Social engineering: Wie was toch die printermonteur?

17 jul 2017
Social engineering is een vorm van human hacking waarbij de crimineel personen probeert te manipuleren

Organisaties investeren steeds meer in hoogwaardige technische oplossingen om cybercriminelen en cyberaanvallen tegen te houden. Het gevolg? Cybercriminelen die steeds verder gaan om een aanval te laten slagen door misbruik te maken van menselijke eigenschappen om zo vertrouwelijke info gegevens te verkrijgen of om medewerkers bepaalde handelingen te laten verrichten: social engineering. Social engineering – ook wel human hacking genoemd – is hot. Zeker tijdens de zomermaanden. Hackers maken dan gebruik van de afwezigheid van personeel. Een bekend voorbeeld is de Microsoft scam, waarbij de social engineer zich voordoet als een Microsoft medewerker om een geconstateerd computerprobleem op te lossen.

Welke vormen van social engineering kennen we?

Natuurlijk kennen we allemaal phishing als vorm van social engineering. In een fake e-mail worden ontvangers verleid om op een link te klikken of een bijlage te openen. Wanneer erg geklikt wordt probeert de aanvaller om vertrouwelijke gegevens te stelen, geld afhandig te maken of om malware en ransomware te installeren. Tegenwoordig zijn de phishingmails bijna niet meer van echt te onderscheiden. Maar liefst 91% van de datalekken start dan ook met een phishing mail. Daarbij wordt volgens Verizon 30% van de verzonden phishing mails daadwerkelijk geopend.

Dezelfde werkwijze wordt gebruikt bij “smishing” (sms phishing). Bij deze vorm van phishing krijgen slachtoffers in plaats van een e-mail een sms-bericht gestuurd met daarin een link naar een website of betaalverzoek.

Een steeds populairder wordende vorm van phishing is “whaling” of CEO-fraude. Bij deze vorm van “spearphishing” (een gerichte phishing aanval op een organisatie, afdeling of individu) doet de crimineel zich voor als iemand van het topmanagement, waarbij vaak de vraag wordt gesteld of er snel een bedrag kan worden overgemaakt. De crimineel heeft hierbij veel kennis van de organisatie en weet goed aan wie van de financiële afdeling de mail gericht moet worden.

Dan is er telefonische phishing, ook wel “vishing” (voice phishing) genoemd. Denk bijvoorbeeld aan de eerder beschreven Microsoft scam of een telefoontje van de ICT-afdeling met de vraag om inloggegevens te verstrekken. Vaak wordt vishing ook gebruikt als voorbereiding op een aankomende spearphishing-aanval. Phishing, vishing en smishing worden vaak gecombineerd om een zo legitiem mogelijke uitstraling te creëren.

Draagbare geheugens worden nog steeds vaak gebruikt om informatie uit te wisselen. Daarom maken criminelen ook gebruik van USB-sticks. Bij deze vorm van social engineering, ook wel “baiting” genoemd, worden USB-sticks “verloren” in of nabij kantoorpanden of verspreid door “promotieteams” op parkeerplaatsen. Hiermee wordt geprobeerd om systemen te infecteren met malware of om gevoelige bedrijfsinformatie te stelen.

Tot slot bestaan er de “mystery guests”. Succesvol in al zijn eenvoud. Een onbekende die zich bijvoorbeeld voordoet als printermonteur of medewerker van de serviceprovider en zo fysiek toegang krijgt tot het kantoorpand. Binnen 10 minuten staat de crimineel weer buiten met twee laptops, drie telefoons en een tablet met gevoelige informatie.

Waarom is social engineering zo succesvol?

Criminelen gaan steeds gerichter te werk. Veel van de informatie over bedrijven, afdelingen en werknemers die cybercriminelen gebruiken bij een aanval is te achterhalen via social media. De junior medewerker van de Finance afdeling is gemakkelijk te vinden en de serviceprovider van een organisatie is eenvoudig traceerbaar.

Daarnaast zijn criminelen heer en meester in het manipuleren van mensen. Dit doen ze door handig in te spelen op factoren waar mensen gevoelig voor zijn. Zo wordt er misbruik gemaakt van:

  • Zakelijke of persoonlijke gevolgen door dreigementen
  • Tijdsdruk (directe call-to-action)
  • Goedgelovigheid van medewerkers
  • Het uitstralen van autoriteit (bepaalde functie/bevoegdheid)
  • Behulpzaamheid van medewerkers

Wat zijn de gevolgen?

De gevolgen van een succesvolle social engineering aanval zijn vaak groot. Wellicht de grootste schadepost is de reputatieschade die een organisatie oploopt. Hoe kunnen zij nou vatbaar zijn voor een dergelijke truc? Andere gevolgen betreffen natuurlijk het verlies van vertrouwelijke informatie of geld. Daarnaast is er nog de downtime na een incident: de tijd die nodig is om het incident te herstellen waardoor de organisatie niet bezig kan zijn met de dagelijkse business. De grootste schade gaat dus veel verder dan geld alleen.

Hoe kunnen we ons wapenen tegen social engineering?

Het antwoord is makkelijk en moeilijk tegelijkertijd: creëer Security Awareness binnen uw organisatie en stel duidelijk procedures op. Maak medewerkers er bewust van hoe criminelen te werk gaan en zorg dat zij daadwerkelijk zorgvuldiger en veiliger gaan werken. Maak ook duidelijk bij wie medewerkers zich moeten melden mochten zij geconfronteerd worden met een vorm van social engineering. Daar ligt gelijk het moeilijke aspect op de loer; het doorlopend aandacht besteden aan Security Awareness. Een eenmalige actie bereikt niet het gewenste resultaat, omdat de kennis op termijn wegzakt. Daarnaast bedenken criminelen continu nieuwe methoden om mensen te manipuleren en hun doel te bereiken.

Daarom vinden wij dat je aan preventie en voorlichting op dit gebied nooit genoeg kan doen!

 
Lees ook ons artikel over CEO-fraude. Criminelen gebruiken deze vorm van social engineering vaak tijdens de zomermaanden.

NextTech is specialist op het gebied van Security Awareness. Wij richten ons primair op gedragsverandering van uw medewerkers met een doorlopende benadering vanuit de vakgebieden security, communicatie en onderwijs. Kijk ook eens naar onze Awareness metingen & Social engineering onderzoeken of een opzichzelfstaande Phishing simulatie.

Terug naar het overzicht