Cyberaanvallers maken gebruik van Social engineering, een soort aanval die gericht is op het menselijke element, in plaats van op het computersysteem en de bijbehorende software. De aanvaller probeert een persoon ertoe te verleiden een actie uit te voeren waardoor hij toegang krijgt tot de computers van het slachtoffer.
Een van de meest voorkomende soorten van dit soort aanvallen is een man-in-the-middle-aanval. Een man-in-the-middle-aanval doet zich voor wanneer een aanvaller zich voordoet als iemand anders om de slachtoffers wijs te maken dat zij rechtstreeks met elkaar praten via normaliserende protocollen zoals interactieve voice response, e-mail, instant messaging en webconferencing.
Hacken door menselijke manipulatie is gemakkelijker uit te voeren dan hacken rechtstreeks vanuit een externe bron. In dit artikel wordt besproken waarom SE-aanvallen in opmars zijn en waarom cyberaanvallers deze tactieken vaak gebruiken.
Waarom gebruiken Cyberaanvallers Social Engineering: Waarschijnlijke oorzaken en redenen
Social engineering aanvallen zijn een van de populairste en doeltreffendste methoden die tegenwoordig door hackers worden gebruikt. Bij deze aanvallen wordt vaak misbruik gemaakt van relaties tussen mensen, zoals het vertrouwen en de vertrouwdheid van werknemers, of de fysieke nabijheid tussen werknemers en klanten.
a. De menselijke factor is de zwakste schakel in traditionele beveiliging
Aanvallen zijn meestal doeltreffender wanneer ze op menselijke interactie berusten, wat betekent dat technologie ons niet tegen hen kan beschermen.
Het enige wat een aanvaller nodig heeft, is een beetje informatie over de gewoonten of voorkeuren van zijn doelwit en wat creativiteit in de manier waarop hij zich aan het slachtoffer voorstelt.
Hierdoor krijgen de aanvallers wat zij willen zonder hun toevlucht te hoeven nemen tot ingewikkeldere technieken, zoals het kraken van het netwerk van een organisatie of het inbreken in de systemen van een bedrijf.
b. Er is geen noodzaak voor geavanceerde hacking technieken
Social engineering-aanvallen maken gebruik van het vertrouwen van mensen om toegang te krijgen tot een systeem of netwerk. Deze aanvallen zijn effectief omdat het voor een aanvaller gemakkelijk is om toegang te krijgen, in plaats van geavanceerde hacktechnieken te gebruiken om zich met brute kracht een weg te banen in een netwerk.
Wanneer een aanvaller dit doet, maakt hij meestal gebruik van psychologisch manipulatieve technieken zoals phishing, spear phishing en pretexting.
Phishing houdt in dat een aanvaller e-mails verstuurt die legitiem lijken, maar bedoeld zijn om gebruikers te verleiden persoonlijke gegevens op te geven, zoals wachtwoorden of creditcardgegevens.
Spear phishing is wanneer een aanvaller dezelfde methoden gebruikt als bij phishing, maar met meer geavanceerde technieken zoals zich voordoen als iemand anders om u om de tuin te leiden en uw informatie te geven.
Met pretexting wordt bedoeld dat een aanvaller voorwendsels gebruikt om het vertrouwen van zijn slachtoffers te winnen voordat hij probeert van hen te stelen.
Als aanvallers eenmaal toegang hebben tot uw systeem of netwerk, kunnen ze daarbinnen alles doen wat ze willen, inclusief programma's installeren, bestanden wijzigen of zelfs wissen, zonder betrapt te worden door een beveiligingssysteem of beheerder die hen daarvan zou kunnen weerhouden als ze wisten wat er binnen hun netwerk gebeurde!
c. Dumpster Diving is makkelijker dan Brute Forcing in een netwerk
Dumpster diving is het verzamelen van informatie uit weggegooid materiaal om social engineering-aanvallen uit te voeren. Bij deze techniek wordt in de vuilnisbak gezocht naar schatten zoals toegangscodes of wachtwoorden die zijn opgeschreven op plakbriefjes. Dumpster diving maakt dergelijke activiteiten gemakkelijk uit te voeren, omdat het de hacker in staat stelt toegang tot het netwerk te krijgen zonder daadwerkelijk te hoeven inbreken.
De informatie die vuilnisduikers vinden, kan variëren van alledaagse gegevens, zoals een telefoonlijst of agenda, tot meer schijnbaar onschuldige gegevens zoals een organigram. Maar deze schijnbaar onschuldige informatie kan een aanvaller helpen bij het gebruik van social engineering-technieken om toegang tot het netwerk te krijgen.
Bovendien kan een computer die is weggegooid, een schatkamer zijn voor cyberaanvallers. Het is mogelijk informatie terug te halen van opslagmedia, waaronder schijven die zijn gewist of onjuist geformatteerd. Opgeslagen wachtwoorden en vertrouwde certificaten worden vaak op de computer opgeslagen en zijn kwetsbaar voor aanvallen.
De afgedankte apparatuur kan gevoelige gegevens bevatten op de Trusted Platform Module (TPM). Deze gegevens zijn belangrijk voor een organisatie omdat ze hen in staat stellen gevoelige informatie, zoals cryptografische sleutels, veilig op te slaan. Een social engineer zou de hardware-ID's die door een organisatie worden vertrouwd, kunnen gebruiken om misbruik te maken van hun gebruikers.
d. Maakt gebruik van de angst, hebzucht, en een gevoel van urgentie
Social engineering-aanvallen zijn gemakkelijk uit te voeren omdat ze op het menselijke element berusten. De cyberaanvaller kan charme, overredingskracht of intimidatie gebruiken om de perceptie van de persoon te manipuleren of de emotie van de persoon uit te buiten om belangrijke details over het bedrijf te verkrijgen.
Een cyberaanvaller zou bijvoorbeeld kunnen praten met een ontevreden werknemer van een bedrijf om verborgen informatie te verkrijgen, die vervolgens kan worden gebruikt om in te breken in het netwerk.
De ontevreden werknemer kan informatie over het bedrijf verstrekken aan een aanvaller als hij/zij vindt dat hij/zij oneerlijk wordt behandeld of mishandeld door zijn/haar huidige werkgever. De ontevreden werknemer kan ook informatie over het bedrijf geven als hij/zij geen andere baan heeft en binnenkort zonder werk zal komen te zitten.
Bij de meer geavanceerde methoden van hacken wordt ingebroken in een netwerk met behulp van meer geavanceerde technieken zoals malware, keyloggers en Trojaanse paarden. Deze geavanceerde technieken vergen veel meer tijd en moeite dan praten met een ontevreden werknemer om verborgen informatie te verkrijgen die kan worden gebruikt bij het inbreken in een netwerk.
De Zes Belangrijkste Principes van Invloed
Bij social engineering wordt misbruik gemaakt van zes specifieke kwetsbaarheden in de menselijke psyche. Deze kwetsbaarheden zijn geïdentificeerd door psycholoog Robert Cialdini in zijn boek "Invloed: The Psychology of Persuasion" en ze zijn:
➜ Wederkerigheid - Wederkerigheid is de wens om gunsten in natura terug te betalen. We voelen ons vaak schuldig tegenover mensen die ons hebben geholpen; we vinden dat het onze verantwoordelijkheid is om hen te helpen. Dus als iemand ons om iets vraagt - een wachtwoord, toegang tot financiële gegevens of iets anders - zullen we eerder geneigd zijn te antwoorden als ze ons eerder hebben geholpen.
➜ Commitment en consistentie - We hebben de neiging om dingen na verloop van tijd te doen in plaats van slechts één keer. We zullen eerder instemmen met een verzoek als we al hebben ingestemd met een van de onderdelen ervan - of zelfs met meerdere. Als iemand al eerder om toegang tot uw financiële gegevens heeft gevraagd, is het misschien toch niet zo'n groot probleem om het nog eens te vragen!
➜ Sociaal Bewijs - Dit is een misleidingstechniek die berust op het feit dat we geneigd zijn het voorbeeld te volgen van mensen om ons heen (ook bekend als het "bandwagon effect"). Werknemers kunnen bijvoorbeeld worden beïnvloed door een bedreiger die met vals bewijs komt dat een andere werknemer aan een verzoek heeft voldaan.
➜ Liking - We houden van mensen die de leiding lijken te hebben; dus een hacker kan een bericht naar je e-mailadres sturen dat eruit ziet alsof het van je baas komt of van een vriend van je, of zelfs van een expert op een gebied waarin je geïnteresseerd bent. Het bericht zou iets kunnen zeggen als, "Hey! Ik weet dat je aan dit project werkt en we hebben wat hulp nodig. Kunnen we binnenkort eens afspreken?" Meestal wordt om je hulp gevraagd, en als je akkoord gaat, geef je gevoelige informatie weg.
➜ Autoriteit - Mensen onderwerpen zich over het algemeen aan autoriteitsfiguren omdat we hen zien als de "juiste" personen om te volgen en te gehoorzamen. Op deze manier kunnen social engineering-tactieken gebruik maken van onze neiging om mensen die gezaghebbend lijken te vertrouwen om van ons te krijgen wat ze willen.
➜ Schaarste - Schaarste is een menselijk instinct dat in onze hersenen is verankerd. Het is het gevoel van "Ik heb dit nu nodig," of "Ik moet dit hebben." Dus wanneer mensen worden opgelicht door social engineers, zullen ze een gevoel van urgentie voelen om hun geld of informatie zo snel mogelijk op te geven.
Persoonlijkheden die kwetsbaar zijn voor Social Engineering & waarom?
Volgens Dr. Margaret Cunningham, hoofdonderzoekswetenschapper voor menselijk gedrag bij Forcepoint X-Labs - een bedrijf dat zich bezighoudt met cyberbeveiliging - zijn inschikkelijkheid en extraversie de persoonlijkheidskenmerken die het meest kwetsbaar zijn voor social engineering-exploits.
Mensen die het goed met hen kunnen vinden, zijn meestal vertrouwend, vriendelijk en bereid aanwijzingen zonder vragen op te volgen. Zij zijn goede kandidaten voor phishingaanvallen omdat zij eerder geneigd zijn op links te klikken of bijlagen te openen in e-mails die echt lijken.
Extraverte mensen zijn ook vatbaarder voor aanvallen van social engineering omdat ze vaak liever bij anderen zijn en ze anderen eerder vertrouwen. Ze wantrouwen de motieven van anderen eerder dan introverte mensen, waardoor ze misleid of gemanipuleerd kunnen worden door een social engineer.
Persoonlijkheden die bestand zijn tegen Social Engineering & waarom?
Mensen die weerbaar zijn tegen aanvallen van social engineering zijn doorgaans gewetensvol, introvert en hebben een hoge mate van self-efficacy.
Gewetensvolle mensen zijn het best in staat om oplichting door social engineering te weerstaan door zich te concentreren op hun eigen behoeften en verlangens. Ze zullen zich ook minder snel schikken naar de eisen van anderen.
Introverte mensen zijn minder vatbaar voor manipulatie van buitenaf omdat ze tijd voor zichzelf nemen en van eenzaamheid houden, waardoor ze zich minder snel laten beïnvloeden door sociale signalen of opdringerige mensen die hen proberen te beïnvloeden.
Zelfeffectiviteit is belangrijk omdat het ons helpt in onszelf te geloven, zodat we er meer vertrouwen in hebben dat we druk van anderen of invloeden van buitenaf kunnen weerstaan.
Bescherm uw organisatie tegen oplichting door social engineering met PowerDMARC
Social engineering is de praktijk waarbij werknemers en klanten worden gemanipuleerd om gevoelige informatie vrij te geven die kan worden gebruikt om gegevens te stelen of te vernietigen. In het verleden werd deze informatie verkregen door e-mails te sturen die eruit zagen alsof ze van een legitieme bron afkomstig waren, zoals uw bank of uw werkgever. Tegenwoordig is het veel gemakkelijker om e-mailadressen te vervalsen.
PowerDMARC helpt bij de bescherming tegen dit soort aanvallen door e-mailverificatieprotocollen zoals SPF, DKIM, en DMARC p=reject beleid in uw omgeving om het risico van directe domein-spoofing en e-mail phishing aanvallen te minimaliseren.
Als u uzelf, uw bedrijf en uw klanten wilt beschermen tegen social engineering aanvallen, meld u dan aan voor onze gratis DMARC proefversie vandaag nog!
