Social engineering: zo werkt het

Herken de gevaren en laat je niet manipuleren

Social engineering - vrouw laptop shock

De zwakste schakel in je cybersecurity? Dat is de mens (lees: jijzelf en je personeel). En dat weten cybercriminelen ook. Die spelen daar gretig op in met social engineering, ook bekend als sociale manipulatie. Lees hier wat deze vorm van cybercriminaliteit precies inhoudt, in welke vormen cybercriminelen het toepassen en hoe iedereen binnen je bedrijf de gevaren leert herkennen.

Social engineering betekenis 

Social engineering is een veelgebruikte techniek van internetcriminelen om de zwakste schakel in computerbeveiliging, de mens, te kraken. 

Met manipulatie en bedrog wordt misbruik gemaakt van menselijke eigenschappen en emoties zoals angst, hebzucht, nieuwsgierigheid, vertrouwen of onwetendheid. Het doel van social engineering is om vertrouwelijke informatie (persoonlijke of bedrijfsgevoelige gegevens) van iemand te stelen.  

Verschillende vormen van social engineering 

Er bestaan verschillende manieren waarop een cybercrimineel social engineering kan verpakken en toepassen. Ook worden er telkens nieuwe trucs en varianten bedacht om mensen te misleiden. En dat maakt het zo verraderlijk. Zodra iedereen binnen je onderneming zich bewust is van een bepaalde methode, duiken er weer tig nieuwe op. 

Het venijnige van social engineering is dat het soms vrij ver gaat. Bij cybercriminaliteit denk je misschien aan een hacker die ver weg achter een computer de snode plannen uitvoert. Bij digitale social engineering is dat meestal ook zo, maar fysieke social engineering gaat een stuk verder.   

Fysieke social engineering 

Bij fysieke social engineering vindt de misleiding ter plekke in persoon plaats. Erg brutaal, zeker als je kijkt naar inbreuk op je privacy. Het zijn acties die kippenvel opleveren en je gevoel van veiligheid flink aantasten. Zo kan een hacker:  

Je afval doorzoeken (dumpster diving) 

Klinkt misschien surrealistisch, maar het gebeurt echt: internetcriminelen die door je afval struinen in de hoop gevoelige bedrijfsinformatie of wachtwoorden te vinden. Zelfs onschuldig lijkende informatie, zoals een functieomschrijving of een bellijst, kan voor een hacker een nuttig puzzelstukje zijn voor een gerichte social engineering-aanval. 

Met een smoes je bedrijfspand infiltreren 

Een servicemonteur die langskomt voor onderhoud aan je wifi-netwerk? Geen vuiltje aan de lucht, toch? Behalve als het een cybercrimineel is die vervolgens aan de haal gaat met gevoelige bedrijfsinformatie.  

Een variant hierop is tailgating: een aanvaller verschaft zichzelf toegang tot een beveiligde ruimte door een van je geautoriseerde medewerkers te volgen die langs een vergrendelde deur of controlepost loopt.   

Over je schouder meekijken 

Werken doen we tegenwoordig overal. Ook op openbare plekken, zoals onderweg in de trein of in een café. Nietsvermoedend loop je het risico dat iemand over je schouder meekijkt, net wanneer je je wachtwoord invoert of er gevoelige bedrijfsinformatie op je scherm prijkt. Deze vorm van social engineering heet ook wel 'shoulder surfing’.   

Een besmette USB-stick achterlaten   

Nieuwsgierigheid hoort nu eenmaal bij de mens. Slingert er ergens een USB-stick rond op de parkeerplaats of op de werkvloer en weet niemand wat er op staat? Dan is de verleiding groot om deze uit te lezen in een computer. En die handeling kan een hoop ellende veroorzaken. Staat er namelijk ransomware (vorm van malware) van een hacker op? Dan gaan al je systemen op slot en moet je losgeld betalen om weer toegang te krijgen. 

Digitale social engineering  

Veruit de meeste social engineering attacks vinden trouwens wel op afstand plaats. Dit noem je digitale social engineering. Misschien minder confronterend, maar de gevolgen zijn er niet minder om. Wees bewust van een aantal veel gebruikte digitale social engineering-technieken. Zo kan een cybercrimineel:   

Met phishing naar belangrijke bedrijfsgegevens hengelen 

Met phishing ontvangen je medewerkers misleidende berichten die vanuit een betrouwbare bron lijken te komen. Met een malafide link in de mail probeert een hacker bepaalde informatie van de ontvanger te ontfutselen, zoals inloggegevens, creditcardnummer of persoonlijke identificatiegegevens.  

Een variant hierop is spear phishing. Dit zijn doelgerichte en gepersonaliseerde phishing-aanvallen. 

Een andere variant op phishing heet ‘vishing’. Een crimineel probeert dan niet via een (e-mail)bericht, maar via de telefoon (voice phishing) je werknemers te misleiden om bepaalde acties te ondernemen.  

Zogenaamd als helpdesk van een softwarebedrijf, bank of creditcardbedrijf bellen 

Een helpdeskmedewerker van een softwarebedrijf die belt en vraagt om belangrijke gegevens? Waarschijnlijk heb je te maken met helpdeskfraude. Een nepmedewerker stipt een probleem aan en wil dit direct samen met je medewerker oplossen. Bijvoorbeeld door bepaalde software te installeren. Het blijkt dan te gaan om schadelijke software (malware) waarmee een cybercrimineel toegang tot jullie gegevens krijgt of je systemen versleutelt.  

Een andere vorm van telefoonfraude die vaak wordt toegepast is een oplichter die zich voordoet als medewerker van een bank. Die probeert bijvoorbeeld je medewerker ervan te overtuigen dat jullie zakelijke bankrekening is gehackt en komt met een oplossing: geld overmaken naar een ‘veilige rekening’ of ‘kluisrekening’. Vergelijkbare trucs worden toegepast om creditcardgegevens buit te maken.  

Voorbeeld social engineering 

Nu je weet welke fysieke en digitale boobytraps internetcriminelen zoal gebruiken, geven we een voorbeeld van hoe social engineering er in de praktijk uit kan zien.    

Stel: een aanvaller doet zich voor als helpdeskmedewerker van een bekend softwarebedrijf, zoals Microsoft. De aanvaller onderneemt de volgende stappen:  

  1. Contact leggen De aanvaller stuurt eerst een e-mail naar een van je medewerkers met daarin het logo en de naam van Microsoft. De e-mail valt niet van echt te onderscheiden en de inhoud suggereert dat er een ernstig datalek is ontdekt in de computer van je medewerker.

  2. Urgentie creëren  Onmiddellijke actie is vereist om het probleem op te lossen. De e-mail benadrukt dat als het probleem niet direct wordt opgelost, je werknemer belangrijke gegevens verliest of gehackt kan worden. Dit creëert angst en druk om snel te handelen.  

  3. Vragen om toegang  De aanvaller vraagt om onmiddellijke toegang tot de computer via een externe desktop verbindingstool zoals TeamViewer of AnyDesk.  

  4. Toegang tot de computer krijgen  Zodra je medewerker hierin meegaat, is het kwaad geschied. De aanvaller kan nu de computer overnemen, gevoelige informatie stelen, malware stelen of andere schadelijke acties uitvoeren. 

Wat is social engineering security?  

Om gevoelige bedrijfsgegevens te beschermen tegen een social engineering-aanval, kun je een aantal maatregelen treffen waarmee je de cyberweerbaarheid van je bedrijf vergroot.

Om te testen hoe het met de naleving van jouw securitybeleid staat kan je een check laten uitvoeren. Social Engineering is hiervoor een optie. Met Social Engineering toetsen ethische hackers hoe het gesteld is met de cyberweerbaarheid binnen jouw organisatie.

Tips om je social engineering security te verhogen

Hierbij een aantal algemene tips om je social engineering security te verhogen:  

  • Blijf altijd rustig: laat je nooit onder druk zetten en maak geen overhaaste beslissingen. Aanvallers spelen in op een gevoel van urgentie. Zorg dat je medewerkers hiervan op de hoogte zijn.  

  • Controleer altijd de identiteit van afzenders en geef onbekende personen nooit toegang tot je computer.  

  • Implementeer extra beveiligingslagen met 2FA of MFA

  • Voer een streng wachtwoordbeleid in. 

  • Verzorg regelmatig cybersecurity-trainingen voor je medewerkers.  

  • Laat bezoekers nooit zomaar je pand binnen, registreer alle bezoeken en vraag altijd om een identiteitsbewijs. 

  • Gebruik een screenprotector voor zakelijke laptops en telefoons. Met deze speciale laag plastic of glas is het voor anderen lastiger om mee te gluren. 

  • Maak regelmatig back-ups van je systemen. Op die manier hoef je niet in te gaan op de losgeldeis, mocht je slachtoffer worden van ransomware. Je kunt namelijk altijd een recente back-up terugzetten. 

  • Verwijs fysieke documenten met gevoelige bedrijfsinformatie altijd naar de versnipperaar. 

Wat vind je van dit artikel?

Martin de Coninck

Auteur

Martin de Coninck

Vanuit mijn werk als freelance copywriter ervaar ik hoeveel er komt kijken bij ondernemen. Tijd is schaars en kennis bijspijkeren op het gebied van ondernemen schiet er al snel bij in. Juist als copywriter vind ik het belangrijk om de tijd te nemen onderwerpen goed te begrijpen en te onderzoeken. Door het vervolgens begrijpelijk op te schrijven wil ik ondernemers kennis bieden en tijd besparen, zodat zij het beste uit hun bedrijf kunnen halen.