Wat is social engineering?
Als we denken aan cyberveiligheid, denken de meeste mensen aan het beschermen van jezelf tegen hackers die technologische zwakheden gebruiken om datanetwerken aan te vallen. Maar er is een andere manier om in organisaties en netwerken te komen en dat is profiteren van de menselijke zwakheid. Dit wordt ook wel social engineering genoemd, waarbij iemand wordt misleid om informatie te prijs te geven of toegang tot datanetwerken mogelijk te maken.
Zo kan een indringer zich voordoen als IT-helpdeskmedewerker en gebruikers vragen om informatie te verstrekken zoals hun gebruikersnamen en wachtwoorden. En het is verrassend hoeveel mensen niet twijfelen en deze informatie vrijwillig verstrekken, vooral als het lijkt alsof het wordt gevraagd door een legitieme vertegenwoordiger.
Simpel gezegd is social engineering een bedriegelijke manier om mensen te bewegen om toegang, informatie of gegevens te verstrekken.
Soorten social engineering-aanvallen
Er zijn verschillende soorten social engineering-aanvallen. Het is dus belangrijk om de definitie van social engineering te begrijpen en ook hoe het werkt. Als je eenmaal weet wat de basisprincipes zijn, is het veel eenvoudiger om social engineering-aanvallen te herkennen.
Baiting
Bij baiting wordt een valstrik gecreëerd, zoals een USB-stick met malware. Iemand die nieuwsgierig is naar wat er op de stick staat, plaatst deze in zijn USB-aansluiting, waardoor het systeem meteen wordt gecompromitteerd. Er bestaat zelfs een USB-stick die computers kan vernietigen door zichzelf op te laden met energie via de USB-aansluiting en deze vervolgens in een hoge stroompiek vrij te geven, waardoor het apparaat beschadigd raakt op de plaats waar de stick is geplaatst. (de USB-stick kost maar een schijntje).
Inleidingsteksten
Deze aanval gebruikt een inleidingstekst om de aandacht te trekken en het slachtoffer te verleiden informatie te verstrekken. Een internetonderzoek kan er bijvoorbeeld vrij onschuldig uitzien, maar vervolgens vragen om de gegevens van een bankrekening. Of er komt iemand met een klembord opdagen die zegt dat hij een audit van de interne systemen doet, maar hij is misschien niet wie hij zegt te zijn en hij kan erop uit zijn waardevolle informatie van je te stelen.
Phishing
Phishing-aanvallen bestaan uit een e-mail of sms'je dat pretendeert van een vertrouwde bron afkomstig te zijn en om informatie vraagt. Een bekend type is de e-mail die naar verluidt afkomstig is van een bank die haar klanten hun beveiligingsinformatie wil laten ‘bevestigen’ en ze naar een nepsite leidt waar hun inloggegevens worden geregistreerd. ‘Spearphishing’ richt zich op één persoon binnen een bedrijf en stuurt een e-mail die beweert afkomstig te zijn van een hogere leidinggevende binnen het bedrijf en vraagt om vertrouwelijke informatie.
Vishing en Smishing
Deze social engineering-aanvallen zijn varianten van phishing - ‘voice fishing’, wat betekent dat je wordt gebeld en dat er om gegevens wordt gevraagd. De crimineel kan zich voordoen als een medewerker; bijvoorbeeld doen alsof hij van de IT-helpdesk is en om inloggegevens vragen. Smishing maakt gebruik van sms'jes om deze informatie los te weken.
Quid pro quo
Ze zeggen dat ‘eerlijk ruilen geen stelen is’, maar in dit geval is dat het wel. Veel social engineering-aanvallen laten slachtoffers geloven dat ze iets terugkrijgen voor de gegevens of de toegang die ze verschaffen. ‘Scareware’ werkt op deze manier en belooft computergebruikers een update om een dringend beveiligingsprobleem aan te pakken, terwijl het in feite de scareware zelf is die de schadelijke veiligheidsdreiging vormt.
Contacten spammen en e-mail hacken
Bij dit soort aanvallen worden de e-mail of social media-accounts van iemand gehackt om toegang te krijgen tot contacten. Contacten kan worden verteld dat de persoon is beroofd en al zijn creditcards is kwijtgeraakt en vervolgens vragen geld over te maken naar een specifieke rekening. Of de ‘vriend’ kan een ‘deze moet je zien’-video doorsturen die linkt naar malware of naar een keylogging trojan.
Planten vs. jagen
Wees je er ten slotte van bewust dat sommige social engineering-aanvallen veel verder ontwikkeld zijn. De meeste eenvoudige benaderingen die we hebben beschreven zijn een vorm van ‘jagen’. Ze komen neer op binnendringen, de informatie stelen en weer wegwezen.
Bij sommige social engineering-aanvallen gaat het echter om het vormen van een relatie met het doelwit om gedurende een langere periode meer informatie te verzamelen. Dit staat bekend als ‘planten’ en is risicovoller voor de aanvallers: er is meer kans dat ze ontdekt worden. Maar als hun infiltratie slaagt, kan het veel meer informatie opleveren.
Social engineering-aanvallen voorkomen
Social engineering-aanvallen zijn bijzonder moeilijk tegen te gaan, omdat ze uitdrukkelijk bedoeld zijn om in te spelen op natuurlijke menselijke eigenschappen, zoals nieuwsgierigheid, respect voor het gezag en de behoefte je vrienden te helpen. Er zijn een aantal tips die kunnen helpen bij het opsporen van social engineering-aanvallen…
Controleer de bron
Neem even de tijd om na te denken over waar de communicatie vandaan komt; vertrouw niet blindelings alles. Er ligt opeens een onbekende USB-stick op je bureau die je nog nooit eerder hebt gezien? Een telefoontje uit het niets zegt dat je 5 miljoen dollar hebt geërfd? Een e-mail van je CEO waarin gevraagd wordt om veel informatie over individuele medewerkers? Dit klinkt allemaal verdacht en moet dus als zodanig worden behandeld.
Het is niet moeilijk om de bron te controleren. Kijk bijvoorbeeld bij een e-mail naar de koptekst van de e-mail en controleer of deze overeenkomt met legitieme e-mails van dezelfde afzender. Kijk waar de links naartoe leiden. Gespoofde hyperlinks zijn eenvoudig te herkennen door er gewoon met de cursor overheen te gaan (klik echter niet op de link!) Controleer de spelling: banken hebben hele teams gekwalificeerde mensen die zich bezighouden met de wijze van communiceren met klanten, dus een e-mail met opvallende fouten is waarschijnlijk nep.
Als je twijfelt, ga dan naar de officiële website en neem contact op met een officiële vertegenwoordiger, aangezien deze kan bevestigen of de e-mail/het bericht legitiem of nep is.
Wat weten ze?
Heeft de bron geen informatie waarvan je zou verwachten dat ze die hebben, zoals je volledige naam, etc.? Vergeet niet dat als een bank je belt, ze al die gegevens voor zich moeten hebben en dat ze altijd beveiligingsvragen stellen voordat ze je toestemming geven om je rekening aan te passen. Als ze dat niet doen, is de kans dat het een nep e-mail/oproep/sms betreft aanzienlijk groter en moet je op je hoede zijn.
Laat je niet gek maken
Social engineering is vaak afhankelijk van een gevoel van urgentie. Aanvallers hopen dat hun doelwit niet echt nadenkt over wat er aan de hand is. Dus dat gewoon wél doen, kan deze aanvallers afschrikken of ontmaskeren: allesbehalve wie ze beweren te zijn.
Bel het officiële nummer of gebruik de officiële URL van de website, in plaats van gegevens te verstrekken via je telefoon of op een link te klikken. Gebruik een andere manier om te communiceren om de geloofwaardigheid van de bron te controleren. Als je bijvoorbeeld een e-mail ontvangt van een vriend die je vraagt om geld over te maken, sms hem dan op zijn mobiel of bel hem op om na te gaan of het echt om hem gaat.
Vraag naar een ID
Eén van de eenvoudigste social engineering-aanvallen is het omzeilen van de beveiliging voor toegang tot een gebouw door met een grote doos of een hoop dossiers onder je arm naar binnen te lopen. Een behulpzaam type houdt immers altijd wel de deur voor je open. Trap er niet in. Vraag altijd om een ID.
Hetzelfde geldt voor andere benaderingen. Het controleren van de naam en het nummer van degene die belt of vraagt: “Namens wie belt u?” zou een standaard antwoord moeten zijn op verzoeken om informatie. Controleer vervolgens het organigram of de telefoonlijst van de organisatie voordat je persoonlijke informatie of gegevens verstrekt. Als je degene die de informatie aanvraagt niet kent en je de informatie nog steeds niet graag prijsgeeft, vertel hem of haar dan dat je dit bij iemand anders moet verifiëren en dat je er bij hem of haar op terug zult komen.
Gebruik een goed spamfilter
Als je e-mailprogramma niet genoeg spam filtert of e-mails als verdacht markeert, kun je de instellingen wijzigen. Goede spamfilters gebruiken verschillende soorten informatie om te bepalen welke e-mails waarschijnlijk spam zijn. Ze kunnen verdachte bestanden of koppelingen detecteren, een zwarte lijst met verdachte IP-adressen of afzender-ID’s bevatten, of de inhoud van berichten analyseren om te bepalen welke waarschijnlijk nep zijn.
Is dit realistisch?
Sommige social engineering-aanvallen proberen ervoor te zorgen dat je niets meer analyseert en de tijd nemen om na te gaan of de situatie realistisch is, kan helpen bij het detecteren van veel aanvallen. Bijvoorbeeld:
- Als je vriend echt vastzit in China en niet weg kan komen, zou hij je dan een e-mail sturen of zou hij je ook bellen/sms’en?
- Is het waarschijnlijk dat een Nigeriaanse prins jou een miljoen dollar heeft nagelaten in zijn testament?
- Zou de bank bellen om te vragen naar je rekeninggegevens? Veel banken noteren zelfs wanneer ze e-mails naar hun klanten sturen of met ze bellen. Controleer het dus nog een keer als je het niet zeker weet.
Ga niet overhaast te werk
Wees vooral op je hoede als je tijdens een gesprek een gevoel van urgentie krijgt. Dit is een standaard manier van kwaadwillenden om te voorkomen dat hun doelwit over de situatie na gaat denken. Als je je onder druk gezet voelt, vertraag het geheel dan. Zeg dat je tijd nodig hebt om de informatie te vergaren, dat je het je manager moet vragen, dat nu niet de juiste informatie voorhanden hebt - alles om de zaak te vertragen en jezelf de tijd te geven om na te denken.
Meestal nemen social engineering-fraudeurs geen risico als ze zich realiseren dat ze het voordeel van de verrassing zijn kwijtgeraakt.
Beveilig je apparaten
Het is ook belangrijk om apparaten te beveiligen, zodat een social engineering-aanval, zelfs als deze succesvol is, beperkte schade kan aanbrengen. De basisprincipes zijn hetzelfde, of het nu gaat om een smartphone, een standaard thuisnetwerk of een groot bedrijfssysteem.
- Houd je anti-malware- en anti-virussoftware up-to-date. Dit kan helpen voorkomen dat malware die via phishing-e-mails binnenkomt, zichzelf installeert. Gebruik een pakket zoals Kaspersky’s Antivirus om je netwerk en gegevens te beveiligen.
- Werk software en firmware regelmatig bij, met name beveiligingspatches.
- Gebruik je telefoon niet in de root, of je netwerk of pc in de beheerdersmodus. Zelfs als een social engineering-aanval je wachtwoord voor je ‘gebruikersaccount’ krijgt, is het niet mogelijk je systeem opnieuw te configureren of er software op te installeren.
- Gebruik hetzelfde wachtwoord niet voor verschillende accounts. Als een social engineering-aanval het wachtwoord voor je social media-account krijgt, wil je niet dat ze ook al je overige accounts kunnen ontgrendelen.
- Gebruik twee stap verificatie voor belangrijke accounts , zodat alleen je wachtwoord niet genoeg is om toegang te krijgen tot het account. We doelen hierbij op spraakherkenning, gebruik van een beveiligingsapparaat, vingerafdrukken of sms-bevestigingscodes.
- Als je net je wachtwoord aan een account hebt verstrekt en denkt dat je misschien 'gemanipuleerd' bent, verander het wachtwoord dan meteen.
- Blijf op de hoogte van nieuwe cybersecurity risico’s door ons Resource Center regelmatig te bezoeken. Dan weet je alles over nieuwe aanvalsmethoden zodra ze ontstaan, waardoor je veel minder snel slachtoffer wordt.
Denk na over je digitale voetafdruk
Het kan geen kwaad ook eens na te denken over je digitale voetafdruk. Het overmatig online delen van persoonlijke informatie, bijvoorbeeld via social media, kan aanvallers helpen. Zo hebben veel banken ‘naam van je eerste huisdier’ als mogelijke beveiligingsvraag. Heb je dit gedeeld op Facebook? Als dat zo is, zou je kwetsbaar kunnen zijn! Daarnaast proberen sommige social engineering-aanvallen geloofwaardig te zijn door te verwijzen naar recente gebeurtenissen die je mogelijk hebt gedeeld op sociale netwerken.
We raden aan je social media-instellingen in te stellen op ‘alleen vrienden’ en voorzichtig te zijn met wat je deelt. Je hoeft niet paranoïde te zijn, maar wees gewoon voorzichtig.
Denk aan andere aspecten van je leven die je online deelt. Als je bijvoorbeeld een online cv hebt, moet je overwegen om je adres, telefoonnummer en geboortedatum te bewerken, aangezien dit allemaal nuttige informatie is voor iedereen die een social engineering-aanval plant. Terwijl bij sommige social engineering-aanvallen het precieze slachtoffer er niet zo toe doet, zijn andere nauwkeurig voorbereid. Geef deze criminelen minder informatie om mee te werken.
Social engineering is zeer gevaarlijk, omdat het volstrekt normale situaties gebruikt en deze manipuleert voor schadelijke doeleinden. Door je echter volledig bewust te zijn van hoe het werkt en standaard voorzorgsmaatregelen te nemen, word je veel minder snel slachtoffer van social engineering.
Gerelateerde links
Social engineering - Definitie