Social engineering
/Wat is social engineering?
Social engineering is een techniek die computercriminelen gebruiken om informatie te verkrijgen door zich te richten op de zwakste schakel, nl. de mens.
Via manipulatie laten zij de gebruiker bepaalde handelingen verrichten om op die manier vertrouwelijke informatie te verkrijgen. Dit alles zonder dat de gebruiker zich hiervan bewust is.
Meest voorkomende technieken
Meteen de meest gekende techniek binnen social engineering. Hierbij gaan cybercriminelen gerichte e-mails versturen naar bepaalde gebruikers. Deze e-mail is een kopie van een bestaande e-mail. Hierdoor valt het vaak niet op dat het een phishing mail betreft.
Graag meer informatie? Contacteer ons en hou zeker de blog in de gaten want 24/12 starten we met de ‘Countdown to a safer 2017’. Hierin behandelen we elke dag een nieuwe techniek binnen social engineering, aangevuld met screenshots en praktische tips!
Deze techniek speelt in op de nieuwsgierigheid van de mens. Hierbij worden verschillende media, zoals USB-sticks e.d., op bepaalde plaatsen achtergelaten. Op deze manier hoopt de cybercrimineel dat de nieuwsgierige vinder deze media zal connecteren met zijn of haar computertoestel. Van daaruit wordt malware verspreid zodat de cybercriminelen toegang krijgen tot dat toestel.
Vaak wordt vertrouwelijke informatie of hardware gewoon weggegooid in de vuilnisbak of in containers die buiten het bedrijf staan. Hier kunnen cybercriminelen heel wat informatie in terugvinden. ’s Nachts gaan zij op zoek naar deze zaken om er hun voordeel mee te doen.
Hierbij maken cybercriminelen misbruik van de hoffelijkheid van anderen. Meestal zullen mensen de deur voor de persoon die na hen komt openhouden. Cybercriminelen glippen op deze manier mee naar binnen op een afdeling waar authenticatie vereist is. Eens binnen kunnen ze nieuwe informatie gaan verzamelen.
Scareware wordt vaak gebruikt op bepaalde websites. Je krijgt dan een pop-up waarin staat dat jouw computer geïnfecteerd is. Uiteraard vermeldt de pop-up ook een oplossing. Dit kan betrouwbaar lijken, maar niets is minder waard.
Zodra je de software betaalt en installeert, wordt allerhande informatie verzameld zoals wachtwoorden. Via een achterpoort kunnen cybercriminelen ten allen tijde inloggen in jouw systeem. Volgens McAfee zijn er dagelijks ongeveer 1 miljoen mensen slachtoffer van dergelijke scareware.
Dit is een nieuwere techniek die cybercriminelen gebruiken door sociale netwerksites te misbruiken. Hierbij wordt een account gehacked waarna er een bericht wordt gestuurd naar alle contacten met de vraag om geld te storten. Dit bericht is uiteraard voorzien van een verhaal dat inspeelt op de gevoelens van de ander. Vrienden uit de contactlijst gaan hier op in en storten het geld uit sympathie.
Eén van de eenvoudigste manieren om informatie te verkrijgen. Door af te luisteren of mee te kijken over de schouder (‘shouldersurfing’) verkrijgen cybercriminelen wachtwoorden of andere vertrouwelijke informatie. Zorg er dus voor dat niemand meekijkt of -luistert wanneer je vertrouwelijke informatie in- of doorgeeft.
Hiervoor is wat behendigheid vereist. De cybercrimineel contacteert gebruikers telefonisch en geeft zich uit als iemand van de IT afdeling. Uiteraard heeft hij het wachtwoord van de gebruiker nodig om een technisch probleem op te lossen. Vooral bij gebruikers met weinig tijd lukt dit zeer goed. Om het probleem zo snel mogelijk opgelost te zien, zijn zij het snelst geneigd hun wachtwoord door te geven.
Gevolgen
Dat de gebruiker de zwakste schakel is, hebben we eerder al aangehaald. Dit speelt in de kaart van de cybercrimineel. De cybersecurity, en security in het algemeen, is maar zo sterk als de zwakste schakel. Hoe groter het aantal werknemers, hoe hoger de kans op een geslaagde social engineering aanval.
Vanaf 25 mei 2018 gaat de nieuwe Europese wetgeving GDPR in, waardoor een bedrijf zelf verantwoordelijk is voor de databeveiliging van derden. Wanneer data van derden gestolen en/of misbruikt wordt, kan het bedrijf een boete tot 4% van de jaaromzet krijgen.
Maatregelen
Om de zwakste schakel sterker te maken is het aan te raden de gebruikers een user awareness training te laten volgen. Op deze manier wordt de kans op een succesvolle aanval verkleind.
Graag meer informatie? Contacteer ons en hou zeker de blog in de gaten want, zoals eerder aangehaald, starten we 24/12 met de ‘Countdown to a safer 2017’. Hierin behandelen we elke dag een andere techniek binnen social engineering, aangevuld met screenshots en praktische tips!
