Herken social engineering tactieken (deel 1).
Waarvoor staat social engineering?
Waarschijnlijk heb je ooit al gehoord over de term ‘social engineering’. Deze blog heeft niets te maken met social engineering op sociale media, bijv. originele reclamecampagnes om de juiste klantgroep te bereiken. Want de intentie is totaal verschillend: een ondernemer heeft niet de bedoeling om mensen in de val te laten trappen. Bekijk even de youtube-link onderaan deze blog, waarin het principe van frauduleuze social engineering op creatieve wijze uitgelegd wordt.
Social engineering en mensenkennis?
Social engineering wordt simpelweg omschreven als ‘hacking without any code’. Het is een verzameling van tactieken die gebruikt wordt om mensen via communicatietechnieken en -kanalen te manipuleren, bijv. om smartphones te hacken. Door middel van psychologische manipulatie gaat men de ‘target’ verleiden om persoonlijke info of bedrijfsgegevens prijs te geven. Criminelen, in de hoedanigheid van social engineers, proberen vertrouwelijke info van iemand los te krijgen en/of een bepaalde handeling te laten verrichten.
Social engineering kan je vergelijken met een soort psychologische aanval waarbij misbruik wordt gemaakt van typisch menselijk gedrag of menselijke denkfouten. Meestal worden mensen er onbewust toe aangezet om gevoelige informatie prijs te geven, die voor schadelijke of criminele doeleinden gebruikt zal worden. Hackers gebruiken sluwe methoden om persoonsgegevens in handen te krijgen, die ze vervolgens kunnen gebruiken voor identiteitsdiefstal of andere vormen van fraude.
Social engineering is veel ruimer dan hacking of bedrijfsspionage. Het kan ook voorvallen in ons dagdagelijks leven. Bijv. op een druk marktplein speelt iemand de rol van een behoeftig en onvermogend persoon in een noodsituatie, waardoor je onmiddellijk te hulp schiet en jouw bankgegevens vrijgeeft. Voor je het goed en wel beseft, ben je privacygevoelige persoonsgegevens en geld kwijt.
Voorbeelden van social engineering
Er zijn talloze voorbeelden om op te sommen. Bijv. een hacker stuurt een mailtje dat lijkt te komen van een mailaccount van een bekende organisatie met een oproep voor een win-actie. Om deel te nemen moeten je wel even inloggen met jouw zakelijk mailadres en jouw wachtwoord.
Heb je ooit al gehoord over ‘baiting’? Dat is een vorm van social engineering waarbij scammers slachtoffers verleiden tot het verstrekken van gevoelige informatie door hen iets waardevols in ruil te beloven. Oplichters maken bijvoorbeeld popup-advertenties waarin gratis games, muziek of films gedownload kunnen worden. Na het klikken op de link, wordt jouw laptop geïnfecteerd met malware.
Ten gevolge van artificiële intelligentie is het steeds makkelijker om zich voor te doen als iemand anders. Dit aan de hand van het nabootsen van de stem, het kopiëren van het uiterlijk of zelfs het overnemen van de typische schrijfstijl van een welbepaalde manager. Bijv. een hacker telefoneert naar een vaste medewerker, met de perfect gekopieerde AI-stem van de vaste IT-beheerder. Hij geeft aan dat er een update van het systeem komt omdat het te traag is. Hij vraagt de medewerker om alvast even zijn login-gegevens door te geven, zodat hij na de update kan inloggen, voor het geval dat dit bij die medewerker niet zou lukken.
Offline social engineering
Zoals eerder gezegd, vindt social engineering niet alleen digitaal plaats. Bijv. een vermomde indringer probeert een kantoorpand binnen te komen door zich te verkleden als pakketbezorger. Of een nieuwe werkstudent gaat met een aantal rokende collega’s mee naar binnen, om daarna op zoek te gaan naar de gewenste data.
‘Offline’ zijn er dus ook een aantal risico’s, want social engineers zullen zich eerst grondig voorbereiden alvorens ze een digitale aanval in gang zetten. Bijv. bij ‘shoulder surfing’ kijkt iemand letterlijk over je schouder mee terwijl je op een openbare plaats aan het werk bent. Of bij ‘dumpster’ diving doorzoekt iemand bedrijfsafval op handige informatie zoals contact- of login-gegevens.
Waarom zijn wij, als verstandige individuen met gezond boerenverstand, toch vatbaar voor social engineering? Meer info volgt binnenkort in deel II van dit deze blogreeks. Neem gerust ook een kijkje op onze visie-pagina. Wij geloven dat enige kennis van emotionele intelligentie (EQ) voor een doorbraak kan zorgen, om de ware toedracht te ontdekken en een social engineer te leren herkennen.