Bij social engineering-aanvallen probeert een aanvaller toegang te krijgen tot gegevens of diensten door relaties te smeden met mensen van wie hij het vertrouwen kan misbruiken. De eerste verdedigingslinie is alert blijven. De aanvaller kan u verleiden tot een gesprek dat meer een ondervraging wordt. De beste manier om uzelf te beschermen tegen social engineering is echter te weten wie u kunt vertrouwen en zelf betrouwbaar te zijn. U moet iedereen identificeren die toegang zou kunnen krijgen tot uw account of deze zou kunnen beïnvloeden en ervoor zorgen dat ze een goede reden hebben om dit te doen.
Wat is een Social Engineering-aanval?
Social engineering-aanval is een vorm van hacken waarbij een aanvaller toegang of informatie probeert te krijgen door misbruik te maken van vertrouwen. Het is een zeer effectieve aanval omdat het gebruik maakt van uw verlangen om mensen te helpen, nieuwsgierigheid en naïviteit. Een social engineer kan van u een onwetende medeplichtige maken door manipulatie op hoog niveau te gebruiken om te krijgen wat de aanvaller wil. Het is een vorm van hacken, maar in plaats van in te breken in computers, proberen social engineers toegang te krijgen door werknemers te verleiden tot het geven van informatie of het downloaden van malware.
Technieken voor social engineering
Social engineering-aanvallen kunnen worden uitgevoerd via de telefoon, e-mail of tekstberichten. Een social engineer kan een bedrijf bellen en vragen om toegang tot een beperkt gebied, of zich voordoen als iemand om iemand anders een e-mailaccount te laten openen in zijn naam.
Social engineers gebruiken veel verschillende tactieken om hun doel te bereiken. Ze kunnen bijvoorbeeld beweren dat ze van de helpdesk van een bedrijf bellen en toegang op afstand vragen zodat ze iets op uw computer of netwerk kunnen repareren. Of ze kunnen beweren dat ze uw wachtwoord of andere persoonlijke informatie, zoals bankgegevens, nodig hebben om een probleem met uw bankrekening op te lossen.
In sommige gevallen doen social engineers zich zelfs voor als ordehandhavers en dreigen ze met juridische stappen als u weigert in te gaan op hun verzoek om informatie. Hoewel het belangrijk is voor bedrijven om deze bedreigingen serieus te nemen, mag u niet vergeten dat de politie nooit iemand zal opbellen en hem telefonisch om zijn wachtwoorden zal vragen!
Doel van social engineering
Social engineering wordt vaak gebruikt bij phishing-aanvallen, dat zijn e-mails die van een betrouwbare bron afkomstig lijken te zijn, maar eigenlijk bedoeld zijn om uw persoonlijke gegevens te stelen. De e-mails bevatten meestal een bijlage met kwaadaardige software (vaak malware genoemd) die uw computer infecteert als deze wordt geopend.
Het doel van social engineering is altijd hetzelfde: toegang krijgen tot iets waardevols zonder ervoor te hoeven werken.
1. Het stelen van gevoelige informatie
Social engineers kunnen dus proberen u te verleiden tot het geven van uw wachtwoord en inloggegevens (zoals uw gebruikersnaam/e-mailadres), zodat ze toegang krijgen tot uw e-mailaccount of socialemediaprofiel, waar ze persoonlijke informatie kunnen stelen, zoals creditcardnummers en bankrekeninggegevens van eerdere transacties.
2. Identiteitsdiefstal
Zij zouden deze informatie ook kunnen gebruiken om de identiteit van het slachtoffer aan te nemen en later kwaadaardige activiteiten uit te voeren door zich voor te doen als henzelf, als zij ervoor kiezen deze informatie niet onmiddellijk te vernietigen.
Voorbeeld van een Social Engineering-aanval
Het gebruik van misleiding en bedrog om een voordeel te behalen bestond al ver voor de algemene beschikbaarheid van personal computers en het world wide web. Maar we kunnen verder terugkijken in de geschiedenis om enkele van de meest flagrante gevallen van social engineering-aanvallen te zien.
Bij het meest recente incident, dat plaatsvond in februari 2020, werd een phishing poging om Barbara Corcoran van ABC's "Shark Tank" op te lichten door middel van een valse renovatie factuur.Shark Tank" bijna 400.000 dollar afhandig te maken.
Als u slachtoffer bent van social engineering-aanvallen, is het essentieel dat u weet hoe u zich kunt beschermen tegen slachtofferschap. Leer de waarschuwingssignalen van een potentiële bedreiging en hoe u zich kunt beschermen.
Hoe herken je een Social Engineering-aanval?
1. Vertrouw op je gevoel
Als u e-mails of telefoontjes ontvangt die verdacht klinken, geef dan geen informatie totdat u uw identiteit heeft geverifieerd. U kunt dit doen door uw bedrijf rechtstreeks te bellen of door contact op te nemen met de persoon die zogenaamd de e-mail heeft verstuurd of een bericht op uw voicemail heeft achtergelaten.
2. Geef uw persoonlijke informatie niet door
Als iemand naar uw burgerservicenummer of andere privégegevens vraagt, is dat een teken dat hij misbruik wil maken van uw vertrouwen en het later tegen u wil gebruiken. Het is aan te raden geen informatie te geven tenzij het noodzakelijk is.
3. Ongebruikelijke verzoeken zonder context
Social engineers doen meestal grote verzoeken zonder enige context te geven. Als iemand om geld of andere middelen vraagt zonder uit te leggen waarom dat nodig is, is er waarschijnlijk iets vreemds aan de hand. Het is beter om voorzichtig te zijn als iemand zo'n groot verzoek doet - je weet nooit wat voor schade er kan worden aangericht met toegang tot je bankrekening!
Hier zijn enkele manieren waarop u social engineering-aanvallen kunt herkennen:
- Een e-mail ontvangen van iemand die beweert van uw IT-afdeling te zijn en u vraagt om uw wachtwoord opnieuw in te stellen en dit in een e-mail of sms te verstrekken.
- Een e-mail ontvangen van iemand die beweert van uw bank te zijn en om persoonlijke informatie vraagt, zoals uw rekeningnummer of PIN-code.
- Een e-mail ontvangen van iemand die beweert van uw bank te zijn en om persoonlijke informatie vraagt, zoals uw rekeningnummer of PIN-code.
- Gevraagd worden om informatie over het bedrijf door iemand die beweert van de HR-afdeling van het bedrijf te zijn.
Soorten Social Engineering-aanvallen
Het slachtofferen van mensen door middel van social engineering-aanvallen is een geweldige manier om fraude te plegen. Het kan op verschillende manieren gebeuren.
Toegang krijgen: Hackers kunnen toegang krijgen tot uw bankrekening door krediet aan te vragen op naam van een andere persoon. Deze fraude gaat vaak gepaard met een telefoontje of e-mail naar vrienden en familie, die vervolgens wordt gevraagd een overschrijving uit te voeren om de hacker snel te vergoeden voor de tol die hij op het leven van het slachtoffer heeft betaald.
Persoonlijke informatie stelen: Een andere veel voorkomende manier waarop mensen ertoe worden gebracht hun persoonlijke gegevens af te staan, is door te geloven dat ze een prijs of wedstrijd hebben gewonnen waaraan ze nooit hebben meegedaan, maar waarvoor ze zich wel hebben ingeschreven. En als ze zulke telefoontjes krijgen om er zeker van te zijn dat ze de prijs zullen krijgen zodra ze hun gegevens geven, komen de slachtoffers in de val van de aanvaller.
Phishing: Bij deze aanval sturen aanvallers e-mails die lijken te komen van legitieme bedrijven of organisaties, maar die kwaadaardige links of bijlagen bevatten. Bovendien is dit een van de meest voorkomende social engineering-aanvallen wereldwijd.
Pretexting: Een andere massale social engineering-aanval houdt in dat een valse identiteit of een vals scenario wordt gecreëerd om toegang te krijgen tot persoonlijke informatie. Een van de meest prominente voorbeelden van social engineering is dat aanvallers toegang krijgen om mensen te manipuleren via sms.
Schouder surfen: Het is een aanval waarbij de aanvaller over iemands schouder meekijkt om toegang te krijgen tot vertrouwelijke informatie. Soms is de aanvaller niets anders dan je goede vrienden of geliefden die je zullen chanteren zodra ze de informatie krijgen die ze altijd al wilden hebben. Het is dus essentieel om zulke mensen in de gaten te houden en nooit elk persoonlijk detail te verstrekken.
Tailgating: Tailgating is wanneer een aanvaller iemand volgt die gemachtigd is om een gebouw of een beveiligd gebied binnen te gaan zonder daadwerkelijk gemachtigd te zijn. Het komt niet zo vaak voor als andere social engineering-aanvallen, maar is toch gevaarlijk en kan schadelijke gevolgen hebben.
5 manieren om uzelf te beschermen tegen social engineering-aanvallen
Hier hebben we enkele nuttige tips of ideeën verzameld die helpen om uzelf te beschermen tegen sociale aanvallen of om social engineering-aanvallen te voorkomen:
1. Onbekende afzenders (e-mails vs. tekstberichten)
Let goed op het e-mailadres van de afzender en de inhoud van het bericht. Het is essentieel te weten dat u niet op verdachte documentlinks moet klikken.
2. Stop met het delen van persoonlijke informatie
Denk na voordat u persoonlijke informatie deelt, zoals wachtwoorden en creditcardnummers. Geen enkel legitiem bedrijf of individu zou ooit naar dit soort gevoelige informatie mogen vragen. Gebruik altijd sterke wachtwoorden en verander ze regelmatig. Vermijd het gebruik van dezelfde wachtwoorden voor meerdere accounts en voorkom dat u slachtoffer wordt van social engineering-aanvallen.
3. Lagen van beveiliging
Gebruik waar mogelijk tweefactorauthenticatie. Het kan een extra beveiligingslaag toevoegen door gebruikers te verplichten een code in te voeren die naar hun mobiele telefoon wordt gestuurd en hun gebruikersnaam en wachtwoord. Stel altijd verificatiecodes in met uw e-mailadres en telefoonnummer, zodat als iemand toegang krijgt tot een van beide systemen, hij uw account niet rechtstreeks kan gebruiken.
4. Anti-virussoftware
Installeer anti-malware en antivirussoftware op al je apparaten. Houd deze programma's up-to-date zodat ze je kunnen beschermen tegen de nieuwste bedreigingen. Als je echter een antivirusprogramma op je apparaten hebt geïnstalleerd, kan het een uitstekend schild vormen tegen social engineering-aanvallen.
5. Wees altijd bedacht op eventuele risico's
Het zou helpen als u altijd rekening hield met risico's. Zorg ervoor dat elk verzoek om informatie juist is door twee of drie keer te controleren. Let op nieuws over cyberbeveiliging als u door een recente inbreuk wordt getroffen.
Conclusie
Om uzelf te beschermen tegen social engineering aanvallen, moet u leren er voorzorgsmaatregelen tegen te nemen. Aangezien wij u al enkele standaardmethoden van social engineering-aanvallen hebben gegeven, die al eeuwenlang in de wereld worden gebruikt, moet u nu beginnen met het toepassen van de voorzorgsmaatregelen. Social engineering-aanvallen kunnen binnen enkele seconden iemands professionele leven beschadigen. Bescherm uw apparaten, wachtwoorden en andere aanmeldingen altijd met twee verificatiecodes voor authenticatie voor een buitenste beschermingslaag.
Praat eerst met een vertrouwde IT-professional of beveiligingsexpert zoals PowerDMARC. Zij kunnen u helpen inzicht te krijgen in de risico's van social engineering-aanvallen en hoe u deze tot een minimum kunt beperken.
