Waar cybercriminelen zich voor een inbraak vaak richten tot de ‘technische’ kant van computernetwerken, zoals het uitbuiten van kwetsbaarheden, gaat social engineering anders te werk. Dit type cybercrime focust zich namelijk op de gebruiker zelf om toegang te verschaffen tot kostbare data. Wat social engineering juist is en hoe je je er tegen kan wapenen, lees je in deze blog.
Wat is social engineering?
Social engineering is een vorm van cybercriminaliteit die zich richt tot de zwakste schakel in computerbeveiliging: de gebruiker zelf. Hackers spelen hier in op menselijke emoties zoals angst, vertrouwen, nieuwsgierigheid en onwetendheid. Het doel van social engineering? Vertrouwelijke informatie bemachtigen waarmee ze toegang kunnen verkrijgen tot data, geld of andere kostbare zaken. Bij social engineering neemt de cybercrimineel een valse identiteit aan om zo het vertrouwen te winnen van het slachtoffer.
Welke social engineering technieken worden het meest gebruikt?
Er bestaan verschillende technieken die cybercriminelen toepassen om de gevoelige data van slachtoffers te bekomen. De meest gebruikte zijn de volgende:
Phishing
Phishing is de meest gekende en meest gebruikte variant van social engineering. Phishing (letterlijk vertaald: vissen, naar belangrijke informatie) is een vorm van internetoplichting waarbij grotendeels gebruik gemaakt wordt van valse e-mails, die in eerste instantie afkomstig lijken te zijn van officiële instanties, vrienden, collega’s of organisaties. De hacker vraagt het slachtoffer om bijvoorbeeld op een link in een e-mail te klikken of om een bijlage te openen om het systeem op die manier te infecteren met malware, kostbare data buit te maken of een betaling te ontvangen.
Baiting
Baiting is vergelijkbaar met phishing, maar hier beloven cybercriminelen de toegang tot een (digitaal) product aan het slachtoffer. Dit kan een gratis film zijn die beschikbaar wordt gesteld na het klikken op een link of het downloaden van een bestand. Of een fysiek artikel dat zogezegd opgestuurd wordt per post.
Een andere vorm van baiting richt zich tot de natuurlijke nieuwsgierigheid van mensen om een fysieke handeling uit te voeren. Cybercriminelen laten bijvoorbeeld een usb-stick met malware achter op een goed gekozen plaats. Vroeg of laat zal iemand deze stick aan een computer of laptop koppelen met alle gevolgen van dien. Het kan dus ook een zogenaamde promotionele usb stick zijn met valse data erop.
Tailgating
Nog een vorm van fysieke social engineering is tailgating. Hierbij proberen cybercriminelen toegang te verkrijgen tot beveiligde locaties waar ze zelf geen toegangsrechten tot hebben. Dit doen ze o.a. door medewerkers die wel de juiste rechten hebben te volgen naar deze locatie vermomd als pakjeskoerier of onderhoudswerker. Vooral in kleinere bedrijven kan dit type van social engineering succesvol zijn.
Spear phishing
Spear phishing is een zeer gerichte vorm van phishing die zich richt op één individuele persoon of een specifiek gekozen bedrijf. Bij deze vorm van social engineering doet de aanvaller zich voor als een bekende persoon uit het netwerk van het slachtoffer zoals een familielid, vriend, kennis of collega. Meestal wordt er via e-mail of een persoonlijk bericht op sociale mediakanalen contact gelegd met het slachtoffer via een nep-account. Aangezien het bericht van een ‘bekende’ komt, laten veel personen zich helaas vangen door deze vorm van social engineering.
Pretexting
Bij deze variant van social engineering verzint de hacker een achtergrondverhaal om het slachtoffer te manipuleren en zo in te spelen op de gevoelens om kostbare data of een betaling los te frutselen.
“Social engineering is een vorm van cybercriminaliteit die zich richt tot de zwakste schakel in computerbeveiliging (de gebruiker zelf) om vertrouwelijke informatie of geld te bemachtigen.”
Hoe kan je de valkuil van social engineering voorkomen?
Gelukkig zijn er een aantal maatregelen die je kan nemen om je te beschermen tegen social engineering.
Gebruik je gezond verstand
Wees alert wanneer je (online) communiceert met anderen. Lijkt iets te goed om waar te zijn of kom je een verdacht bericht of vreemde vraag tegen? Verifieer dan de herkomst van deze boodschap door de persoon van wie hij lijkt te komen, rechtstreeks te benaderen op een andere manier. Wees kritisch wanneer je e-mails ontvangt met een link of bijlage erin.
Deel niet teveel informatie online
Wees voorzichtig met de informatie die je online kenbaar maakt. Dit vooral om social engineering bij anderen in je netwerk te voorkomen. Sociale mediakanalen zoals Facebook, Instagram en Twitter worden gretig gebruikt om een blik achter de schermen te geven van iemands leven. Deze kanalen vormen dan ook een openbare databank voor hackers.
Stel een IT veiligheidsbeleid op
Binnen je organisatie stel je best een IT veiligheidsbeleid op. Bepaal hierin op welke manier er wordt omgegaan met (digitale) data en welke tools er mogen gebruikt worden. Schrijf noodprocedures uit en werk werkinstructies uit voor de manier van werken binnen je bedrijf zodat er steeds een vaste workflow wordt gevolgd. Hackers die hiervan proberen af te wijken, zullen zo al een alarmbel doen rinkelen.
Voorzie degelijke beveiligingstools
Bedreigingen proactief opsporen en liquideren? Dat kan met behulp van een degelijke beveiligingssoftware in combinatie met filtering en monitoring. Een kleine investering die je veel ellende, tijd en geld kan besparen. Richt je beveiligingstools zo in dat bij social engineering bepaalde handelingen kunnen geblokkeerd worden. Maak het bijvoorbeeld onmogelijk om usb-sticks in computers te kunnen uitlezen.
Werk met toegangsbeperking
Hebben al je medewerkers toegang tot alle digitale en offline data, en tot alle fysieke locaties binnen je bedrijf? Dat is meestal geen goed idee. Beperk toegangen steeds tot de strikt noodzakelijke en scherm je kostbare data af via gebruikersrechten en rollen. Zo beperk je de potentiële gevolgen van social engineering wanneer een collega toch in de val trapt.
Sensibiliseer je team
Een waakzaam oog kan veel voorkomen! Train je medewerkers om alert te zijn ten opzichte van cybercriminaliteit. Organiseer een workshop, deel regelmatig artikels en voer geregeld tests uit.
