Wat is social engineering? Tips om te voorkomen dat je hiervan het slachtoffer wordt

Social engineering is het misleiden van mensen zodat zij informatie onthullen of actie ondernemen, meestal via technologie. Het idee achter social engineering is te profiteren van de natuurlijke neigingen en emotionele reacties van een potentieel slachtoffer.

De doorsneehacker zoekt naar een kwetsbaarheid in de software om toegang te krijgen tot een computernetwerk. Een social engineer kan zich voordoen als als een medewerker van de technische ondersteuning om een werknemer ertoe over te halen zijn aanmeldingsgegevens te overhandigen. De fraudeur probeert in te spelen op de wens van de werknemer een collega te helpen en, misschien, de neiging om eerst te handelen en dan pas na te denken.  

6 soorten social engineering-aanvallen

1. Baiting

Voor dit type social engineering moet een slachtoffer het aas pakken, zoals een vis in de worm aan de haak hapt. De persoon die het aas heeft uitgegooid, wil het slachtoffer tot actie verleiden.

Voorbeeld
Een cybercrimineel laat een USB-stick vol malware achter op een plaats waar het slachtoffer deze zal vinden. De crimineel heeft de stick bovendien op een intrigerende manier gelabeld: 'Vertrouwelijk' of 'Bonussen'. Een slachtoffer dat het aas pakt, pakt de stick op en sluit deze aan op een computer om te zien wat erop staat. De malware verspreidt zichzelf vervolgens automatisch op de computer.

2. Phishing

Phishing is een bekende manier om informatie van een nietsvermoedend slachtoffer te bemachtigen. Ondanks de bekendheid, blijft deze methode vrij succesvol. De dader stuurt meestal een e-mail of sms naar het slachtoffer, op zoek naar informatie die kan helpen bij het plegen van een grotere misdaad.

Voorbeeld

Een fraudeur verzendt e-mails die afkomstig lijken te zijn van een bron die de potentiële slachtoffers vertrouwen. Dit kan een bank zijn die ontvangers van de e-mail vraagt op een link te klikken om zich bij hun account aan te melden. Klikken ze op de link, dan worden ze naar een nepsite geleid die, net als de e-mail, legitiem lijkt. Als ze zich op die nepsite aanmelden, overhandigen ze in feite hun aanmeldingsgegevens, zodat de misdadiger toegang krijgt tot hun bankrekeningen.

Bij een andere vorm van phishing, bekend als spear phishing, probeert de fraudeur een specifieke persoon aan zijn 'speer' te krijgen. De misdadiger kan de naam en het e-mailadres achterhalen, bijvoorbeeld van iemand in HR in een bepaald bedrijf. Vervolgens stuurt de misdadiger die persoon een e-mail die afkomstig lijkt te zijn van een leidinggevende hoog in het bedrijf. In een aantal recente gevallen werd via e-mail om zeer persoonlijke gegevens van werknemers gevraagd, waaronder namen, postadressen en burgerservicenummers. Als de fraudeur in zijn opzet slaagt, overhandigt het slachtoffer onwetend informatie die kan worden gebruikt om de identiteit van tientallen of zelfs duizenden mensen te stelen.

3. Hacken van e-mail en spammen van contactpersonen

Het ligt in onze aard aandacht te besteden aan berichten van mensen die we kennen. Sommige criminelen proberen hier misbruik van te maken door e-mailaccounts over te nemen en adreslijsten te spammen.

Voorbeeld

Als een vriend je een e-mail stuurt met het onderwerp 'Kijk eens naar deze site. Echt geweldig!', open je de mail waarschijnlijk zonder nadenken. Door het e-mailaccount van iemand over te nemen, kan een fraudeur iedereen op de adreslijst doen geloven dat ze e-mail ontvangen van iemand die ze kennen. Een van de belangrijkste doelen is het verspreiden van malware en mensen te verleiden hun gegevens te overhandigen.

4. Pretexting

Pretexting is het gebruik van een interessant voorwendsel, of trucje, om iemands aandacht te vangen. Zodra dit is gebeurd, probeert de fraudeur het potentiële slachtoffer over te halen iets van waarde te overhandigen.

Voorbeeld

Stel dat je een e-mail hebt ontvangen waarin jij wordt genoemd als de begunstigde van een testament. In de e-mail wordt om je persoonlijke gegevens gevraagd als bewijs dat jij inderdaad de begunstigde bent en om de overdracht van je erfenis te versnellen. In plaats daarvan kun je de oplichter toegang geven tot je bankrekening en niet om geld te storten, maar om het op te nemen.

5. Quid pro quo (voor wat, hoort wat)

Deze scam berust op een ruil: ik geef jou dit en dan geef jij mij dat. Fraudeurs doen het slachtoffer geloven dat het een eerlijke ruil is, maar dat is absoluut niet het geval. De fraudeur wint altijd.

Voorbeeld

Een oplichter belt een slachtoffer en doet zich voor als een technicus van de IT-ondersteuning. Het slachtoffer overhandigt de aanmeldingsgegevens van zijn computer in de veronderstelling dat hij in ruil daarvoor technische ondersteuning zal ontvangen. In plaats daarvan kan de oplichter nu de controle over de computer van het slachtoffer overnemen, deze volladen met malware of, misschien, persoonlijke gegevens van de computer stelen om identiteitsdiefstal te plegen.

6. Vishing

Vishing is de spraakversie van phishing. De 'V' staat voor 'voice' (spraak), maar verder is deze poging tot oplichting hetzelfde als phishing. De misdadiger gebruikt de telefoon om een slachtoffer te misleiden en over te halen waardevolle informatie te onthullen.

Voorbeeld

Een misdadiger belt een werknemer en doet zich voor als een collega. De misdadiger haalt het slachtoffer over aanmeldingsgegevens of andere informatie te verstrekken waarmee hij het bedrijf of zijn werknemers kan aanvallen.

Er is nog iets anders waar je rekening mee moet houden bij social engineering-aanvallen: cybercriminelen kunnen hun misdaden op twee manieren benaderen. Vaak zijn ze tevreden met een eenmalige aanval, bekend als 'hunting' (jagen). Maar ze kunnen ook op de lange termijn denken, een methode die we 'farming' (verbouwen) noemen.

'Hunting' zijn de korte aanvallen waarbij cybercriminelen phishing, baiting en andere vormen van social engineering gebruiken om met zo min mogelijk interactie, zoveel mogelijk gegevens van het slachtoffer te verkrijgen.

'Farming' is wanneer een cybercrimineel een relatie met zijn slachtoffer probeert op te bouwen. Het doel van de aanvaller is dan het slachtoffer zo lang mogelijk aan het lijntje te houden om zoveel mogelijk gegevens binnen te halen.

5 tips om te voorkomen dat je het slachtoffer wordt van social engineering

1. Let op de bron. Een gevonden USB-stick is niet per se een goede vondst. De stick kan vol staan met malware, die je computer in een oogwenk kan infecteren. En een sms of e-mail van je bank hoeft niet altijd van de bank te komen. Het spoofen van (of zich voordoen als) een vertrouwde bron is relatief eenvoudig. Klik niet op links en open geen bijlagen van verdachte bronnen. In deze tijd is het misschien zelfs verstanding alle bronnen als verdacht te zien. Hoe legitiem de e-mail ook lijkt, het is veiliger om een URL direct in je browser te typen in plaats van op een link te klikken.
2. Doe langzaam aan. Social engineers rekenen er vaak op dat hun slachtoffers snel handelen, zonder eraan te denken dat er misschien een oplichter achter die e-mail, dat telefoontje of dat persoonlijke verzoek zit. Als je even stopt en nadenkt over wat je wordt gevraagd en of dit wel zinvol is en of het niet een beetje vreemd is, handel je waarschijnlijk eerder in je eigen belang dan dat van de oplichters.
3. Als het te raar klinkt om waar te zijn ... Serieus, hoe waarschijnlijk is het dat een Nigeriaanse prins jou om hulp gaat vragen? Of dat een familielid je sms't om je te vragen haar borg te betalen wanneer ze op reis is? Onderzoek alle verzoeken om geld, persoonlijke gegevens of een waardevol item voordat je iets overhandigt. De kans is groot dat het om bedrog gaat, en zelfs als het niet zo is, beter voorkomen dan genezen.
4. Installeer antivirussoftware of een beveiligingspakket, zoals Norton Security, en houd die software up-to-date. Zorg er ook voor dat je computer en andere apparaten de nieuwste versies van hun besturingssoftware gebruiken. Laat de besturingssystemen indien mogelijk automatisch bijwerken. Als je de nieuwste versies van deze softwaretoepassingen op je apparaten hebt, zijn ze voorbereid op de meest recente beveiligingsrisico's.
5. Je e-mailsoftware kan je helpen. De meeste e-mailprogramma's kunnen helpen ongewenste e-mail, inclusief scams, uit te filteren. Als je vindt dat jouw e-mailprogramma niet genoeg doet, zoek dan even snel online op hoe je de instellingen wijzigt. Het doel is strenge spamfilters in te stellen om zo veel mogelijk ongewenste e-mails te onderscheppen.

Social engineering is overal, online en offline. Je beste verdediging tegen dit soort aanvallen is jezelf te informeren zodat je weet wat de risico's zijn, en alert te blijven.