Wat weet u over Social Engineering?

In dit artikel gaan we in op verschillende vormen van Social Engineering. En niet onbelangrijk: we vertellen ook hoe u er het beste mee om gaat. Maar allereerst antwoord op de vraag: wat houdt Social Engineering precies in?
 

Wat is Social Engineering?

Social Engineering is een techniek die aanvallers inzetten om bij de IT-infrastructuur van een organisatie binnen te komen. De bekende uitspraak “IT-Beveiliging is zo sterk als de zwakste schakel” sluit aan op hetgeen waar Social Engineering zich op richt. Namelijk de zwakste schakel: beter bekend als de mens.

Hoe aanvallers gebruik maken van die zwakste schakel? Met Social Engineering technieken proberen ze vertrouwelijke informatie te ontfutselen van medewerkers binnen bedrijven. Met name inloggegevens. Die geven tenslotte toegang tot verschillende delen van de IT-omgeving.
 

Wat voor Social Engineering methodes zijn er?

De kans is groot dat u waarschijnlijk al eens te maken hebt gekregen met één van de Social Engineering methodes. Omdat het inspeelt op de zwakste schakel – de onoplettende mens – is het dankzij zijn succesvolheid een veelgebruikte techniek. Niemand wordt ontzien. Wat die technieken zijn? We hebben er een aantal op een rijtje gezet:

1. Afval doorzoeken

Laten we meteen beginnen met de Social Engineering methode waar niemand snel aan denkt: het doorzoeken van afval. Hebt u recent een collega erop gewezen dat het niet handig is wachtwoorden op te schrijven? Let dan op dat het desbetreffende briefje niet zomaar opgefrommeld is weggegooid. Papierversnipperaars bestaan niet voor niets.

Dat heeft alles te maken met gepassioneerde criminelen die tot het gaatje willen gaan om bij uw organisatie binnen te komen. Die zijn ook bereid door uw afval te neuzen. Ondanks dat niet elke onderneming hoeft te vrezen voor afvalgraaiers, is deze vorm van Social Engineering niet te onderschatten.

2. Phishing

De meest bekende vorm van Social Engineering waar iedereen wel eens mee te maken heeft gehad: phishing. Wie heeft er geen nepmail die op gehaaide wijze informatie wil ontfutselen in de mailbox gehad? Toch zijn phishing-acties niet altijd meer zoals vroeger. We zien in de praktijk dat ze steeds gerichter en geloofwaardiger zijn.

Zo slagen sommige aanvallers er zelfs in phishing-mails te versturen vanuit een bestaand account van een medewerker. Vaak is het doel van een phishing-actie als deze om toegang te krijgen tot de gegevens van admin-accounts die nog meer rechten hebben.

Er zijn verschillende vormen van phishing. Sterker nog: tegenwoordig beperkt het zich al lang niet meer tot mail-phishing. “Smishing” en “vishing” komen ook steeds vaker voor. Daarover schrijven we binnenkort een uitgebreid artikel.

3. Baiting

Deze Social Engineering methode lijkt een beetje op Phishing. Het doel van Baiting is vaak ook het verkrijgen van vertrouwelijke informatie, alleen hier gebruiken ze letterlijk “Bait” voor. Aas. Ze lokken doelwitten met bijvoorbeeld gratis film-downloads of gratis handige tools. Met het aas in de aanslag, hopen ze dat potentiële slachtoffers bereid zijn inloggegevens achter te laten in ruil voor de freebee.

Dit aas hoeft zich niet te beperken tot lokkertjes in de digitale wereld. En goed voorbeeld van Baiting in de fysieke wereld is een aanval uit 2018.

Medewerkers van een lokale overheidsinstantie in de US kregen namelijk een envelop met een CD erin opgestuurd. In de bijgevoegde brief werd de nieuwsgierigheid van de ontvangers zo erg aangewakkerd, dat een medewerker uiteindelijk de CD in zijn computer had gestopt. Het gevolg? Een met malware geïnfecteerde computer.

4. Quid Pro Quo

Weer een variant op een variant: Quid Pro Quo lijkt erg veel op Baiting. Bij Baiting wordt alleen vaak een product als aas ingezet, bij Quid Pro Quo is dat juist een service. Een goed voorbeeld is een nep-gemeentemedewerker die contact opneemt om u te informeren over een computerprobleem dat ze hebben. Eentje waarbij ze data zoals BSN’s niet meer goed op orde hebben. U raad het al: deze nep-medewerker vraagt u om uw BSN, zodat ze deze in kunnen zetten voor identiteitsfraude.

Dit is een voorbeeld uit de particuliere wereld, maar er zijn ook vormen van Quid Pro Quo die zich richten op organisaties. In hoeverre zijn uw collega’s in staat Quid Pro Quo te herkennen? Of bij voorbaat met voorzichtigheid te handelen wanneer er (telefonisch) om gegevens wordt gevraagd?

5. Tailgating

Zeker middelgrote bedrijven zijn doelwit van tailgating acties. Bij tailgating proberen aanvallers fysiek toegang te krijgen tot een van uw computers of zelfs serverruimtes. Hoe ze dat doen? Door uw locatie op te zoeken en zich via een van de medewerkers naar binnen te werken. Tailgating varieert van aanvallers die vlug hun voet tussen de deur schuiven wanneer iemand naar binnen loopt, tot goed voorbereide acties waarbij ze verkleed als servicemonteurs naar binnen gaan.

Om nog terug te komen op het doorzoeken van afval: naast het zoeken naar wachtwoorden, gaan aanvallers ook op zoek naar inside-informatie om geloofwaardig over te komen wanneer ze telefonisch of fysiek bij uw organisatie binnen proberen te komen. Daarbij gebruiken ze ook andere publieke bronnen zoals het internet.
 

Uw organisatie beschermen tegen Social Engineering

Social Engineering acties zijn gericht op de mens. Toch hoeft u niet alle oplossingen daadwerkelijk bij uw medewerkers te zoeken. Wel willen we voorop stellen dat het trainen en inlichten van medewerkers over Social Engineering een absolute must is. Helaas biedt dat nooit de optimale veiligheid. Waarom? Omdat de mens niet expres de zwakste schakel is.

Zelfs goed getrainde en ingelichte werknemers lopen risico in Social Engineering acties te trappen. Aanvallers zijn gehaaid en steeds beter in staat in te spelen op de primaire impulsen van mensen, waarmee ze zelfs de oplettende computergebruikers in weten te pakken. Daarnaast liggen ongelukken ook sneller op de loer wanneer iemand moe of gestrest is.
 

Concrete bescherming tegen Social Engineering

Laat uw collega’s hoe dan ook kennis maken met verschillende vormen van Social Engineering. Vraag ze daarnaast om:

• Onbekende linkjes, e-mails of bijlagen niet zomaar te openen. Licht ook altijd direct de IT-afdeling in. Het kan namelijk zijn dat een collega er wél in getrapt is, wat weer gevolgen heeft voor de algehele security. Dan zijn er vervolgstappen nodig.
• Vreemden nooit zomaar buiten het securitybeleid om binnen te laten, hoe betrouwbaar ze ook ogen. Volg altijd de procedure.
• Altijd door te vragen wanneer een (onbekende) organisatie belt en vraagt naar gegevens die als vertrouwelijk zijn bestempeld. Of nog beter: hang op en bel de desbetreffende organisatie op het nummer dat bij jullie bekend is. Dan weet u al snel of het initiële telefoontje legitiem was.
• Een laptop nooit onbeheerd achter te laten en al helemaal niet wanneer deze nog ontgrendeld is.
• Geen wachtwoordbriefjes op de monitor, onder het bureau of überhaupt ergens op de werkplek plakken.

Daarnaast adviseren we de volgende maatregelen om de kans op een succesvolle Social Engineering actie te verkleinen:

• Gebruik security software die u beschermt tegen de meeste e-mail en SaaS-bedreigingen. Zo maakt CloudGuard SaaS e-mails automatisch vrij van bestanden en linkjes die (eventueel) malafide zijn. Uiteraard zonder dat u inlevert op gebruiksgemak.
• Overweeg een fysieke penetratietest. Tijdens zo’n test proberen cybersecurity experts fysiek toegang te krijgen tot laptops en serverruimtes binnen uw pand. Doordat deze “Mystery Guests” het pand actief aanvallen, krijgt u een realistisch beeld van de kwetsbaarheden in het deurbeleid.

Meer weten over Social Engineering?

Security Architect Tom Heesmans schreef eerder al een uitgebreid artikel over Social Engineering dat zeker het lezen waard is. Liever in gesprek over Social Engineering en hoe u als organisatie weerbaar blijft tegen deze vorm van cybercrime? Neem dan vrijblijvend contact met ons op.