Typen social engineering-aanvallen in 2022

Blog

6 Typen social engineering-aanvallen om te leren over en jezelf tegen te beschermen in 2022. Hoe social engineering-aanvallen stoppen?

door YunesTarada

Leestijd: 6 min
Typen social engineering-aanvallen in 2022
Inhoudsopgave-

Voordat we dieper ingaan op de soorten social engineering-aanvallen waar slachtoffers dagelijks het slachtoffer van worden en op nieuwe aanvallen die het internet hebben veroverd, gaan we eerst kort in op wat social engineering precies inhoudt. 

Om het in lekentaal uit te leggen: social engineering verwijst naar een inzettactiek bij cyberaanvallen waarbij bedreigers psychologische manipulatie gebruiken om hun slachtoffers uit te buiten en op te lichten.

Belangrijkste opmerkingen

  1. Social engineering-aanvallen maken gebruik van psychologische manipulatie om slachtoffers uit te buiten in plaats van te vertrouwen op technische hackmethoden.
  2. Phishing-aanvallen zijn de meest voorkomende vorm van social engineering en verantwoordelijk voor 90% van de gegevenslekken.
  3. Vishing en smishing worden steeds vaker gebruikt door cybercriminelen om mensen te misleiden tot het delen van gevoelige informatie via telefoontjes en sms'jes.
  4. Online baiting vindt plaats wanneer aanvallers verleidelijke advertenties gebruiken om slachtoffers te verleiden op kwaadaardige koppelingen te klikken.
  5. Beschermende maatregelen zijn onder andere bewustmaking, het gebruik van e-mailverificatieprotocollen en op je hoede zijn voor ongevraagde verzoeken om persoonlijke informatie.

Social engineering: Definitie en voorbeelden

Wat is een social engineering-aanval?

In tegenstelling tot cybercriminelen die je computer of e-mailsysteem hacken, worden social engineering-aanvallen georkestreerd door te proberen de mening van een slachtoffer te beïnvloeden, zodat hij of zij gevoelige informatie prijsgeeft. Beveiligingsanalisten hebben bevestigd dat meer dan 70% van de cyberaanvallen die jaarlijks plaatsvinden op internet social engineering-aanvallen zijn.

Beveiliging vereenvoudigen met PowerDMARC!

15 dagen op proefBoek een demo

Voorbeelden van social engineering

Kijk eens naar het voorbeeld hieronder:

 

Hier zien we een online advertentie die het slachtoffer lokt met de belofte om $1000 per uur te verdienen. Deze advertentie bevat een schadelijke link die een malware-installatie op hun systeem kan starten. 

Dit type aanval staat bekend als Online Baiting of simpelweg Baiting en is een vorm van social engineering-aanval. 

Hieronder staat nog een voorbeeld:

Zoals hierboven is aangetoond, kunnen social engineering-aanvallen ook worden uitgevoerd met e-mail als krachtig medium. Een veelvoorkomend voorbeeld hiervan is een Phishing aanval. In de volgende sectie gaan we dieper in op deze aanvallen.

Soorten Social Engineering-aanvallen

1. Vishing & Smishing

Stel, je krijgt vandaag een sms van je bank waarin je (zogenaamd) wordt gevraagd om je identiteit te verifiëren door op een link te klikken, anders wordt je account gedeactiveerd. Dit is een veelvoorkomend bericht dat vaak wordt verspreid door cybercriminelen om nietsvermoedende mensen voor de gek te houden. Zodra je op de link klikt, word je omgeleid naar een valse pagina die om je bankgegevens vraagt. Wees gerust: als je uiteindelijk je bankgegevens aan de aanvallers geeft, zullen ze je rekening leeghalen. 

Op dezelfde manier wordt Vishing of Voice phishing geïnitieerd via telefoongesprekken in plaats van SMS.

2. Online aas / lokaas 

Tijdens het surfen op websites komen we dagelijks allerlei online advertenties tegen. Hoewel de meeste van hen onschadelijk en authentiek zijn, kunnen er een paar rotte appels tussen zitten. Dit kan gemakkelijk worden vastgesteld door het spotten van advertenties die te mooi lijken om waar te zijn. Ze hebben meestal belachelijke claims en lokken zoals het winnen van de jackpot of het aanbieden van een enorme korting.

Onthoud dat dit een val kan zijn (aka a lokaas). Als iets te mooi lijkt om waar te zijn, is dat waarschijnlijk ook zo. Daarom is het beter om verdachte advertenties op het internet te vermijden en er niet op te klikken.

3. Phishing

Social engineering-aanvallen worden meestal uitgevoerd via e-mails en worden Phishing genoemd. Phishing-aanvallen richten al bijna net zo lang een ravage aan op wereldwijde schaal als e-mail zelf bestaat. Sinds 2020, als gevolg van een piek in e-mailcommunicatie, is de snelheid van phishing ook omhooggeschoten, waardoor organisaties, groot en klein, worden opgelicht en elke dag voorpagina's halen. 

Phishing-aanvallen kunnen worden onderverdeeld in Spear phishing, whaling en CEO-fraude, die respectievelijk verwijzen naar het zich voordoen als specifieke werknemers binnen een organisatie, besluitvormers van het bedrijf en de CEO.

4. Romantische zwendel

Het Federal Bureau of Investigation (FBI) definieert internetromantiefraude als "oplichting waarbij een crimineel een valse online identiteit aanneemt om de genegenheid en het vertrouwen van een slachtoffer te winnen. De oplichter gebruikt vervolgens de illusie van een romantische of hechte relatie om het slachtoffer te manipuleren en/of te bestelen." 

Romance scams vallen onder de soorten social engineering-aanvallen omdat aanvallers manipulatieve tactieken gebruiken om een hechte romantische relatie met hun slachtoffers op te bouwen voordat ze hun belangrijkste agenda uitvoeren: hen oplichten. In 2021 nam romantische zwendel de eerste plaats in als de cyberaanval met de meeste financiële schade van het jaar, op de voet gevolgd door ransomware.

5. Spoofing

Domein-spoofing is een sterk ontwikkelde vorm van social engineering-aanval. Hierbij vervalst een aanvaller een legitiem bedrijfsdomein om namens de verzendende organisatie e-mails naar klanten te sturen. De aanvaller laat slachtoffers geloven dat de e-mail afkomstig is van een authentieke bron, namelijk een bedrijf waarvan ze de diensten vertrouwen. 

Spoofing-aanvallen zijn moeilijk te traceren omdat e-mails vanaf het eigen domein van een bedrijf worden verzonden. Er zijn echter manieren om dit op te lossen. Een van de populaire methoden die wordt gebruikt en aanbevolen door experts uit de branche is om spoofing te minimaliseren met behulp van een DMARC setup.

6. Smoesjes

Pretexting kan worden beschouwd als een voorloper van een social engineering-aanval. Hierbij weeft een aanvaller een hypothetisch verhaal om zijn aanspraak op gevoelige bedrijfsinformatie te ondersteunen. In de meeste gevallen wordt pretexting uitgevoerd via telefoongesprekken, waarbij een aanvaller zich voordoet als een klant of werknemer en gevoelige informatie van het bedrijf eist.

Wat is een veelgebruikte methode bij social engineering?

De meest gebruikte methode bij social engineering is Phishing. Laten we eens kijken naar enkele statistieken om beter te begrijpen hoe Phishing een toenemende wereldwijde bedreiging is:

  • In het Cybersecurity Threat Trends 2021-rapport van CISCO wordt benadrukt dat maar liefst 90% van de inbreuken op gegevens plaatsvinden als gevolg van phishing.
  • IBM delegeerde in hun Cost of a Data Breach Report van 2021 de titel van financieel meest kostbare aanvalsvector aan phishing.
  • Elk jaar blijkt het aantal phishingaanvallen met 400% toe te nemen, zoals gerapporteerd door de FBI.

Hoe bescherm je jezelf tegen Social Engineering-aanvallen?

Protocollen en tools die je kunt configureren: 

  • Implementeer e-mailverificatieprotocollen in je organisatie zoals SPF, DKIM en DMARC. Begin vandaag nog met het maken van een gratis DMARC-record met onze DMARC record generator.
  • Handhaaf uw DMARC beleid p=afwijzen om direct domain spoofing en e-mail phishing aanvallen te minimaliseren
  • Zorg ervoor dat je computersysteem beschermd is met behulp van antivirussoftware

Persoonlijke maatregelen die je kunt nemen:

  • Uw organisatie bewust maken van veelvoorkomende soorten social engineering-aanvallen, aanvalsvectoren en waarschuwingssignalen
  • Leer meer over aanvalsvectoren en -types. Bezoek onze kennisbank, typ "phishing" in de zoekbalk, druk op enter en begin vandaag nog met leren!  
  • Stuur nooit vertrouwelijke informatie naar externe websites
  • Toepassingen voor nummerweergave inschakelen op je mobiele apparaat
  • Onthoud altijd dat je bank je nooit zal vragen om je accountgegevens en wachtwoord via e-mail, sms of telefoon te verstrekken.
  • Controleer altijd opnieuw het Van-adres en het Retouradres van uw e-mails om er zeker van te zijn dat ze overeenkomen. 
  • Klik nooit op verdachte e-mailbijlagen of links voordat u 100% zeker bent van de authenticiteit van de bron.
  • Denk twee keer na voordat je mensen vertrouwt met wie je online contact hebt en die je niet in het echt kent
  • Bezoek geen websites die niet beveiligd zijn via een HTTPS-verbinding (bijvoorbeeld http://domain.com).

Laatste berichten van Yunes Tarada (Bekijk alle berichten)
Hoe te verhelpen " SPF Softfail Domein wijst IP niet aan als toegestane afzender...SPF SoftfailSPF alle vs alleHet verschil tussen SPF -all vs ~all