Social engineering omschrijft een reeks niet-technische aanvalstechnieken die door cybercriminelen worden gebruikt om gebruikers ertoe te bewegen beveiligingsprotocollen of andere bedrijfsprocedures te overschrijden, schadelijke handelingen te verrichten of gevoelige informatie prijs te geven.
De meeste social engineering-technieken vereisen geen technische vaardigheden van de aanvaller, wat betekent dat iedereen, van kleine dieven tot de meest geraffineerde aanvallers, in deze categorie cybercriminaliteit actief kan zijn.
Er zijn veel technieken die in cybersecurity onder de overkoepelende term social engineering vallen. De meest bekende hiervan zijn spam en phishing:
Onder spam wordt elke vorm van ongevraagde communicatie verstaan die in bulk, oftewel in grote hoeveelheden, wordt verzonden. Meestal is spam een e-mail die naar zoveel mogelijk gebruikers wordt gestuurd, maar spam kan ook worden afgeleverd via instant messages, SMS en sociale media. Spam is op zich geen social engineering, maar sommige campagnes maken gebruik van social engineering-technieken zoals phishing, spearphishing, vishing, smishing of het verspreiden van schadelijke bijlagen of links.
Phishing is een cyberaanval waarbij de crimineel zich voordoet als een betrouwbare entiteit om zo gevoelige informatie van het slachtoffer te vragen. Bij dit soort fraude wordt meestal geprobeerd een gevoel van urgentie te creëren, of wordt gebruik gemaakt van schriktactieken om het slachtoffer te dwingen in te gaan op de verzoeken van de fraudeur. Phishing-campagnes kunnen gericht zijn op grote aantallen anonieme gebruikers, op een groep specifieke personen, of op één specifiek slachtoffer.
Spearphishing is een gerichte vorm van phishing waarbij de aanvaller sterk aangepaste berichten verstuurt naar een beperkte groep mensen, of zelfs slechts één individu, met als doel hun gegevens te verzamelen of de slachtoffers te manipuleren om schadelijke acties uit te voeren.
Vishing en Smishing zijn social engineering-technieken die vergelijkbaar zijn met phishing, maar worden uitgevoerd op een andere manier dan via e-mail. Bij vishing (voice phishing) wordt gebruik gemaakt van frauduleuze telefoongesprekken, terwijl bij smishing (SMS phishing) sms-berichten met schadelijke koppelingen of inhoud worden gebruikt.
Imitatie in cybersecurity heeft een soortgelijke betekenis als het equivalent in de fysieke wereld. Cybercriminelen treden op in de naam van een betrouwbaar persoon en misleiden slachtoffers om acties te ondernemen die henzelf of hun organisatie schade berokkenen. Een typisch voorbeeld is een aanvaller die zich voordoet als de CEO van een bedrijf - terwijl de CEO out of office is - en opdracht geeft tot frauduleuze transacties en deze goedkeuring geeft.
Oplichting via Technische Ondersteuningbestaat meestal uit neptelefoontjes of webadvertenties waarin aanvallers slachtoffers (ongevraagd) technische ondersteuningsdiensten aanbieden. In feite proberen cybercriminelen, in plaats van je te helpen, geld te verdienen door nepdiensten te verkopen en niet-bestaande problemen op te lossen.
Scareware is malware die gebruik maakt van verschillende angst aanjagende technieken om slachtoffers te manipuleren tot het installeren van nog meer malware op hun apparaten, waarbij meestal ook betalingen worden afgedwongen voor niet-functionele of ronduit malafide software. Een typisch voorbeeld is een nep-antivirusproduct dat is ontworpen om gebruikers te laten denken dat hun apparaten zijn aangetast en dat zij specifieke (meestal schadelijke) software moeten installeren om het probleem te verhelpen.
(Cyber)Scams zijn frauduleuze constructies waarbij vaak gebruik wordt gemaakt van één of zelfs meerdere van de in dit artikel beschreven social engineering-technieken.
Het MKB realiseert zich steeds meer dat het een doelwit is voor cybercriminelen, zo blijkt uit een onderzoek uit 2019 uitgevoerd door Zogby Analytics in opdracht van de Amerikaanse National Cyber Security Alliance. Bijna de helft (44%) van de bedrijven met 251-500 werknemers zegt in de afgelopen 12 maanden te maken te hebben gehad met een officieel datalek. Uit de enquête bleek verder dat 88% van de kleine bedrijven van mening is dat ze op zijn minst een "enigszins waarschijnlijk" doelwit vormen voor cybercriminelen, en dat bijna de helft (46%) denkt dat ze een "zeer waarschijnlijk" doelwit vormen.
De schade is reëel en omvangrijk, een punt dat goed wordt geïllustreerd door het jaarverslag van het Internet Crime Center (IC3) van de FBI. Naar schatting van de FBI hebben Amerikaanse bedrijven alleen al in 2018 meer dan 2,7 miljard dollar verloren aan cyberaanvallen, waaronder 1,2 miljard dollar aan inbreuk op zakelijke e-mail (BEC) / e-mail inbreuk (EAC) die ongeoorloofde geldoverdrachten mogelijk maakten
Er zijn verschillende signalen die kunnen wijzen op een social engineering aanval. Slechte grammatica en spelling is één van deze signalen. Hetzelfde geldt voor een verhoogd gevoel van urgentie dat wordt omgewekt om het slachtoffer aan te zetten tot onvoorwaardelijk handelen. Bij elk verzoek om gevoelige gegevens moeten onmiddellijk alarmbellen gaan rinkelen: gerenommeerde bedrijven vragen doorgaans nooit om wachtwoorden of persoonlijke gegevens via e-mails of sms-berichten.
Over het algemeen besteden aanvallers niet al te veel aandacht aan details en sturen ze berichten vol typefouten, ontbrekende woorden en slechte grammatica. Een ander taalelement dat kan wijzen op een aanvalspoging zijn algemene begroetingen en formuleringen. Dus als een e-mail begint met "Geachte ontvanger" of "Geachte gebruiker", wees dan op uw hoede.
De meeste spammers nemen niet de tijd om de naam of het domein van de afzender te spoofen om deze betrouwbaar te laten lijken. Dus als een e-mail afkomstig is van een adres dat een mengeling is van willekeurige cijfers en tekens of onbekend is bij de ontvanger, moet deze direct in de spammap terechtkomen en worden gemeld aan de IT-afdeling.
Criminelen achter social engineering-campagnes proberen slachtoffers vaak tot actie aan te zetten door angst aan te jagen met zinnen als "stuur onmiddellijk uw gegevens, anders wordt uw pakket weggegooid" of "als u uw profiel nu niet bijwerkt, sluiten wij uw account". Banken, pakketbedrijven, openbare instellingen en zelfs interne afdelingen communiceren gewoonlijk op een neutrale en feitelijke manier. Als het bericht de ontvanger dus aanspoort om snel te handelen, is het waarschijnlijk schadelijk en mogelijk een gevaarlijke scam.
Instellingen of zelfs andere afdelingen van uw eigen bedrijf zullen doorgaans nooit via e-mail of telefoon om gevoelige informatie vragen - tenzij het contact werd geïnitieerd door de werknemer.
Dit geldt net zo goed voor ongevraagde geschenken op sociale media als voor die "uitstekende maar tijdsgebonden zakelijke kans" die net in uw inbox belandde.
1. Organiseer regelmatige cybersecuritytrainingen voor ALLE werknemers, inclusief het topmanagement en IT-personeel. Deze cybersecuritytrainingen moeten realistische scenario's laten zien of simuleren. De leerpunten moeten uitvoerbaar zijn en vooral ook actief worden getest buiten de trainingsruimte: social engineering-technieken vertrouwen op het lage cybersecuritybewustzijn van hun doelwitten.
2. Controleer op zwakke wachtwoorden die mogelijk een open deur in het netwerk van uw organisatie kunnen vormen voor aanvallers. Bescherm wachtwoorden bovendien met een extra beveiligingslaag door multi-factor authenticatie te implementeren.
3.Implementeer technische oplossingen om scam berichten aan te pakken, zodat spam en phishing worden gedetecteerd, in quarantaine geplaatst, geneutraliseerd en verwijderd. Deze mogelijkheden zijn aanwezig in beveiligingsoplossingen, waaronder vele die ESET levert.
4. Maak een begrijpelijk securitybeleid dat werknemers kunnen gebruiken en dat hen helpt te bepalen welke stappen ze moeten nemen als ze te maken krijgen met social engineering.
5. Maak gebruik van een beveiligingsoplossing en administratieve tools. Gebruik bijvoorbeeld ESET PROTECT Cloud om de endpoints en netwerken van uw organisatie te beschermen door beheerders volledig inzicht te geven en de mogelijkheid om potentiële bedreigingen in het netwerk te detecteren en te beperken.
Bescherm de computers, laptops en mobiele apparaten van uw bedrijf met beveiligingsproducten die allemaal worden beheerd via een cloudgebaseerde beheersconsole. De oplossing omvat cloudgebaseerde sandboxingtechnologie om zero-day dreigingen en ransomware te voorkomen en volledige schijfversleuteling voor verbeterde gegevensbeveiliging.
