Wat is social engineering?

Social engineering is een manipulatietechniek waarbij de aanvaller mensen verleidt om bepaalde interacties uit te voeren om persoonlijke informatie of toegang te krijgen tot een computersysteem. Het is een vorm van misleiding waarbij gebruik wordt gemaakt van het vertrouwen van de mens en de natuurlijke bereidheid om te helpen. En precies dat is de reden waarom het vaak succesvol is.

Social engineering komt online maar ook fysiek voor. Laten we een aantal voorbeelden geven. De eerste drie zijn echte klassiekers.

Methoden waarbij social engineering wordt ingezet

Phishing: via een e-mailbericht die te vertrouwen lijkt wordt er geprobeerd persoonlijke of bedrijfsmatige gegevens binnen te hengelen. Veelal zit er een link in de tekst verwerkt die naar een valse website leidt of is er een bijlage met malware in de attachment. Onder phishing hangen tegenwoordig ook de varianten vishing (voice phishing) en smishing (sms-phishing). Laatste is ondertussen grotendeels verhuisd naar Whatsapp.

Pretexting: een social engineer doet zich voor als een collega of een andere betrouwbare bron, komt met een overtuigend verhaal en vraagt vervolgens om vertrouwelijke informatie of om geld over te maken.

Whaling: een vorm van phishing die zich richt op hooggeplaatste personen, zoals directeuren of CFO's. De andersom-variant, waarbij een crimineel zich voordoet als een hooggeplaatst persoon om personeel te misleiden heet CEO-fraude.

Baiting: Dit is grotendeels hetzelfde als phishing, met het verschil dat hierbij gebruik wordt gemaakt van fysieke items zoals een USB-stick. Het item wordt op een zichtbare plek achtergelaten met het uitgangspunt dat nieuwsgierigheid het wint van voorzichtigheid.

Tailgating en piggybacking: bij tailgating loopt iemand snel met een ander mee een bedrijfsgebouw in. Bij piggybacking is het doel hetzelfde maar wordt er om toegang gevraagd door bijvoorbeeld te zeggen dat hij zijn pasje is vergeten.

Quid Pro Quo: "Ik geef jou iets, jij geeft mij iets terug." Er wordt bijvoorbeeld gratis software aangeboden, in ruil daarvoor wordt er toegang gevraagd tot je systeem.

Bedenk ook dat social media een waardevolle bron van informatie is. Omdat veel sociale media-accounts openbaar staan kunnen gegevens worden opgehaald, zoals de naam van een kind, de plek waar je woont of werkt, dat misbruikt kan worden voor bijv. pretexting.

Hoe kun je je beschermen tegen social engineering?

• Wees sceptisch en verifieer de identiteit van mensen die om vertrouwelijke informatie vragen, vooral via e-mail of telefoon.
• Geef nooit persoonlijke informatie door, zoals je wachtwoorden of creditcardnummers, aan iemand die je niet kent.
• Wees voorzichtig met wat je online deelt.
• Houd je antivirus software up-to-date.
• Hanteer een sterk wachtwoordenbeleid.
• Zorg ervoor dat de toegang tot gevoelige gebieden in het bedrijf beperkt is en gebruik beveiligingsbadges.
• Volg trainingen op het gebied van cyberveiligheid.

Volg trainingen

Zo’n lijst als hierboven klinkt duidelijk en logisch maar als puntje bij paaltje komt kun je nog steeds in de val lopen. Om dat risico te beperken helpt het om met voorbeelden uit de praktijk te trainen. Op een security awareness trainingsplatform kunnen medewerkers een trainingstraject volgen waarbij veel wordt herhaald en opgedane kennis wordt getoetst. Extra prettig is dat de voortgang in rapportages wordt bijgehouden, zo kan je precies zien waar risico’s kleiner worden en waar nog herhalingen nodig zijn.

Social engineering kan een lastige tegenstander zijn, maar met de juiste kennis en bewustzijn kunnen werkgevers en werknemers samenwerken om hun organisatie te beschermen.

Security awareness dossier

Dit is het vijfde deel uit het dossier. In het vierde artikel gaven we meer inzicht in phishing, in het volgende stuk gaan we dieper in op het beveiligen van apparaten.