Berichten

Cyberaanvallers maken gebruik van social engineering attacks, een aanvalstype dat gericht is op het menselijke element in plaats van op het computersysteem en de software. De aanvaller probeert een persoon ertoe te verleiden een actie uit te voeren waardoor hij toegang krijgt tot de computer van het slachtoffer.

Een van de meest voorkomende soorten van dit soort aanvallen is een man-in-the-middle-aanval. Een man-in-the-middle-aanval doet zich voor wanneer een aanvaller zich voordoet als iemand anders om de slachtoffers wijs te maken dat zij rechtstreeks met elkaar praten via normaliserende protocollen zoals interactieve voice response, e-mail, instant messaging en webconferencing.

Hacken door menselijke manipulatie is gemakkelijker uit te voeren dan hacken rechtstreeks vanuit een externe bron. In dit artikel wordt besproken waarom SE-aanvallen in opmars zijn en waarom cyberaanvallers deze tactieken vaak gebruiken.

Waarom gebruiken cyberaanvallers social engineering-aanvallen: waarschijnlijke oorzaken en redenen

Social engineering aanvallen zijn een van de populairste en doeltreffendste methoden die tegenwoordig door hackers worden gebruikt. Bij deze aanvallen wordt vaak misbruik gemaakt van relaties tussen mensen, zoals het vertrouwen en de vertrouwdheid van werknemers, of de fysieke nabijheid tussen werknemers en klanten.

a. De menselijke factor is de zwakste schakel in traditionele beveiliging

Aanvallen zijn meestal doeltreffender wanneer ze op menselijke interactie berusten, wat betekent dat technologie ons niet tegen hen kan beschermen.

Het enige wat een aanvaller nodig heeft, is een beetje informatie over de gewoonten of voorkeuren van zijn doelwit en wat creativiteit in de manier waarop hij zich aan het slachtoffer voorstelt.

Hierdoor krijgen de aanvallers wat zij willen zonder hun toevlucht te hoeven nemen tot ingewikkeldere technieken, zoals het kraken van het netwerk van een organisatie of het inbreken in de systemen van een bedrijf.

b. Er is geen noodzaak voor geavanceerde hacking technieken

Social engineering-aanvallen maken gebruik van het vertrouwen van mensen om toegang te krijgen tot een systeem of netwerk. Deze aanvallen zijn effectief omdat het voor een aanvaller gemakkelijk is om toegang te krijgen, in plaats van geavanceerde hacktechnieken te gebruiken om zich met brute kracht een weg te banen in een netwerk.

Wanneer een aanvaller dit doet, maakt hij meestal gebruik van psychologisch manipulatieve technieken zoals phishing, spear phishing en pretexting.

Phishing houdt in dat een aanvaller e-mails verstuurt die legitiem lijken, maar bedoeld zijn om gebruikers te verleiden persoonlijke gegevens op te geven, zoals wachtwoorden of creditcardgegevens.

Spear phishing is wanneer een aanvaller dezelfde methoden gebruikt als bij phishing, maar met meer geavanceerde technieken zoals zich voordoen als iemand anders om u om de tuin te leiden en uw informatie te geven.

Met pretexting wordt bedoeld dat een aanvaller voorwendsels gebruikt om het vertrouwen van zijn slachtoffers te winnen voordat hij probeert van hen te stelen.

Als aanvallers eenmaal toegang hebben tot uw systeem of netwerk, kunnen ze daarbinnen alles doen wat ze willen, inclusief programma's installeren, bestanden wijzigen of zelfs wissen, zonder betrapt te worden door een beveiligingssysteem of beheerder die hen daarvan zou kunnen weerhouden als ze wisten wat er binnen hun netwerk gebeurde!

c. Dumpster Diving is makkelijker dan Brute Forcing in een netwerk

Dumpster diving is het verzamelen van informatie uit weggegooid materiaal om social engineering-aanvallen uit te voeren. Bij deze techniek wordt in de vuilnisbak gezocht naar schatten zoals toegangscodes of wachtwoorden die zijn opgeschreven op plakbriefjes. Dumpster diving maakt dergelijke activiteiten gemakkelijk uit te voeren, omdat het de hacker in staat stelt toegang tot het netwerk te krijgen zonder daadwerkelijk te hoeven inbreken.

De informatie die vuilnisduikers vinden, kan variëren van alledaagse gegevens, zoals een telefoonlijst of agenda, tot meer schijnbaar onschuldige gegevens zoals een organigram. Maar deze schijnbaar onschuldige informatie kan een aanvaller helpen bij het gebruik van social engineering-technieken om toegang tot het netwerk te krijgen.

Bovendien kan een computer die is weggegooid, een schatkamer zijn voor cyberaanvallers. Het is mogelijk informatie terug te halen van opslagmedia, waaronder schijven die zijn gewist of onjuist geformatteerd. Opgeslagen wachtwoorden en vertrouwde certificaten worden vaak op de computer opgeslagen en zijn kwetsbaar voor aanvallen.

De afgedankte apparatuur kan gevoelige gegevens bevatten op de Trusted Platform Module (TPM). Deze gegevens zijn belangrijk voor een organisatie omdat ze hen in staat stellen gevoelige informatie, zoals cryptografische sleutels, veilig op te slaan. Een social engineer zou de hardware-ID's die door een organisatie worden vertrouwd, kunnen gebruiken om misbruik te maken van hun gebruikers.

d. Maakt gebruik van de angst, hebzucht, en een gevoel van urgentie

Social engineering-aanvallen zijn gemakkelijk uit te voeren omdat ze op het menselijke element berusten. De cyberaanvaller kan charme, overredingskracht of intimidatie gebruiken om de perceptie van de persoon te manipuleren of de emotie van de persoon uit te buiten om belangrijke details over het bedrijf te verkrijgen.

Een cyberaanvaller zou bijvoorbeeld kunnen praten met een ontevreden werknemer van een bedrijf om verborgen informatie te verkrijgen, die vervolgens kan worden gebruikt om in te breken in het netwerk.

De ontevreden werknemer kan informatie over het bedrijf verstrekken aan een aanvaller als hij/zij vindt dat hij/zij oneerlijk wordt behandeld of mishandeld door zijn/haar huidige werkgever. De ontevreden werknemer kan ook informatie over het bedrijf geven als hij/zij geen andere baan heeft en binnenkort zonder werk zal komen te zitten.

Bij de meer geavanceerde methoden van hacken wordt ingebroken in een netwerk met behulp van meer geavanceerde technieken zoals malware, keyloggers en Trojaanse paarden. Deze geavanceerde technieken vergen veel meer tijd en moeite dan praten met een ontevreden werknemer om verborgen informatie te verkrijgen die kan worden gebruikt bij het inbreken in een netwerk.

De Zes Belangrijkste Principes van Invloed

Bij social engineering wordt misbruik gemaakt van zes specifieke kwetsbaarheden in de menselijke psyche. Deze kwetsbaarheden zijn geïdentificeerd door psycholoog Robert Cialdini in zijn boek "Invloed: The Psychology of Persuasion" en ze zijn:

Wederkerigheid - Wederkerigheid is de wens om gunsten in natura terug te betalen. We voelen ons vaak schuldig tegenover mensen die ons hebben geholpen; we vinden dat het onze verantwoordelijkheid is om hen te helpen. Dus als iemand ons om iets vraagt - een wachtwoord, toegang tot financiële gegevens of iets anders - zullen we eerder geneigd zijn te antwoorden als ze ons eerder hebben geholpen.

Commitment en consistentie - We hebben de neiging om dingen na verloop van tijd te doen in plaats van slechts één keer. We zullen eerder instemmen met een verzoek als we al hebben ingestemd met een van de onderdelen ervan - of zelfs met meerdere. Als iemand al eerder om toegang tot uw financiële gegevens heeft gevraagd, is het misschien toch niet zo'n groot probleem om het nog eens te vragen!

Sociaal Bewijs - Dit is een misleidingstechniek die berust op het feit dat we geneigd zijn het voorbeeld te volgen van mensen om ons heen (ook bekend als het "bandwagon effect"). Werknemers kunnen bijvoorbeeld worden beïnvloed door een bedreiger die met vals bewijs komt dat een andere werknemer aan een verzoek heeft voldaan.

Liking - We houden van mensen die de leiding lijken te hebben; dus een hacker kan een bericht naar je e-mailadres sturen dat eruit ziet alsof het van je baas komt of van een vriend van je, of zelfs van een expert op een gebied waarin je geïnteresseerd bent. Het bericht zou iets kunnen zeggen als, "Hey! Ik weet dat je aan dit project werkt en we hebben wat hulp nodig. Kunnen we binnenkort eens afspreken?" Meestal wordt om je hulp gevraagd, en als je akkoord gaat, geef je gevoelige informatie weg.

Autoriteit - Mensen onderwerpen zich over het algemeen aan autoriteitsfiguren omdat we hen zien als de "juiste" personen om te volgen en te gehoorzamen. Op deze manier kunnen social engineering-tactieken gebruik maken van onze neiging om mensen die gezaghebbend lijken te vertrouwen om van ons te krijgen wat ze willen.

Schaarste - Schaarste is een menselijk instinct dat in onze hersenen is verankerd. Het is het gevoel van "Ik heb dit nu nodig," of "Ik moet dit hebben." Dus wanneer mensen worden opgelicht door social engineers, zullen ze een gevoel van urgentie voelen om hun geld of informatie zo snel mogelijk op te geven.

Persoonlijkheden die kwetsbaar zijn voor Social Engineering & waarom?

Volgens Dr. Margaret Cunningham, hoofdonderzoekswetenschapper voor menselijk gedrag bij Forcepoint X-Labs - een bedrijf dat zich bezighoudt met cyberbeveiliging - zijn inschikkelijkheid en extraversie de persoonlijkheidskenmerken die het meest kwetsbaar zijn voor social engineering-exploits.

Mensen die het goed met hen kunnen vinden, zijn meestal vertrouwend, vriendelijk en bereid aanwijzingen zonder vragen op te volgen. Zij zijn goede kandidaten voor phishingaanvallen omdat zij eerder geneigd zijn op links te klikken of bijlagen te openen in e-mails die echt lijken.

Extraverte mensen zijn ook vatbaarder voor aanvallen van social engineering omdat ze vaak liever bij anderen zijn en ze anderen eerder vertrouwen. Ze wantrouwen de motieven van anderen eerder dan introverte mensen, waardoor ze misleid of gemanipuleerd kunnen worden door een social engineer.

Persoonlijkheden die bestand zijn tegen Social Engineering & waarom?

Mensen die weerbaar zijn tegen aanvallen van social engineering zijn doorgaans gewetensvol, introvert en hebben een hoge mate van self-efficacy.

Gewetensvolle mensen zijn het best in staat om oplichting door social engineering te weerstaan door zich te concentreren op hun eigen behoeften en verlangens. Ze zullen zich ook minder snel schikken naar de eisen van anderen.

Introverte mensen zijn minder vatbaar voor manipulatie van buitenaf omdat ze tijd voor zichzelf nemen en van eenzaamheid houden, waardoor ze zich minder snel laten beïnvloeden door sociale signalen of opdringerige mensen die hen proberen te beïnvloeden.

Zelfeffectiviteit is belangrijk omdat het ons helpt in onszelf te geloven, zodat we er meer vertrouwen in hebben dat we druk van anderen of invloeden van buitenaf kunnen weerstaan.

Bescherm uw organisatie tegen oplichting door social engineering met PowerDMARC

Social engineering is de praktijk waarbij werknemers en klanten worden gemanipuleerd om gevoelige informatie vrij te geven die kan worden gebruikt om gegevens te stelen of te vernietigen. In het verleden werd deze informatie verkregen door e-mails te sturen die eruit zagen alsof ze van een legitieme bron afkomstig waren, zoals uw bank of uw werkgever. Tegenwoordig is het veel gemakkelijker om e-mailadressen te vervalsen.

PowerDMARC helpt bij de bescherming tegen dit soort aanvallen door e-mailverificatieprotocollen zoals SPF, DKIM, en DMARC p=reject beleid in uw omgeving om het risico van directe domein-spoofing en e-mail phishing aanvallen te minimaliseren.

Als u uzelf, uw bedrijf en uw klanten wilt beschermen tegen social engineering aanvallen, meld u dan aan voor onze gratis DMARC proefversie vandaag nog!

Alvorens in te gaan op de soorten social engineering-aanvallen waaraan slachtoffers dagelijks ten prooi vallen, en op de komende aanvallen die het internet stormenderhand veroveren, gaan we eerst kort in op wat social engineering precies inhoudt. 

Om het in lekentaal uit te leggen, verwijst social engineering naar een tactiek voor het inzetten van cyberaanvallen waarbij dreigingsactoren psychologische manipulatie gebruiken om hun slachtoffers uit te buiten en te bedriegen.

Social Engineering: Definitie en voorbeelden

Wat is een social engineering aanval?

In tegenstelling tot cybercriminelen die inbreken in uw computer of e-mailsysteem, worden social engineering-aanvallen georkestreerd door te proberen de mening van een slachtoffer te beïnvloeden, zodat deze gevoelige informatie prijsgeeft. Veiligheidsanalisten hebben bevestigd dat meer dan 70% van de cyberaanvallen die jaarlijks op het internet plaatsvinden, social engineering-aanvallen zijn.

Voorbeelden van social engineering

Kijk eens naar het voorbeeld hieronder:

 

Hier zien we een online advertentie die het slachtoffer lokt met een belofte om $1000 per uur te verdienen. Deze advertentie bevat een kwaadaardige link die een malware installatie op hun systeem kan starten. 

Dit type aanval staat algemeen bekend als Online Baiting of gewoon Baiting, en is een vorm van social engineering-aanval. 

Hieronder staat nog een voorbeeld:

Zoals hierboven is aangetoond, kunnen social engineering-aanvallen ook worden uitgevoerd met e-mail als krachtig medium. Een veelvoorkomend voorbeeld hiervan is een Phishing-aanval. In het volgende deel gaan we dieper in op deze aanvallen.

Soorten social engineering-aanvallen

1. Vishing & Smishing

Stel, u krijgt vandaag een sms van uw bank (zogenaamd) waarin u wordt gevraagd uw identiteit te verifiëren door op een link te klikken, anders wordt uw rekening gedeactiveerd. Dit is een veelvoorkomend bericht dat vaak door cybercriminelen wordt verspreid om nietsvermoedende mensen voor de gek te houden. Zodra u op de link klikt, wordt u omgeleid naar een spoofingpagina die om uw bankgegevens vraagt. Wees gerust dat als u uiteindelijk uw bankgegevens aan de aanvallers verstrekt, zij uw rekening zullen leeghalen. 

Ook Vishing of Voice Phishing verloopt via telefoongesprekken in plaats van via SMS.

2. Online lokken / Baiting 

Tijdens het surfen op websites komen we elke dag een hele reeks online advertenties tegen. Hoewel de meeste van hen onschadelijk en authentiek zijn, kunnen er toch een paar rotte appels tussen zitten. Dit kan gemakkelijk worden geïdentificeerd door het spotten van advertenties die lijken te mooi om waar te zijn. Ze hebben meestal belachelijke claims en verlokkingen zoals het winnen van de jackpot of het aanbieden van een enorme korting.

Onthoud dat dit een valstrik kan zijn (aka a aas). Als iets te mooi lijkt om waar te zijn, is het dat waarschijnlijk ook. Daarom is het beter om verdachte advertenties op het internet te vermijden, en er niet op te klikken.

3. Phishing

Social engineering-aanvallen worden meestal via e-mail uitgevoerd, en worden Phishing genoemd. Phishing-aanvallen richten al bijna net zo lang als e-mail zelf bestaat, op wereldwijde schaal vernielingen aan. Sinds 2020 is het aantal phishing-aanvallen als gevolg van de sterke toename van e-mailcommunicatie sterk gestegen, waardoor grote en kleine organisaties worden opgelicht en dagelijks de voorpagina's van de kranten halen. 

Phishing-aanvallen kunnen worden ingedeeld in Spear phishing, whaling en CEO-fraude, waarbij men zich voordoet als respectievelijk bepaalde werknemers binnen een organisatie, besluitvormers van het bedrijf en de CEO.

4. Romantische oplichting

Het Federal Bureau of Investigation (FBI) omschrijft internetromantijfraude als "oplichting waarbij een crimineel een valse online-identiteit aanneemt om de genegenheid en het vertrouwen van een slachtoffer te winnen. De oplichter gebruikt vervolgens de illusie van een romantische of hechte relatie om het slachtoffer te manipuleren en/of van hem te stelen". 

Romance scams vallen onder de soorten social engineering-aanvallen omdat aanvallers manipulatieve tactieken gebruiken om een hechte romantische relatie met hun slachtoffers aan te gaan voordat ze overgaan tot hun belangrijkste agenda: namelijk hen oplichten. In 2021 namen Romance scams de #1 positie in als de financieel meest schadelijke cyberaanval van het jaar, op de voet gevolgd door ransomware.

5. Spoofing

Domein-spoofing is een sterk geëvolueerde vorm van social engineering-aanval. Hierbij vervalst een aanvaller een legitiem bedrijfsdomein om uit naam van de verzendende organisatie e-mails naar klanten te sturen. De aanvaller laat de slachtoffers geloven dat de e-mail afkomstig is van een authentieke bron, d.w.z. een bedrijf waarvan zij de diensten vertrouwen. 

Spoofing-aanvallen zijn moeilijk te traceren omdat e-mails worden verzonden vanaf het eigen domein van een bedrijf. Er zijn echter manieren om het probleem op te lossen. Een van de populaire methoden die door deskundigen in de sector worden gebruikt en aanbevolen, is het minimaliseren van spoofing met behulp van een DMARC setup.

6. Voorwendsel

Pretexting kan worden omschreven als een voorloper van een social engineering-aanval. Er is sprake van wanneer een aanvaller een hypothetisch verhaal weeft om zijn aanspraak op gevoelige bedrijfsinformatie te onderbouwen. In de meeste gevallen wordt pretexting uitgevoerd via telefoongesprekken, waarbij een aanvaller zich voordoet als een klant of werknemer en gevoelige informatie van het bedrijf eist.

Wat is een veel gebruikte methode bij social engineering?

De meest gebruikte methode bij social engineering is Phishing. Laten we eens kijken naar een aantal statistieken om beter te begrijpen hoe Phishing een toenemende wereldwijde bedreiging is:

  • Uit het CISCO-rapport 2021 Cybersecurity Threat Trends blijkt dat maar liefst 90% van de inbreuken op gegevens het gevolg is van phishing.
  • IBM draagt in zijn Cost of a Data Breach Report van 2021 de titel van financieel meest kostbare aanvalsvector over aan phishing
  • Volgens de FBI neemt het aantal phishing-aanvallen elk jaar met 400% toe.

Hoe bescherm je jezelf tegen Social Engineering aanvallen?

Protocollen en hulpmiddelen die u kunt configureren: 

  • Implementeer e-mailverificatieprotocollen in uw organisatie, zoals SPF, DKIM en DMARC. Begin vandaag nog met het aanmaken van een gratis DMARC record met onze DMARC record generator.
  • Handhaaf uw DMARC beleid op p=afwijzen om directe domein spoofing en e-mail phishing aanvallen te minimaliseren
  • Zorg ervoor dat uw computersysteem beschermd is met behulp van een antivirussoftware

Persoonlijke maatregelen die u kunt nemen:

  • Uw organisatie bewust te maken van veelvoorkomende social engineering-aanvallen, aanvalsvectoren en waarschuwingssignalen
  • Leer meer over aanvalsvectoren en -types. Bezoek onze kennisbank, voer "phishing" in de zoekbalk in, druk op enter, en begin vandaag nog met leren!  
  • Geef nooit vertrouwelijke informatie op externe websites
  • Applicaties voor identificatie van beller-ID inschakelen op uw mobiele toestel
  • Vergeet niet dat uw bank u nooit zal vragen om uw rekeninginformatie en wachtwoord via e-mail, sms of telefoon door te geven
  • Controleer altijd of het afzenderadres en het retouradres van uw e-mails overeenstemmen. 
  • Klik nooit op verdachte e-mailbijlagen of links voordat u 100% zeker bent van de authenticiteit van de bron
  • Denk twee keer na voordat je mensen vertrouwt met wie je online omgaat en die je niet in het echt kent
  • Surf niet op websites die niet via een HTTPS-verbinding zijn beveiligd (bijv. http://domain.com)