Alvorens in te gaan op de soorten social engineering-aanvallen waaraan slachtoffers dagelijks ten prooi vallen, en op de komende aanvallen die het internet stormenderhand veroveren, gaan we eerst kort in op wat social engineering precies inhoudt.
Om het in lekentaal uit te leggen, verwijst social engineering naar een tactiek voor het inzetten van cyberaanvallen waarbij dreigingsactoren psychologische manipulatie gebruiken om hun slachtoffers uit te buiten en te bedriegen.
Social Engineering: Definitie en voorbeelden
Wat is een social engineering aanval?
In tegenstelling tot cybercriminelen die inbreken in uw computer of e-mailsysteem, worden social engineering-aanvallen georkestreerd door te proberen de mening van een slachtoffer te beïnvloeden, zodat deze gevoelige informatie prijsgeeft. Veiligheidsanalisten hebben bevestigd dat meer dan 70% van de cyberaanvallen die jaarlijks op het internet plaatsvinden, social engineering-aanvallen zijn.
Voorbeelden van social engineering
Kijk eens naar het voorbeeld hieronder:
Hier zien we een online advertentie die het slachtoffer lokt met een belofte om $1000 per uur te verdienen. Deze advertentie bevat een kwaadaardige link die een malware installatie op hun systeem kan starten.
Dit type aanval staat algemeen bekend als Online Baiting of gewoon Baiting, en is een vorm van social engineering-aanval.
Hieronder staat nog een voorbeeld:
Zoals hierboven is aangetoond, kunnen social engineering-aanvallen ook worden uitgevoerd met e-mail als krachtig medium. Een veelvoorkomend voorbeeld hiervan is een Phishing-aanval. In het volgende deel gaan we dieper in op deze aanvallen.
Soorten social engineering-aanvallen
1. Vishing & Smishing
Stel, je krijgt vandaag een sms van je bank waarin je (zogenaamd) wordt gevraagd om je identiteit te verifiëren door op een link te klikken, anders wordt je account gedeactiveerd. Dit is een veelvoorkomend bericht dat vaak wordt verspreid door cybercriminelen om nietsvermoedende mensen voor de gek te houden. Zodra je op de link klikt, word je omgeleid naar een valse pagina die om je bankgegevens vraagt. Wees gerust: als je uiteindelijk je bankgegevens aan de aanvallers geeft, zullen ze je rekening leeghalen.
Ook Vishing of Voice Phishing verloopt via telefoongesprekken in plaats van via SMS.
2. Online lokken / Baiting
Tijdens het surfen op websites komen we elke dag een hele reeks online advertenties tegen. Hoewel de meeste van hen onschadelijk en authentiek zijn, kunnen er toch een paar rotte appels tussen zitten. Dit kan gemakkelijk worden geïdentificeerd door het spotten van advertenties die lijken te mooi om waar te zijn. Ze hebben meestal belachelijke claims en verlokkingen zoals het winnen van de jackpot of het aanbieden van een enorme korting.
Onthoud dat dit een valstrik kan zijn (aka a aas). Als iets te mooi lijkt om waar te zijn, is het dat waarschijnlijk ook. Daarom is het beter om verdachte advertenties op het internet te vermijden, en er niet op te klikken.
3. Phishing
Social engineering-aanvallen worden meestal via e-mail uitgevoerd, en worden Phishing genoemd. Phishing-aanvallen richten al bijna net zo lang als e-mail zelf bestaat, op wereldwijde schaal vernielingen aan. Sinds 2020 is het aantal phishing-aanvallen als gevolg van de sterke toename van e-mailcommunicatie sterk gestegen, waardoor grote en kleine organisaties worden opgelicht en dagelijks de voorpagina's van de kranten halen.
Phishing-aanvallen kunnen worden ingedeeld in Spear phishing, whaling en CEO-fraude, waarbij men zich voordoet als respectievelijk bepaalde werknemers binnen een organisatie, besluitvormers van het bedrijf en de CEO.
4. Romantische oplichting
Het Federal Bureau of Investigation (FBI) omschrijft internetromantijfraude als "oplichting waarbij een crimineel een valse online-identiteit aanneemt om de genegenheid en het vertrouwen van een slachtoffer te winnen. De oplichter gebruikt vervolgens de illusie van een romantische of hechte relatie om het slachtoffer te manipuleren en/of van hem te stelen".
Romance scams vallen onder de soorten social engineering-aanvallen omdat aanvallers manipulatieve tactieken gebruiken om een hechte romantische relatie met hun slachtoffers aan te gaan voordat ze overgaan tot hun belangrijkste agenda: namelijk hen oplichten. In 2021 namen Romance scams de #1 positie in als de financieel meest schadelijke cyberaanval van het jaar, op de voet gevolgd door ransomware.
5. Spoofing
Domein-spoofing is een sterk geëvolueerde vorm van social engineering-aanval. Hierbij vervalst een aanvaller een legitiem bedrijfsdomein om uit naam van de verzendende organisatie e-mails naar klanten te sturen. De aanvaller laat de slachtoffers geloven dat de e-mail afkomstig is van een authentieke bron, d.w.z. een bedrijf waarvan zij de diensten vertrouwen.
Spoofing-aanvallen zijn moeilijk te traceren omdat e-mails worden verzonden vanaf het eigen domein van een bedrijf. Er zijn echter manieren om het probleem op te lossen. Een van de populaire methoden die door deskundigen in de sector worden gebruikt en aanbevolen, is het minimaliseren van spoofing met behulp van een DMARC setup.
6. Voorwendsel
Pretexting kan worden omschreven als een voorloper van een social engineering-aanval. Er is sprake van wanneer een aanvaller een hypothetisch verhaal weeft om zijn aanspraak op gevoelige bedrijfsinformatie te onderbouwen. In de meeste gevallen wordt pretexting uitgevoerd via telefoongesprekken, waarbij een aanvaller zich voordoet als een klant of werknemer en gevoelige informatie van het bedrijf eist.
Wat is een veel gebruikte methode bij social engineering?
De meest gebruikte methode bij social engineering is Phishing. Laten we eens kijken naar een aantal statistieken om beter te begrijpen hoe Phishing een toenemende wereldwijde bedreiging is:
- Uit het CISCO-rapport 2021 Cybersecurity Threat Trends blijkt dat maar liefst 90% van de inbreuken op gegevens het gevolg is van phishing.
- IBM draagt in zijn Cost of a Data Breach Report van 2021 de titel van financieel meest kostbare aanvalsvector over aan phishing
- Volgens de FBI neemt het aantal phishing-aanvallen elk jaar met 400% toe.
Hoe bescherm je jezelf tegen Social Engineering aanvallen?
Protocollen en hulpmiddelen die u kunt configureren:
- Implementeer e-mailverificatieprotocollen in je organisatie zoals SPF, DKIM en DMARC. Begin vandaag nog met het maken van een gratis DMARC-record met onze DMARC record generator.
- Handhaaf uw DMARC beleid op p=afwijzen om directe domein spoofing en e-mail phishing aanvallen te minimaliseren
- Zorg ervoor dat uw computersysteem beschermd is met behulp van een antivirussoftware
Persoonlijke maatregelen die u kunt nemen:
- Uw organisatie bewust te maken van veelvoorkomende social engineering-aanvallen, aanvalsvectoren en waarschuwingssignalen
- Leer meer over aanvalsvectoren en -types. Bezoek onze kennisbank, voer "phishing" in de zoekbalk in, druk op enter, en begin vandaag nog met leren!
- Geef nooit vertrouwelijke informatie op externe websites
- Applicaties voor identificatie van beller-ID inschakelen op uw mobiele toestel
- Vergeet niet dat uw bank u nooit zal vragen om uw rekeninginformatie en wachtwoord via e-mail, sms of telefoon door te geven
- Controleer altijd of het afzenderadres en het retouradres van uw e-mails overeenstemmen.
- Klik nooit op verdachte e-mailbijlagen of links voordat u 100% zeker bent van de authenticiteit van de bron
- Denk twee keer na voordat je mensen vertrouwt met wie je online omgaat en die je niet in het echt kent
- Surf niet op websites die niet via een HTTPS-verbinding zijn beveiligd (bijv. http://domain.com)
- SPF Softfail Vs Hardfail: Wat is het verschil? - 26 april 2024
- FTC meldt dat e-mail een populair medium is voor oplichting door imitators - 16 april 2024
- SubdoMailing en de opkomst van phishing via subdomeinen - 18 maart 2024