Wat is social engineering? Het is een vorm van cyberaanval waarbij manipulatie en misleiding worden gebruikt om toegang te krijgen tot gegevens of informatie. Het doel van social engineering is mensen te verleiden tot het verstrekken van gevoelige informatie, zoals wachtwoorden en netwerkgegevens, door ze te laten geloven dat ze contact hebben met iemand die ze vertrouwen.
In sommige gevallen zullen social engineers ook proberen malware - software die voor kwaadaardige doeleinden kan worden gebruikt - naar uw computer te downloaden zonder dat u het merkt.
Wat is Social Engineering: Definitie
Social engineering is het manipuleren van mensen om acties uit te voeren of vertrouwelijke informatie vrij te geven. Het is een vorm van hacken, maar in plaats van in te breken in computers, proberen social engineers toegang te krijgen door werknemers te verleiden tot het geven van informatie of het downloaden van malware.
Technieken van Social Engineering: Hoe werkt social engineering?
- Social engineering kan worden uitgevoerd via de telefoon, e-mail of tekstberichten. Een social engineer kan een bedrijf bellen en vragen om toegang tot een beperkt gebied, of zich voordoen als iemand om iemand anders een e-mailaccount te laten openen in zijn naam.
- Social engineers gebruiken veel verschillende tactieken om hun doel te bereiken. Ze kunnen bijvoorbeeld beweren dat ze van de helpdesk van een bedrijf bellen en toegang op afstand vragen zodat ze iets op uw computer of netwerk kunnen repareren. Of ze kunnen beweren dat ze uw wachtwoord of andere persoonlijke informatie, zoals bankgegevens, nodig hebben om een probleem met uw bankrekening op te lossen.
- In sommige gevallen doen social engineers zich zelfs voor als ordehandhavers en dreigen ze met juridische stappen als u weigert in te gaan op hun verzoek om informatie. Hoewel het belangrijk is voor bedrijven om deze bedreigingen serieus te nemen, mag u niet vergeten dat de politie nooit iemand zal opbellen en hem telefonisch om zijn wachtwoorden zal vragen!
Doel van social engineering
Social engineering wordt vaak gebruikt bij phishing-aanvallen, dat zijn e-mails die van een betrouwbare bron afkomstig lijken te zijn, maar eigenlijk bedoeld zijn om uw persoonlijke gegevens te stelen. De e-mails bevatten meestal een bijlage met kwaadaardige software (vaak malware genoemd) die uw computer infecteert als deze wordt geopend.
Het doel van social engineering is altijd hetzelfde: toegang krijgen tot iets waardevols zonder ervoor te hoeven werken.
1. Het stelen van gevoelige informatie
Social engineers kunnen dus proberen je te verleiden tot het opgeven van je wachtwoord en inloggegevens (zoals je gebruikersnaam/e-mailadres) zodat ze toegang krijgen tot je e-mailaccount of social media-profiel waar ze persoonlijke informatie zoals creditcardnummers en bankrekeninginfo van eerdere transacties kunnen stelen. U weet misschien hoe u moet verkopen op Instagram, maar bent u uitgerust met voldoende kennis om uw kleine bedrijf en account te beschermen tegen sociale ingenieurs?
2. Identiteitsdiefstal
Zij zouden deze informatie ook kunnen gebruiken om de identiteit van het slachtoffer aan te nemen en later kwaadaardige activiteiten uit te voeren door zich voor te doen als henzelf, als zij ervoor kiezen deze informatie niet onmiddellijk te vernietigen.
Leer waarom cyberaanvallers vaak gebruik maken van social engineering.
Hoe herken je een Social Engineering-aanval?
1. Vertrouw op je gevoel
Als u e-mails of telefoontjes ontvangt die verdacht klinken, geef dan geen informatie totdat u uw identiteit heeft geverifieerd. U kunt dit doen door uw bedrijf rechtstreeks te bellen of door contact op te nemen met de persoon die zogenaamd de e-mail heeft verstuurd of een bericht op uw voicemail heeft achtergelaten.
2. Geef uw persoonlijke informatie niet door
Als iemand naar uw burgerservicenummer of andere privégegevens vraagt, is dat een teken dat hij misbruik wil maken van uw vertrouwen en het later tegen u wil gebruiken. Het is aan te raden geen informatie te geven tenzij het absoluut noodzakelijk is.
3. Ongebruikelijke verzoeken zonder context
Social engineers doen meestal grote verzoeken zonder enige context te geven. Als iemand om geld of andere middelen vraagt zonder uit te leggen waarom dat nodig is, is er waarschijnlijk iets vreemds aan de hand. Het is beter om voorzichtig te zijn als iemand zo'n groot verzoek doet - je weet nooit wat voor schade er kan worden aangericht met toegang tot je bankrekening!
Hier zijn enkele manieren waarop u social engineering-aanvallen kunt herkennen:
- Een e-mail ontvangen van iemand die beweert van uw IT-afdeling te zijn en u vraagt om uw wachtwoord opnieuw in te stellen en dit in een e-mail of sms te verstrekken.
- Een e-mail ontvangen van iemand die beweert van uw bank te zijn en om persoonlijke informatie vraagt, zoals uw rekeningnummer of PIN-code.
- Een e-mail ontvangen van iemand die beweert van uw bank te zijn en om persoonlijke informatie vraagt, zoals uw rekeningnummer of PIN-code.
- Gevraagd worden om informatie over het bedrijf door iemand die beweert van de HR-afdeling van het bedrijf te zijn.
Social Engineering-aanvallen via e-mail
Phishing e-mails - Deze zien eruit alsof ze afkomstig zijn van een legitieme bron, maar in werkelijkheid proberen ze je te verleiden tot het openen van een bijlage of het bezoeken van een kwaadaardige website.
Spear phishing - Spear phishing aanvallen zijn gerichter dan phishing e-mails en gebruiken informatie over u om ze geloofwaardiger te laten lijken.
CEO-fraude - CEO-fraude is een vorm van phishing waarbij men zich voordoet als een CEO of hooggeplaatste functionaris om toegang te krijgen tot gevoelige informatie. Dit kan gaan om bankrekeningnummers, details van overschrijvingen of zelfs loongegevens van werknemers.
Leer over andere soorten social engineering aanvallen.
Hoe Social Engineering voorkomen?
We hebben enkele tips om social engineering-aanvallen te voorkomen en u ertegen te beschermen.
- Zorg voor goede antivirussoftware op uw apparaten en computers.
- Open geen verdachte e-mails of bijlagen van mensen die u niet vertrouwt (dit geldt ook voor e-mails van iemand die beweert uw bank of creditcardbedrijf te zijn).
- Klik niet op links in e-mails tenzij u zeker weet dat ze veilig zijn - zelfs als ze afkomstig zijn van iemand die u kent! Als u ooit twijfelt of een e-mail legitiem is, bel dan de afzender direct op via telefoon of sms in plaats van eerst online meer informatie te zoeken.
- Wees op uw hoede voor ongevraagde telefoontjes of sms-berichten waarin iets wordt aangeboden dat "te mooi is om waar te zijn" (bijvoorbeeld gratis prijzen en andere aanbiedingen voor het aanmelden voor zaken als gratis proeven).
- Gebruik twee-factor authenticatie waar mogelijk - dit betekent dat zelfs als iemand uw wachtwoord heeft, hij nog een ander stukje informatie nodig heeft (zoals een eenmalige code) om toegang te krijgen tot uw account.
- Stel e-mailverificatieprotocollen in zoals DMARC om uw e-mailkanalen te beveiligen tegen phishingaanvallen, social engineering en domeinmisbruik.
Samengevat
Het is belangrijk om u te beschermen tegen social engineering, omdat dit kan leiden tot het verlies van geld en andere persoonlijke informatie en tot het in gevaar brengen van beveiligingssystemen en gegevensinbreuken.
Hoe goed uw IT-team uw bedrijf ook beschermt tegen cyberaanvallen, het risico dat iemand uw systeem probeert binnen te dringen via social engineering-methoden is nooit helemaal uit te sluiten. Daarom is het zo belangrijk om medewerkers trainen over het herkennen van phishing e-mails en andere soorten social engineering aanvallen.
