Wat is social engineering?

Mensen kunnen gemanipuleerd worden. De een makkelijker dan de ander. Bij social engineering wordt daar gebruik van gemaakt door cybercriminelen. Met behulp van de menselijke psychologie willen zij vertrouwelijke informatie ontfutselen van medewerkers om zo toegang te krijgen tot systemen om zo data, geld en meer te stelen. Deze 'sociale' en non-technische strategie wordt veelvuldig toegepast door cybercriminelen bij voor het uitvoeren van gerichte en breed georiënteerde aanvallen.

Social engineering tactieken

Aanvallers hebben verschillende manieren ontwikkeld om achter jouw gegevens te komen. We hebben de zes belangrijkste op een rij gezet.

Phishing

Dit is de meest voorkomende variant van social engineering. Phishing vindt plaats wanneer een hacker frauduleus communiceert met een slachtoffer. De communicatie-boodschap lijkt heel echt. De communicatie-boodschap spoort de ontvanger bijvoorbeeld aan om op een link te klikken in een email, of een bijlage in een email bericht te downloaden. Zodoende wordt de ontvanger misleid, omdat de link of bijlage direct het apparaat met malware infecteert. Malware kan daarentegen ook persoonlijke, financiële of zakelijke informatie delen met de cybercrimineel.

Business email compromise (BEC) is een vorm van phishing waarbij de inloggegevens van een zakelijk e-mailaccount worden gestolen. BEC vindt voornamelijk plaats tussen bedrijven en organisaties.

Baiting

Deze variant is vergelijkbaar met phising. Maar wat het anders maakt is de belofte van een item of product die aanvallers gebruiken om slachtoffers te verleiden. Ze maken bijvoorbeeld gebruik van het aanbod van gratis muziek- of filmdownloads. Op die manier willen ze gebruikers verleiden hun inloggegevens te delen. Een andere manier is van baiting is wanneer ze een met malware geïnfecteerd apparaat, zoals een USB-stick, achterlaten op een plek waar hoogstwaarschijnlijk iemand het zal vinden. Dit berust op ons aangeboren gevoel van nieuwsgierigheid; iemand koppelt de USB-stick aan de laptop en zodoende wordt de laptop, misschien zelfs zonder dat de gebruiker het opmerkt, geïnfecteerd met malware.

Whaling

Dit type is gericht op senior leidinggevenden en andere belangrijke doelwitten binnen bedrijven. De berichten zijn zo ontworpen dat ze lijken op kritieke zakelijke communicatie die onmiddellijke aandacht vereist.

Pretexting

Pretexting vindt plaats wanneer een aanvaller vals achtergrondverhaal verzint om een ​​slachtoffer te manipuleren toegang te geven tot gevoelige gegevens of beschermde systemen.

Quid pro quo

Dit is een variant op baiting. Maar waar baiting je een product biedt, belooft een quid pro quo aanval een dienst of een voordeel gebaseerd op de uitvoering van een specifieke actie.

Spear phishing

Spear phishing is een zeer gerichte vorm van de phishing-aanval. Spear phishing richt zich op een specifiek individu of organisatie. Spear phishing-aanvallen zijn effectief omdat de afzender van bijvoorbeeld een email of privé-bericht op social media, overeenkomt met een bekende, een collega of de werkgever. Hierdoor wordt vertrouwen gewonnen bij de ontvanger en lijkt de afzender legitiem te zijn. Mensen hebben veel te maken met spear phishing aanvallen doordat de e-mailbeveiliging niet op orde is, of bijvoorbeeld omdat het lijkt alsof de directeur de afzender is van de email.

Tailgating

Tailgating is een fysieke social engineering-techniek die optreedt wanneer iemand zonder de juiste authenticatie een geautoriseerde medewerker volgt naar een beveiligde locatie. De persoon kan zich bijvoorbeeld voordoen als een bezorger en loopt mee met een medewerker om een pakket af te leveren. Het doel van tailgating is om waardevolle (intellectuele) eigendommen, vertrouwelijke bedrijfsinformatie of toegang tot beveiligde locatie te krijgen. Dit werkt lang niet bij alle bedrijven. Bij grotere organisaties heb je vaak keycards nodig om voorbij deuren te komen. In middelgrote bedrijven krijgen aanvallers vaak de kans om gesprekken te voeren met medewerkers en deze vertrouwdheid gebruiken om langs de balie te komen.

Placeholder for Two engineers laughing behind screenTwo engineers laughing behind screen

Hoe bescherm je jezelf tegen social engineering?

Bescherming tegen social engineering-aanvallen bestaat uit een combinatie van bewustzijn, waakzaamheid en de juiste security-maatregelen. Hier lees je hoe je jezelf en je organisatie kunt beschermen:

Onderwijs jezelf

Onwetendheid is de grootste zwakte en is eenvoudig voor aanvallers om gebruik van te maken. Met name mensen met weinig kennis over malware, ransomware en social engineering zijn het belangrijkste doelwit voor aanvallers. Zorg ervoor dat je weet op welke kenmerken je moet letten en de best practices kent om een sterke beveiligingslaag te realiseren.

Let op de informatie die je vrijgeeft

Hierbij gaat het om informatie die je verbaal, via sociale media en/of email vrijgeeft. Websites zoals Instagram, Facebook en Twitter zijn media die talloze soorten persoonlijke informatie bevatten. Cybercriminelen gebruiken afbeeldingen, status updates en informatie over persoonlijke interesses op een slimme manier om doelwitten te vinden voor social engineering. Ook het gebruiken van eenvoudige zoekopdrachten in Google maps om adressen te vinden is een bekende techniek om een volledig beeld van een persoon of organisatie te krijgen.

Gebruik Multi-Factor Authenticatie (MFA)

MFA voegt een extra beschermingslaag toe, waardoor het voor aanvallers moeilijker wordt om toegang te krijgen tot je systemen, zelfs als ze erin slagen om gebruikersgegevens te bemachtigen. In dit artikel leggen we meer uit over de uitdagingen met wachtwoorden.

Bepaal welke informatie en activa het meest waardevol zijn voor criminelen

Cyberaanvallers zijn geïnteresseerd in alles waarmee zij geld kunnen verdienen. Zorg er daarom voor dat je jezelf en waardevolle gegevens op het juiste moment beschermt. Het herhaaldelijk geven van cyber security trainingen en bewustzijnscampagnes zijn een goede manieren om organisaties bewust te maken van social engineering tactieken die gebruikt worden.

Dwing beleid af en volg het

Nadat vastgesteld is welke activa het meest waardevol zijn voor aanvallers en het voorwendsel dat ze waarschijnlijk zullen gebruiken om een doelwit aan te vallen, is er een beveiligingsbeleid nodig om te volgen. In een zakelijke context moeten alle werknemers hun steentje bijdragen. Iedereen is een potentiële open deur om toegang te krijgen tot het netwerk, het bedrijf en of kritieke (intellectuele) bedrijfsinformatie.

Software up-to-date houden

Aanvallers die social engineering tactieken gebruiken proberen vaak te bepalen of je niet-gepatchte of verouderde software gebruikt. Out of date software wordt veelvuldig gebruikt om toegang te krijgen tot systemen en netwerken. Als je patches en software up-to-date houdt, kan dit risico grotendeels beperkt worden.

Incident response plan

Zorg voor een duidelijk plan om te reageren op security incidenten, waaronder vermoedelijke social engineering pogingen. Hierin moet staan met wie je contact moet opnemen en welke stappen je moet volgen als iemand vermoedt dat hij een doelwit is.

Don’t be the weak link… Be smart, be vigilant, be cyber secure!

Constante waakzaamheid

De hedendaagse bedreigingen zijn een risico voor je data, winstgevendheid en reputatie. Cybersecurity moet een doorlopende activiteit zijn en vereist een goed inzicht in hoe gebruikers, klanten en applicaties toegang krijgen tot data en hoe apparaten zijn geconfigureerd.

Nomios België is al ruim tien jaar gespecialiseerd in het evalueren, implementeren en beheren van informatiebeveiliging voor bedrijven. Dankzij onze zeer uitgebreide ervaring ontwikkelen we beveiligingsstrategieën en -oplossingen die meegroeien met de veranderende behoeften van jouw bedrijf.

Ons team met experts helpt je met het beperken van de risico's van hedendaagse bedreigingen.

Cijfers liegen niet

Social engineering in getallen

icon 98%
98%
98% van alle cyberaanvallen zijn afhankelijk van social engineering
icon 56%
56%
56% van IT-beslissers zegt dat gerichte phishingaanvallen hun grootste security bedreiging zijn
icon 66%
66%
66% van alle malware wordt geïnstalleerd via schadelijke e-mailbijlagen
icon $2.4
$2.4
De gemiddelde kosten van een malware aanval voor een organisatie is $2,4 miljoen
icon New employees
New employees
Nieuwe medewerkers zijn het meest gevoelig voor social engineering aanvallen, 60% van de IT-professionals zeggen dat zij een hoog risico lopen
icon 3%
3%
Slechts 3% van de beoogde gebruikers meldt kwaadaardige e-mails aan het management
Kom in contact met onze experts

Ons team staat voor je klaar

Wil je meer weten over dit onderwerp? Laat een bericht of je nummer achter en we bellen je terug. We helpen je graag verder.

Artikelen

Meer updates