Social engineering is een techniek die gebruikt wordt om een belangrijke schakel in de keten van computerbeveiling te kraken. Die schakel, dat is de mens. Door middel van manipulatie, bedrog en autoriteit wordt er ingespeeld op menselijke emoties zoals angst, nieuwsgierigheid en vertrouwen om zo (vertrouwelijke) informatie van een persoon of een bedrijf buit te maken. Social engineering speelt zich zowel in het digitale domein als in het fysieke domein af.
Fysiek đą
Binnen het fysieke domein vindt social engineering ter plekke plaats. Kwaadwillende personen kunnen zich bijvoorbeeld voordoen als onderhoudsmedewerkers of collegaâs binnen een bedrijf om met een smoes, gemakkelijk toegang te kunnen krijgen tot een gebouw of een ruimte (impersonation). Dit doen zij door te doen alsof ze er thuishoren, door iemand aan te spreken of achter iemand aan te lopen (piggy backing). Een ander voorbeeld is het letterlijk meekijken over de schouder bij iemand die in een openbare ruimte aan het werk is. Dit heet âshoulder surfingâ en is in een wereld waar we overal kunnen werken een vrij makkelijke manier om gevoelige informatie te vergaren.
Digitaal
Phishing đ©
Phishing is een vorm van social engineering waarbij een kwaadwillende een e-mail verstuurt met mogelijk gevaarlijke software, of de ontvanger via email vraagt om bepaalde informatie in te vullen zoals gebruikersnaam en wachtwoord. De e-mails zijn vaak gericht om de ontvanger over te halen, door bijvoorbeeld een prijs aan te bieden, of in te spelen op een bepaalde noodzaak. âAls u niet binnen 1 uur reageert wordt uw account geblokkeerdâ. Phishing mails zijn bijna niet van echt te onderscheiden, waarbij wordt gesuggereerd dat ze van bedrijven als Microsoft of Apple zijn. Een geavanceerde vorm van phishing is âspearphishingâ. Er wordt dan specifiek naar een persoon een phishing e-mail gestuurd. Dit is vaak een directielid, HR of een financiĂ«le afdeling om zo zeer gevoelige bedrijfsinformatie of geld buit te maken. Zo is er bij bioscoopketen PathĂ© 19 miljoen euro buitgemaakt. Fraudeurs deden zich voor als leidinggevende van het moederbedrijf en verzochten de CEO 19 miljoen over te maken.
Telefoon â
Naast het fysieke domein gebeurt er ook veel aan cybercriminaliteit via de telefoon. Want waarom zou je een complexe hack uitvoeren, als iemand je gewoon mondeling toegang kan geven? Kwaadwillende doen zich bijvoorbeeld voor als iemand van de servicedesk en vragen je software te installeren die je computer overneemt. Naast bellen kan er ook een SMS verzonden worden (Smishing) om je met een valse reden naar een bepaalde kwaadaardige site te laten gaan of een telefoonnummer te bellen. Het is vaak moeilijk om tijdens het telefoongesprek de beller te verifiĂ«ren. Zeker omdat het vrij gemakkelijk is om het telefoonnummer te âspoofenâ zodat het lijkt alsof je bijvoorbeeld door je bank gebeld wordt.
Deepfake & AI đ€
Een geavanceerde manier van social engineering is het gebruik van deepfakes. Een deepfake is het digitaal manipuleren van informatie door gebruik te maken van iemands stem en/of gezicht. Dit kan door middel van audio of video en is lastig te onderscheiden van de werkelijkheid. Veel van deze deepfakes kunnen vrij gemakkelijk door AI gegenereerd worden.
Maatregelen đ
Een passende maatregel die je als bedrijf kan nemen om social engineering tegen te gaan, is het opzetten van een âawareness programmaâ. Tijdens zoân programma worden medewerkers van een bedrijf geĂŻnformeerd over de verschillende social engineering technieken. Door middel van voorbeelden en simulaties wordt uitgelegd waaraan je zou kunnen herkennen dat iets niet legitiem is. Een awareness programma is niet iets wat je eenmalig doet, maar zou een vast programma moeten zijn. Daarnaast kan je medewerkers opleiden in het herkennen van phishing e-mails, verdachte telefoontjes, hun fysieke omgeving en de risicoâs die bij social engineering komen kijken. Door bijvoorbeeld phishing campagnes te houden, leren medewerkers phishing e-mails te herkennen en te rapporteren.
Hieronder nog een set aan maatregelen waar je aan kan denken om social engineering minder effectief te laten zijn:
- Hanteer clean desk, clear screen principe, medewerkers vergrendelen actief hun apparaten en leggen geen gevoelige informatie in het zicht.
- Zorg dat medewerkers een screenprotector hebben voor hun laptop.
- Zorg dat medewerkers weten waar ze een verdachte situatie kunnen melden.
- Zorg ervoor dat er een proces is om bezoekers aan te melden.
- Creëer een cultuur van sociale controle, waar medewerkers actief onbevoegde aanspreken.
Daarnaast zijn er een aantal technische maatregelen die genomen kunnen worden, denk hierbij aan het verplicht stellen van multifactor authenticatie om de kans op ongewenst binnendringen van accounts te verkleinen. Verder zou je kunnen denken aan het instellen van een goede mailserver filter, waarbij spam en phishing e-mails worden onderschept.
- Richt een toegangscontrolesysteem in voor de fysieke locaties
- Blokkeer kwaadaardige sites door DNS filtering toe te passen.
- Gebruik een VPN-verbinding
- Gebruik sterke wachtwoorden en verander deze regelmatig.
Lees vooral ook ons artikel over hoe je je online kan beschermen , waarin we uitleggen welke maatregelen je zelf kan nemen.
Mocht je meer van dit soort artikelen willen lezen, of meer willen weten over Cyber Security, volg dan onze LinkedIn-pagina of bezoek onze website!
Dit artikel is geschreven door: Merel Kokkeler en Scott van der Toorn