Social engineering
Social engineering is een breed begrip, maar omvat grofweg de technieken die (cyber)criminelen inzetten om door middel van psychologische manipulatie onder andere ondernemers te verleiden persoonlijke of bedrijfsgevoelige gegevens prijs te geven.
Wat is social engineering?
Social engineering bevat (net als bij vrijwel alle vormen van cyberaanvallen) een mate van psychologische manipulatie. De aanvaller beïnvloedt de ander om vervolgens het gewenste resultaat of voordeel te behalen. Social engineering is vaak succesvol omdat het zich richt op basale menselijke reacties.
Door het toepassen van psychologische manipulatie is social engineering erg lastig tegen te gaan. Om je als ondernemer toch beter te kunnen weren tegen dergelijke aanvallen is het allereerst belangrijk de meest voorkomende vormen en technieken te herkennen. Over het geheel genomen zijn social engineering aanvallen onder te verdelen in fysieke en digitale aanvallen:
Fysieke social engineering
We spreken van fysieke social engineering als aanvallen plaatsvinden op locatie en er niet per se technische (IT) vaardigheden voor vereist zijn. Hoewel er nog veel andere varianten bestaan, worden hieronder enkele veel toegepaste social engineering technieken uitgelegd:
- Meekijken (shoulder surfing)
Veel ondernemers werken nog even door in de trein, in een gedeeld kantoor of bedrijfsverzamelpand. Erg praktisch, maar hou er rekening mee dat er gemakkelijk over je schouder meegekeken kan worden terwijl jij of je medewerkers wachtwoorden intypen en/of werken aan/met gevoelige informatie. - Afval doorzoeken (dumpster diving)
Een bekende methode om simpel veel relevante en soms zelfs gevoelige gegevens te bemachtigen is het snuffelen in het afval van een bedrijf. Vergis je niet, zelfs schijnbaar onschuldige informatie als een bellijst, organogram of functieomschrijving kan nuttig zijn in een gerichte aanval. - Verspreiding van besmette USB-sticks
Hoe groot of klein je onderneming ook is, de kans is groot dat medewerkers iets kwijtraken of vinden. Dit kan een shawl, handschoen maar ook een USB-stick zijn. In een gerichte social engineering poging kan een aanvaller moedwillig een besmette USB-stick 'kwijtraken' die bij de receptie wordt afgeleverd. Op het moment dat de receptioniste de stick in de computer steekt heeft de aanvaller zijn doel bereikt en bijvoorbeeld toegang tot de (interne) systemen. - Impersonatie
Wanneer impersonatie wordt toegepast zal een aanvaller zich voordoen als iemand die je mogelijk vertrouwt om zo jou of je medewerkers om de tuin te leiden. Weet jij waarom de internetmonteur toegang nodig had tot de serverruimte van het bedrijf en hoe kun je er zeker van zijn dat hij zegt wie hij is? - Afleiding
Het afleiden van bijvoorbeeld baliemedewerkers met een goede smoes, verwarrend telefoongesprek of pakketbezorging kan voor een aanvaller een goed middel zijn om zijn/haar doel te bereiken.
Digitale social engineering
Bij digitale social engineering spreken we van aanvallen die plaatsvinden via digitale communicatiemiddelen zoals het internet en telefonie. Ook hier geldt dat er nog vele andere vormen bestaan. Hieronder een aantal veel voorkomende technieken:
- Phishing
Phishing is een vorm van internetfraude waarbij criminelen proberen persoonlijke of bedrijfsmatige gegevens te stelen via e-mailberichten. Een veel ingezette en doeltreffende methode. - Telefoonfraude (vishing)
Telefoonfraude komt in vele varianten zoals telefonische oplichting, malafide telefoonscripts en helpdeskfraude. - Sms-phishing (smishing)
De term smishing omvat het gebruik van sms-berichten om persoonlijke of bedrijfsgevoelige gegevens te bemachtigen. Deze berichten bevatten veelal links naar internetpagina's of er wordt gevraagd bepaalde software te installeren. - WhatsApp-fraude (vriend in nood-fraude)
Een variant op sms-phishing is een dringend hulpverzoek van iemand die zich voordoet als een vriend-in-nood via de berichtenapp WhatsApp. De oplichters hebben zich vaak via social engineering verdiept in hun slachtoffers. Eerst laten ze via een app-bericht weten een ‘nieuw telefoonnummer’ te hebben, compleet met profielfoto van de persoon van wie ze de identiteit gebruiken. De foto komt vaak van social media, evenals informatie over familierelaties. Het dringende hulpverzoek betreft vaak geld om een urgente schuld te kunnen betalen.
Social media
Social media zijn een zeer geschikt middel om snel en op gemakkelijke wijze zo veel mogelijk (persoonlijke) gegevens van een slachtoffer te achterhalen. Zijn jouw e-mailadres, adresgegevens en connecties wel goed afgeschermd of zijn deze in te zien door iedereen op het internet?
Spionage via social media
Het zijn vaak aantrekkelijke mannen of vrouwen die zich voordoen als een consultant of recruiter van een bedrijf of overheidsinstantie. In veel gevallen gaat er een buitenlands nepprofiel achter schuil achter degene die je persoonlijk benaderd en een vertrouwensband met je probeert op te bouwen. De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) legt uit hoe spionage via social media vaak wordt aangepakt. Lees hoe je een nepprofiel kunt herkennen en lees ook de praktijkverhalen van Lesley en Esma.
Voorbeeld van een WhatsApp-fraude
Voor aangifte van WhatsApp-fraude heeft de politie een apart formulier.
Adviezen
Social engineering wordt al decennia zeer succesvol door (cyber)criminelen toegepast en bewijst keer op keer een zeer geschikt middel te zijn om informatie te verkrijgen. Hoewel het beschermen tegen deze vormen van (internet)criminaliteit erg lastig blijkt worden hieronder enkele adviezen gegeven die jij en je medewerkers hierbij kunnen helpen:
- Bouw aan een positieve security cultuur
Niet iedereen binnen je onderneming is zich mogelijk even bewust van de risico's en maatregelen op securitygebied. Bouw daarom aan een positieve cultuur waarbij het maken van fouten niet wordt afgerekend en potentiële aanvallen snel gemeld worden bij de juiste personen. - Trainingen, workshops en hertests
Belangrijk is dat medewerkers binnen je onderneming zich bewust zijn van de risico's en maatregelen op security gebied. Daarom is het aan te raden iedereen binnen de organisatie (niet alleen het management) regelmatig te trainen en de opgedane kennis zowel theoretisch als praktisch te toetsen. Neem eens een kijkje bij het platform Samen Digitaal Veilig waar het DTC kennispartner bij is. - Wees kritisch op hoe en op welke wijze informatie wordt weggegooid
Zoals eerder vermeld kan zelfs een klein stukje ogenschijnlijk onbelangrijke informatie voor een aanvaller nuttig zijn. Door vrij simpele maatregelen in te voeren kun je al een groot verschil maken. Overweeg bijvoorbeeld om een papierversnipperaar te gebruiken voor de vernietiging van documenten. Ook kan je faciliteren dat er een centrale plek is voor het weggooien van gevoelige gegevens. Een eenvoudige maatregel is ook het afsluiten van de vuilcontainer door middel van een slot. - Computer vergrendelen
Wanneer je wegloopt van je computer (ook al is het maar voor even), is het aan te raden je computer te vergrendelen. Mocht er zich een ongewenst persoon binnen jouw bedrijf begeven heeft hij of zij in ieder geval geen toegang tot de bedrijfscomputers en (mogelijk) gevoelige gegevens. - Overweeg de aanschaf van privacy screenprotectors voor laptop/telefoon
In het geval dat je organisatie veel gevoelige gegevens behandelt en jij of je medewerkers veel onderweg zijn, is het aan te raden gebruik te maken van privacy screenprotectors op laptop en telefoon. Een screenprotector verkleint de kijkhoeken waardoor medewerkers minder vatbaar zijn voor meekijkers in bijvoorbeeld openbare ruimtes.
Ben je slachtoffer van online oplichting? Kijk hoe je aangifte kunt doen.
Herken jij de meest voorkomende online fraudes voor bedrijven?
De online fraudecijfers stijgen. Bescherm je bedrijf en zorg dat je de soorten online fraude herkent en voorkomt dat je in de val van een oplichter trapt. Lees welke soorten online fraude er zijn. Of test direct je kennis in de Online Fraude quiz.
Adviesbureau slachtoffer van zakelijke identiteitsfraude
Eigenaar Edwin de Ruijter van adviesbureau De Ruijter ontdekte dat de goede naam van zijn bedrijf wordt misbruikt om mensen op te lichten. Oplichters gebruiken een bijna zelfde bedrijfsnaam om geld bij slachtoffers af te troggelen. Met een advertentie lokken ze mensen naar een nepwebsite voor een neplening.
Zo kwam Giro555 in actie tegen nepmails
Cybercriminelen maken geen onderscheid in wie ze aanvallen. Zelfs Giro555 werd slachtoffer van een doortrapte oplichtingstruc met nepmails. Internetcriminelen stuurden mails rond met info@Giro555.nl als afzender. Gelukkig kon Giro555 snel handelen en werd er op die manier veel financiele schade voorkomen.