Social engineering is het verleiden van personen om gevoelige informatie prijs te geven of een bepaalde actie te ondernemen. Deze manier van iemand gegevens aftroggelen of iets laten doen, speelt in op de natuurlijke neigingen en emotionele reacties van mensen.
Cybercriminelen gebruiken social engineering-tactieken omdat het meestal eenvoudiger is om iemands natuurlijke neiging tot vertrouwen uit te buiten dan op zoek te gaan naar technische mankementen en kwetsbaarheden in software. Zo is het veel makkelijker om iemand zo voor de gek te houden dat diegene jou zijn wachtwoord geeft, dan om zelf te proberen dat wachtwoord te kraken. Bij social engineering kan het gaan om telefoongesprekken, e-mails, appjes of sms’jes. Er is een enorme verscheidenheid aan methodes om gebruikers over te halen gevoelige informatie prijs te geven. Cybercriminelen doen zich niet zelden voor als bijvoorbeeld medewerkers van de bank of van de helpdesk.
Hoe gaat zo’n aanval in zijn werk?
Hoewel criminelen hun tactieken en methodes voortdurend ontwikkelen, volgen de meeste aanvallen een bepaald patroon. Eerst verzamelt een aanvaller achtergrondinformatie, dat wordt ook wel het profileren van het slachtoffer genoemd. Vervolgens wordt er gekozen op welke manier contact wordt gelegd met het slachtoffer en probeert de aanvaller een vertrouwensband te creëren om er zo voor te zorgen dat het slachtoffer zonder al te veel argwaan gevoelige informatie deelt. Zodra die gegevens binnen zijn, kan de crimineel daarmee zijn aanval uitvoeren. Dat kan bijvoorbeeld inhouden dat toegang wordt verkregen tot systemen met behulp van verkregen wachtwoorden, dat een klassiek geval van identiteitsdiefstal wordt uitgevoerd of dat de informatie wordt gebruiken voor persoonlijk of politiek gewin.
Wie worden er slachtoffer van social engineering?
Social engineering-aanvallen zijn zeer gevaarlijk voor zowel individuen als bedrijven, omdat in beide gevallen grote geldbedragen van het slachtoffer kunnen worden ontvreemd. Zo werd Toyota Boshoku Corporation, een toeleverancier van Toyota, in 2019 slachtoffer van een social engineeringaanval die hen 37 miljoen dolle kostte. De aanvallers richtten zich op medewerkers van de financiële afdeling en deden zich voor als hoger management. De cybercriminelen verstuurden e-mails vanaf een vals (maar echt lijkend) zakelijk e-mailaccount waarin ze verzochten om een accountwijziging. Op die manier werden de financieel medewerkers er met succes toe aangezet om grote sommen geld over te maken naar rekeningen die door de cybercriminelen werden beheerd.
Hoe herken ik social engineering?
Als je weet op welke manieren mensen te beïnvloeden zijn, is het eenvoudiger om de rode vlaggen van social engineering te herkennen. Verzoeken om bepaalde soorten gevoelige informatie, zoals inlog- of bankgegevens, moeten je altijd alert maken. Ook aanbiedingen die te mooi lijken om waar te zijn, moeten alarmbellen doen rinkelen. Natuurlijk klik je nooit op links in een mail van een onbekende afzender, maar ook bij afzenders die er wél bekend uitzien, ben je op je hoede.
Social engineering is een algemene term die verwijst naar een brede waaier van manipulatietactieken die cybercriminelen gebruiken om informatie te verwerven. Wanneer je bekend raakt met deze verschillende vormen, ben je beter op je hoede en tuin je minder snel in de mooie praatjes. Dat geldt ook voor de medewerkers van je organisatie. Zorg dat iedereen bekend is met social engineering, de gevaren en hoe het te herkennen.
1. Baiting
Dit is een aanval waarbij de crimineel het slachtoffer verleidt met een gratis iets om ze te verleiden op een link te klikken. Denk aan een gratis muziek- of filmdownload die aansluit bij de interesses van het slachtoffer. Bij deze vorm van social engineering moet het slachtoffer dus in het aas van de aanvaller happen om de aanval te laten slagen.
2. Phishing
Phishing is een bekende manier om informatie van een onwetend slachtoffer te stelen. Hoewel steeds meer mensen weten wat phishing is, is het nog steeds een succesvol middel voor cybercriminelen. De aanvaller stuurt meestal een e-mail of app naar het doelwit, op zoek naar informatie die kan helpen bij een belangrijker misdrijf. Wanneer deze informatie via de telefoon afhandig wordt gemaakt, spreken we ook wel van ‘vishing’, met de ‘v’ van ‘voice’. We onderscheiden in deze categorie ook nog ‘whaling’ en ‘spear phising’, waarbij de laatste een phishing-aanval is die is gericht op een specifiek persoon (waarbij de cybercriminelen vooral veel werk maken van het profilen). Wanneer het gaat om een hooggeplaatst iemand, bijvoorbeeld leidinggevenden of C-level medewerkers, praten we over ‘whaling’ (dat zijn immers de grote vissen).
3. E-mail hacking en contact spamming
Dit is de basis onder veel Whatsapp-fraude. Het ligt namelijk in de menselijke aard om aandacht te besteden aan berichten van mensen die we kennen. Sommige criminelen maken hier handig misbruik van door e-mailaccounts of adresboeken in je telefoon te stelen en contactpersonen te spammen.
4. Pretexting
Bij pretexting doet een crimineel zich voor als een vertegenwoordiger van een vertrouwde organisatie met als doel gevoelige informatie te verkrijgen. Deze aanvalsvorm wordt veel gebruikt voor het verzamelen van informatie voordat de daadwerkelijke aanval wordt ingezet.
5. Quid pro quo
Dit is een variant op Baiting, waarbij er sprake lijkt van een ruil: ik geef jou iets, jij geeft mij iets. De cybercrimineel belooft bijvoorbeeld een dienst of voordeel als het slachtoffer in ruil daarvoor op een bepaalde link klikt (die malware installeert). Het ziet eruit als een eerlijke ruil, maar dat is het natuurlijk nooit.
6. Omgekeerde social engineering
Bij deze aanvalsvorm overtuigt de aanvaller het slachtoffer ervan dat diegene een probleem heeft. Natuurlijk heeft de aanvaller dé oplossing voor dat probleem. Hij probeert het slachtoffer zo ver te krijgen dat die uit zichzelf contact opneemt met de aanvaller om te helpen zijn probleem op te lossen.
Hoe bescherm ik mijn bedrijf tegen social engineering?
De beste vorm van preventie is het trainen van alle werknemers in je bedrijf. Wanneer iedereen weet hoe ze social engineering-tactieken kunnen herkennen, is het eenvoudiger om ze te vermijden. Een aantal tips die hierbij kunnen helpen:
- Onderzoek de bron van alle verdachte telefoontjes, e-mails en berichten. Klik nooit zomaar op koppelingen en open geen bijlagen die afkomstig zijn van afzenders die u niet kent of vertrouwt.
- Wees direct alert wanneer er om gevoelige gegevens wordt gevraagd of wanneer er onder hoge druk grote transacties moeten worden uitgevoerd.
- Wees ook op je hoede voor onverwachte verzoeken om hulp
- Zorg voor een solide beveiligingsoplossing op je IT-systemen en houdt (al) je software up-to-date.
- Gebruik altijd sterke wachtwoorden en een wachtwoordmanager. Laat iedereen in het bedrijf dat doen.
- Gebruik zo min mogelijk openbare WiFi en wanneer dat toch noodzakelijk is, maak dan gebruik van een VPN.
- Maak gebruik van de spamfilters in je e-mailprogramma.
- Vraag hulp aan een securityspecialist of aan je IT-dienstverlener als je ergens over twijfelt.
