Social engineering

Social engineering: de onzichtbare dreiging voor organisaties

Organisaties komen regelmatig in aanraking met nieuwe online bedreigingen. Een van de meest verraderlijke vormen van aanvallen is social engineering. Deze onzichtbare dreiging leidt tot mogelijk enorme schade bij organisaties. De aanpak? Die start bij bewustzijn onder medewerkers.

Inhoudsopgave

Wat is social engineering?

Social engineering is een vorm van cyberaanval, waarbij de ‘aanvaller’ stuurt op menselijke interactie en manipulatie om zijn doelen te bereiken. In bepaalde mate bevat het psychologische manipulatie. De ‘aanvaller’ gebruikt vaak chatdiensten, zoals WhatsApp en e-mail berichten om slachtoffers te manipuleren. Social engineering wordt ook wel "human hacking" genoemd.

Waarom cybercriminelen het inzetten

Criminelen geven de voorkeur aan social engineering omdat het vaak eenvoudiger is iemand te misleiden dan zelf het wachtwoord te kraken. Ze spelen in op emoties zoals angst, urgentie of het respect voor autoriteit om hun doel te bereiken. Een aantal aspecten waar criminelen graag misbruik van maken zijn:

  • Het dreigen met zakelijke of persoonlijke gevolgen;
  • Tijdsdruk;
  • Behulpzaamheid, goedgelovigheid en nieuwsgierigheid van medewerkers;
  • Het uitstralen van autoriteit.

Een bedreiging voor organisaties

Social engineering is niet alleen een bedreiging in het privéleven. Ook in het zakelijke leven is deze vorm van phishing een groot probleem. Bij grote bedrijven, met veel medewerkers die online werken, is de kans groot dat één van hen mogelijk slachtoffer wordt van social engineering. Daarmee staat de reputatie van de organisatie op het spel en is er mogelijk toegang tot gevoelige gegevens.

Social engineering vormt een ernstige bedreiging voor organisaties en is schrikbarend effectief om diverse redenen:

  • Misbruik van menselijke zwakheden: Medewerkers (mensen) vormen de zwakste schakel in de beveiligingsketen. Social engineers zijn hiervan bewust en maken er handig gebruik van. Ze kunnen zich voordoen als collega, klant, leidinggevende of vertrouwenspersoon om toegang te krijgen tot gevoelige informatie.
  • Toegang tot gevoelige gegevens: Als social engineers succesvol zijn, kunnen ze toegang krijgen tot financiële gegevens en persoonlijke gegevens van medewerkers en klanten. Dit kan leiden tot financiële en juridische gevolgen.
  • Schade aan de reputatie: Een geslaagde social engineering aanval kan de reputatie van een organisatie ernstig beschadigen. Klanten verliezen vertrouwen wanneer ze ontdekken dat hun gegevens in verkeerde handen zijn gevallen.
  • Financiële verliezen: Organisaties kunnen financiële schade lijden als gevolg van frauduleuze activiteiten die voortkomen uit social engineering aanvallen.
  • Juridische consequenties: Wanneer gevoelige informatie wordt onthuld als gevolg van social engineering, kunnen organisaties juridische stappen en boetes verwachten. Vooral wanneer blijkt dat deze informatie niet goed genoeg beschermd was.
  • De verborgen aard van de dreiging: Een van de meest uitdagende aspecten van social engineering is dat het vaak onopgemerkt blijft. Slachtoffers realiseren zich vaak niet eens dat ze zijn misleid totdat de schade is aangericht.

Hoe social engineering werkt

Zoals gezegd, wordt social engineering ook wel ‘human hacking’ genoemd. Zij triggeren het slachtoffer met psychologische trucs om hen zo te beïnvloeden.

Social engineers maken gebruik van menselijke eigenschappen zoals emoties, nieuwsgierigheid en de bereidheid om anderen te helpen. Ze creëren fictieve scenario's en gebruiken psychologische trucs om mensen te misleiden. En dat allemaal in hun voordeel. Social engineering is vaak succesvol omdat het zich richt op menselijke reacties. Social engineering komt voor op verschillende manieren, waardoor aanvallers meerdere mogelijkheden hebben om slachtoffers te maken.

Vormen van digitale social engineering

Er zijn verschillende vormen van social engineering. Het verschil zit hem voornamelijk in het doel van de social engineer. De keuze is vaak afhankelijk van het ‘type’ slachtoffer. Een cybercrimineel benadert de CEO van een groot bedrijf namelijk anders dan een medewerker.

Dit zijn de meest voorkomende technieken van digitale social engineering:

Phishing per e-mail

Phishing is een vorm van internetfraude, waarbij criminelen een poging doen om toegang te krijgen tot persoons - of bedrijfsgegevens. Dit gebeurt via e-mailberichten en is een veelvoorkomende techniek.

Smishing (Sms phishing)

Bij smishing maken criminelen gebruik van sms of een andere chatdienst om geld afhandig te maken of toegang tot gegevens te krijgen.

WhatsApp phishing

Dit is een bekend voorbeeld dat valt onder smishing. De crimineel doet zich voor als vriend of familielid met een nieuw nummer. Vaak is er een dringend verzoek tot het betalen van een rekening, als blijk van hulp. De crimineel heeft zich vaak verdiept in de achtergrond van het slachtoffer en speelt daarmee in op het gevoel. Helaas blijkt deze techniek nog vaak erg effectief.

Vishing (Voice phishing)

Bij vishing wordt er gebruik gemaakt van malafide telefoonscripts en helpdeskfraude. Door middel van telefoongesprekken probeert de crimineel een individu te verleiden om geld over te maken of persoonlijke informatie te delen.

Whaling (CEO fraude)

Whaling is een veelvoorkomende vorm van social engineering, waarbij de crimineel zich voordoet als autoriteit. Denk aan een hooggeplaatste persoon binnen de organisatie, zoals een CEO. De crimineel richt zich vaak op invloedrijke personen en heeft als doel om gevoelige informatie te stelen of toegang te krijgen tot systemen. Whaling is effectief, omdat medewerkers opkijken tegen autoriteiten binnen de organisatie.

Voorbeelden van social engineering

social_engineering_-_whatsapp_fraude

social engineering (privéleven WhatsApp)

Social_engineering_-_zakelijke_whatsapp_fraude

social engineering (zakelijk WhatsApp)

social_engineering_-_zakelijke_email

social engineering (zakelijk mail)

Fysieke social engineering

Naast de digitale vormen van social engineering, komt social engineering ook voor in een fysieke situatie. In deze vorm is de crimineel fysiek in de buurt (geweest) bij het slachtoffer, om zo een val te maken. Hieronder twee voorbeelden:

Data infiltrant: Een persoon die zich voordoet als klant of bezoeker om interne informatie te verkrijgen.

USB-dropping: Het achterlaten van geïnfecteerde USB-sticks op strategische locaties in de hoop dat medewerkers deze zullen gebruiken.

Wat betekent het voor organisaties?

De toenemende trend in phishing en misleiding door cybercriminelen, vraagt om extra alertheid bij organisaties. Grote organisaties, waarbij een grote hoeveelheid medewerkers de drijvende kracht zijn, zijn kwetsbaar voor digitale aanvallen. Onwetendheid onder medewerkers of laksheid kan leiden tot enorme (financiële) bedrijfsschade.

De uitdaging is helder: medewerkers ervan bewust maken dat zij aan de frontlinie staan als het aankomt op de verdediging tegen cybercriminelen. Door een periodieke aanpak blijft de kennis binnen organisaties op niveau. Dit verkleint de kans op een succesvolle cyberaanval aanzienlijk.

Maak medewerkers bewust van digitale gevaren. Met ons security awareness platform train jij jouw collega’s op een leuke en laagdrempelige manier in het herkennen van de gevaren binnen cybersecurity. Breng kwetsbaarheden aan het licht en zorg voor een doorlopende bewustwording en gedragsverandering met ons meertalig platform. Maak nu een testaccount aan en probeer het 28 gratis en vrijblijvend uit.

Zo bescherm je jouw organisatie tegen social engineering

Om je organisatie effectief te beschermen tegen social engineering aanvallen, moet je bewustzijn creëren onder de medewerkers. Hierin zijn de volgende maatregelen te nemen:

  • Bewustzijn en training: Het trainen van medewerkers om verdachte situaties te herkennen en hen bewust te maken van de tactieken die social engineers gebruiken, is essentieel. Met een security awareness trainingsprogramma, zorg je ervoor dat medewerkers zich bewust zijn van de gevaren en op de juiste manier kunnen handelen.
  • Beveiligingsprocedures: Organisaties moeten strenge beveiligingsprocedures hanteren. Bijvoorbeeld een streng bezoekersbeleid om controle te houden op wie het pand wel en niet mag bezoeken.
  • Technologische beveiligingsmaatregelen: Het gebruik van technologische oplossingen, zoals phishing-filters, antivirussoftware en multifactorauthenticatie (MFA), kunnen het risico op aanvallen verminderen.
  • Incident respons plan: Organisaties moeten een gedegen incident response plan hebben om snel te reageren op eventuele inbreuken.

Security awareness training als onderdeel van beveiligingsstrategie

Creëer bewustzijn onder je medewerkers door ze regelmatig te toetsen met social engineering onderzoeken. Test nu zelf hoe bewust jouw collega’s zijn van de gevaren die er zijn. Zo achterhaal je de zwakke plekken in je organisatie en kan je je beter weren tegen toekomstige social engineering aanvallen.

Klaar om jouw organisatie weerbaar te maken tegen cybercriminelen? Vraag dan nu een gratis testaccount aan.

+31 (0)88 018 16 00 info@awaretrain.com