie: gemiddeld 1 tot 2 dagen
  • een uitgebreide mystery guest pentest: gemiddeld 3 tot 5 dagen
  • een red team-operatie met meerdere scenario’s: gemiddeld 1 tot 2 weken

Wat zijn de meest voorkomende fysieke security kwetsbaarheden?

De zwakke plekken die wij bij fysieke beveiliging het vaakst tegenkomen:

  1. Tailgating: medewerkers die iemand binnenlaten zonder de badge te controleren
  2. Onbeveiligde toegangsdeuren die niet goed sluiten of zonder badge opengaan
  3. Onbeheerde werkplekken, met een computer die niet vergrendeld is en documenten in het zicht
  4. Zwakke badgesystemen, waarbij passen gekopieerd of gedeeld worden
  5. Te weinig security-awareness, waardoor niemand een onbekende een vraag stelt
  6. Onbeveiligde serverruimtes, toegankelijk zonder controle
  7. Usb-baiting: medewerkers die een gevonden usb-stick in hun computer steken
  8. Dumpster diving: gevoelige documenten die in het afval belanden
  9. Fysieke sloten die eenvoudig open te krijgen zijn
  10. Social engineering, waarbij medewerkers gevoelige informatie delen met een onbekende

Via deze zwakke plekken kan een aanvaller ongezien naar binnen, gegevens stelen of malware achterlaten.