Wie weet bent u zelf al eens met social engineering in aanraking gekomen. Die kans is namelijk groot. Wat social engineering is? En hoe het er in de praktijk uit ziet? In dit artikel geven we voorbeelden.
Wat is social engineering?
Social engineering is een vorm van manipulatie ten behoeve van cyberaanvallen. Aanvallers zettenpsychologie in om iemand te misleiden iets te doen. Zo maken ze misbruik van menselijke eigenschappen als vertrouwen, empathie, nieuwsgierigheid of haast.
Bij social engineering gaat het dus niet om de technische kwetsbaarheden, maar om menselijke kwetsbaarheden. Binnen de cyber security komt de uitspraak “De mens is de zwaktste schakel” geregeld voor. Daar speelt social engineering op in. En het doel? Dat is vaak het verkrijgen van gevoelige data of toegang tot systemen.
Voorbeelden van social engineering
We gaan direct over naar de voorbeelden van social engineering. Dan gaat het zeker meer tot de verbeelding spreken.
1. Toegang tot webapplicatie met phishing
Phishingacties: een vorm van social engineering waar u vast ooit eens aan bloot bent gesteld. In dit voorbeeld leest u hoe aanvallers phishing gebruiken om toegang te krijgen tot een webapplicatie waarin klantgegevens opgeslagen staan:
1. Doelwit kiezen: Een aanval start altijd met een doelwit. Bij veel phishingacties schieten aanvallers met hagel. Maar wanneer een hacker toegang wil krijgen tot een onderdeel van een organisatie, doet die eerst onderzoek naar – in dit geval – de applicatiebeheerder.
2. Een e-mail opstellen: De volgende stap is het maken van een zo persoonlijk en realistisch mogelijkee-mail. Tegenwoordig gaat dat met veel zorgvuldigheid. Aanvallers zijn steeds beter in staat een e-mail op te stellen die er precies uitziet als die van bijvoorbeeld de provider van de webapplicatie. Zelfs aan de afzender is soms niet te zien dat het om een nep-mail gaat.
3. Inspelen op menselijke eigenschappen: De inhoud van de mail kan zijn “Er is een beveiligingsprobleem! Onderneem nu actie”. Angst, druk en urgentie: aanvallers zetten het allemaal slim in om het doelwit snel tot actie over te laten gaan. Want hoe gehaaster het doelwit is: hoe groter de kans dat die zonder na te denken handelt. En dus in deze social engineering val trapt.
4. De phishing-link: in het geval van dit voorbeeld, wil de aanvaller dat het doelwit toegang geeft tot de webapplicatie. Enkel inloggegevens zijn al genoeg. Daarom is de kans groot dat de phishing-link leidt naar een pagina die lijkt op de inlogpagina van de provider. Het doelwit doorloopt haastig de authenticatiestappen. En deze inloggegevens? Die komen direct bij de aanvaller terecht.
Bovenstaand voorbeeld is veelvoorkomend. Dagelijks zetten aanvallers deze vorm van social engineering in om aan inloggegevens te komen. Maar phishing is ook op andere manieren in te zetten. Bijvoorbeeld omcreditcardgegevens te stelen. Het is daarom belangrijk om dagelijks waakzaam te zijn: voelt een mail erg urgent aan? Ga dan altijd na of de mail wel echt is.
2. Een ander voorbeeld van social engineering: de “USB Drop Attack”
Deze vorm van social engineering laat misschien minder snel een belletje rinkelen. We geven meteen een uitleg: bij een USB Drop Attack laat een aanvaller besmette USB-sticks achter op strategische locaties. Dat kan de parkeerplaats van het doelwitkantoor zijn, maar aanvallers gaan soms ook zo ver dat ze fysiek de locatie betreden en de USBs binnen kantoren achterlaten.
1. USB-sticks personaliseren: Aanvallers met oog voor detail personaliseren de USB-sticks die ze ingekocht hebben van tevoren. Bijvoorbeeld met het logo van het doelwitbedrijf. Of juist met labels die nieuwsgierigheid opwekken zoals “Gegevens XYZ”. Het hoeven overigens niet altijd USB-sticks te zijn. Er bestaan ook USB-kabels waarop malware te installeren is.
2. Het besmetten van de USB-sticks: De aanval start met het besmetten van de USB-stick. Vaak zorgt de aanvaller dat de USB direct malware zoals ransomware (of een keylogger) installeert. Of iets waardoor ze de computer kunnen overnemen. Hoe dat kan? Lees hier meer over de USB Rubber Ducky.
3. USB-sticks achterlaten: De aanvaller gaat na wat goede plaatsen zijn om de USB-sticks achter te laten. Het belangrijkste is dat werknemers de doelwitorganisatie ze makkelijk kunnen tegenkomen.
4. Slachtoffer gebruikt de USB: Of het slachtoffer de USB nu gebruikt omdat ‘ie er snel eentje nodig heeft, of omdat ze nieuwsgierig zijn naar “Gegevens XYZ”: als haast of nieuwsgierigheid het winnen van verstand, slaagt de social engineering actie.
5. Besmetting: Nu de USB in de computer zit, kan de malware zich verspreiden.
Steeds meer (grote) organisaties hebben een beleid rondom USB-sticks. Maar nog lang niet elk bedrijf heefthun personeel bewust gemaakt van de risico’s van het gebruik van onbekende USB-sticks. Belangrijk om voorzichtig te zijn met digitale opslag die in onbekende omgevingen worden aangetroffen.
3. Voorbeeld van CEO-fraude
Social engineering is ook in te zetten om direct geld van een organisatie te stelen. Vaak passen aanvallers dan CEO-fraude toe. Hierbij doet de aanvaller zich voor als iemand in een C-level functie. Hieronder het complete voorbeeld:
1. Identificatie doelwit: De hacker start weer met het doelwit. In dit geval kijkt de hacker naar CEO en de financiële afdeling van het bedrijf. Via bijvoorbeeld LinkedIn neemt de aanvaller kennis van de namen en rollen van belangrijke medewerkers. Ook het verkrijgen van e-mailadressen is van belang. LinkedIn en de bedrijfswebsite zijn beiden een belangrijke bron.
2. E-mailadressen vervalsen: Nu de aanvaller weet hoe het originele emailadres van de CEO is opgebouwd, is het tijd om deze te vervalsen. Hackers maken dan een nieuw e-mailadres aan dat lijkt op het originele, maar dan met een subtiele wijziging. Denk aan een extra punt of een kleine lekker L ipv een hoofdletter I.
3. E-mailen: De volgende stap is het versturen van e-mails vanaf het vervalste adres. De hacker doet zich voor als de CEO en verzoekt mensen binnen de financiële afdeling om geld over te maken naar een externe bankrekening (die van de hacker of van een katvanger). Vaak zijn deze mails ook urgent van aard.
4. Het overboeken: Hoe overtuigender, ogenschijnlijk legitiemer en realistischer de e-mail, hoe groter de kans dat de financiële afdeling ingaat op het urgente verzoek en het geld overmaakt.
Social engineering: de mens als zwakste schakel
Een infrastructuur kan technisch nog zo waterdicht zijn: als een collega in een social engineering actie trapt, is er alsnog sprake van een cyberaanval. Het geeft maar aan hoe belangrijk het is alert te zijn op de natuurlijke kwetsbaarheden van de mens.
Letterlijk iedereen kan slachtoffer worden van social engineering. Een gebroken nacht en een blue monday kunnen al genoeg zijn om alle alertheid te verliezen. Kijk daarom of het mogelijk is sommige kwetsbaarheden technisch op te vangen. Zo helpt Check Point Harmony tegen verschillende vormen van social engineering via e-mail.
