Meer kennis over cyber security?
In dit artikel gaan we in op verschillende vormen van Social Engineering. En niet onbelangrijk: we vertellen ook hoe u er het beste mee om gaat. Maar allereerst antwoord op de vraag: wat houdt Social Engineering precies in?
Social Engineering is een techniek die aanvallers inzetten om bij de IT-infrastructuur van een organisatie binnen te komen. De bekende uitspraak “IT-Beveiliging is zo sterk als de zwakste schakel” sluit aan op hetgeen waar Social Engineering zich op richt. Namelijk de zwakste schakel: beter bekend als de mens.
Hoe aanvallers gebruik maken van die zwakste schakel? Met Social Engineering technieken proberen ze vertrouwelijke informatie te ontfutselen van medewerkers binnen bedrijven. Met name inloggegevens. Die geven tenslotte toegang tot verschillende delen van de IT-omgeving.
De kans is groot dat u waarschijnlijk al eens te maken hebt gekregen met één van de Social Engineering methodes. Omdat het inspeelt op de zwakste schakel – de onoplettende mens – is het dankzij zijn succesvolheid een veelgebruikte techniek. Niemand wordt ontzien. Wat die technieken zijn? We hebben er een aantal op een rijtje gezet:
Laten we meteen beginnen met de Social Engineering methode waar niemand snel aan denkt: het doorzoeken van afval. Hebt u recent een collega erop gewezen dat het niet handig is wachtwoorden op te schrijven? Let dan op dat het desbetreffende briefje niet zomaar opgefrommeld is weggegooid. Papierversnipperaars bestaan niet voor niets.
Dat heeft alles te maken met gepassioneerde criminelen die tot het gaatje willen gaan om bij uw organisatie binnen te komen. Die zijn ook bereid door uw afval te neuzen. Ondanks dat niet elke onderneming hoeft te vrezen voor afvalgraaiers, is deze vorm van Social Engineering niet te onderschatten.
De meest bekende vorm van Social Engineering waar iedereen wel eens mee te maken heeft gehad: phishing. Wie heeft er geen nepmail die op gehaaide wijze informatie wil ontfutselen in de mailbox gehad? Toch zijn phishing-acties niet altijd meer zoals vroeger. We zien in de praktijk dat ze steeds gerichter en geloofwaardiger zijn.
Zo slagen sommige aanvallers er zelfs in phishing-mails te versturen vanuit een bestaand account van een medewerker. Vaak is het doel van een phishing-actie als deze om toegang te krijgen tot de gegevens van admin-accounts die nog meer rechten hebben.
Er zijn verschillende vormen van phishing. Sterker nog: tegenwoordig beperkt het zich al lang niet meer tot mail-phishing. “Smishing” en “vishing” komen ook steeds vaker voor. Daarover schrijven we binnenkort een uitgebreid artikel.
Deze Social Engineering methode lijkt een beetje op Phishing. Het doel van Baiting is vaak ook het verkrijgen van vertrouwelijke informatie, alleen hier gebruiken ze letterlijk “Bait” voor. Aas. Ze lokken doelwitten met bijvoorbeeld gratis film-downloads of gratis handige tools. Met het aas in de aanslag, hopen ze dat potentiële slachtoffers bereid zijn inloggegevens achter te laten in ruil voor de freebee.
Dit aas hoeft zich niet te beperken tot lokkertjes in de digitale wereld. En goed voorbeeld van Baiting in de fysieke wereld is een aanval uit 2018.
Medewerkers van een lokale overheidsinstantie in de US kregen namelijk een envelop met een CD erin opgestuurd. In de bijgevoegde brief werd de nieuwsgierigheid van de ontvangers zo erg aangewakkerd, dat een medewerker uiteindelijk de CD in zijn computer had gestopt. Het gevolg? Een met malware geïnfecteerde computer.
Weer een variant op een variant: Quid Pro Quo lijkt erg veel op Baiting. Bij Baiting wordt alleen vaak een product als aas ingezet, bij Quid Pro Quo is dat juist een service. Een goed voorbeeld is een nep-gemeentemedewerker die contact opneemt om u te informeren over een computerprobleem dat ze hebben. Eentje waarbij ze data zoals BSN’s niet meer goed op orde hebben. U raad het al: deze nep-medewerker vraagt u om uw BSN, zodat ze deze in kunnen zetten voor identiteitsfraude.
Dit is een voorbeeld uit de particuliere wereld, maar er zijn ook vormen van Quid Pro Quo die zich richten op organisaties. In hoeverre zijn uw collega’s in staat Quid Pro Quo te herkennen? Of bij voorbaat met voorzichtigheid te handelen wanneer er (telefonisch) om gegevens wordt gevraagd?
Zeker middelgrote bedrijven zijn doelwit van tailgating acties. Bij tailgating proberen aanvallers fysiek toegang te krijgen tot een van uw computers of zelfs serverruimtes. Hoe ze dat doen? Door uw locatie op te zoeken en zich via een van de medewerkers naar binnen te werken. Tailgating varieert van aanvallers die vlug hun voet tussen de deur schuiven wanneer iemand naar binnen loopt, tot goed voorbereide acties waarbij ze verkleed als servicemonteurs naar binnen gaan.
Om nog terug te komen op het doorzoeken van afval: naast het zoeken naar wachtwoorden, gaan aanvallers ook op zoek naar inside-informatie om geloofwaardig over te komen wanneer ze telefonisch of fysiek bij uw organisatie binnen proberen te komen. Daarbij gebruiken ze ook andere publieke bronnen zoals het internet.
Social Engineering acties zijn gericht op de mens. Toch hoeft u niet alle oplossingen daadwerkelijk bij uw medewerkers te zoeken. Wel willen we voorop stellen dat het trainen en inlichten van medewerkers over Social Engineering een absolute must is. Helaas biedt dat nooit de optimale veiligheid. Waarom? Omdat de mens niet expres de zwakste schakel is.
Zelfs goed getrainde en ingelichte werknemers lopen risico in Social Engineering acties te trappen. Aanvallers zijn gehaaid en steeds beter in staat in te spelen op de primaire impulsen van mensen, waarmee ze zelfs de oplettende computergebruikers in weten te pakken. Daarnaast liggen ongelukken ook sneller op de loer wanneer iemand moe of gestrest is.
Laat uw collega’s hoe dan ook kennis maken met verschillende vormen van Social Engineering. Vraag ze daarnaast om:
Daarnaast adviseren we de volgende maatregelen om de kans op een succesvolle Social Engineering actie te verkleinen:
Security Architect Tom Heesmans schreef eerder al een uitgebreid artikel over Social Engineering dat zeker het lezen waard is. Liever in gesprek over Social Engineering en hoe u als organisatie weerbaar blijft tegen deze vorm van cybercrime? Neem dan vrijblijvend contact met ons op.
Meer kennis over cyber security?
Neem vrijblijvend contact met ons op als u vragen hebt.
Op de hoogte blijven van ontwikkelingen?
Klik hier om u in te schrijven voor onze nieuwsbrief.