Social engineering-aanvallen bestaan uit meerdere fasen. Een dader analyseert in eerste instantie het doelslachtoffer om achtergrondinformatie te verkrijgen die nodig is om de aanval uit te voeren, zoals mogelijke toegangsroutes en zwakke beveiligingsmechanismen. In dit artikel wordt uitleg gegeven over social engineering, social engineering-aanvallen, hoe u uzelf kunt beschermen tegen social engineering en voorbeelden van social engineering.
Dit is de praktijk van het manipuleren van mensen in een online context door hen te overtuigen om te goeder trouw gevoelige, persoonlijke informatie zoals rekeningnummers, wachtwoorden of bankgegevens te verstrekken
Social engineering kan ook plaatsvinden wanneer de 'ingenieur' het slachtoffer vraagt om geld over te maken naar wat het slachtoffer denkt dat een financiële instelling is of persoon met wie het slachtoffer zaken doet, maar het geld op de rekening van de 'ingenieur' terechtkomt.
Cyber- en privacyverzekeringen kunnen verliezen als gevolg van social engineering dekken als ze hiervoor een garantie hebben, maar het dekkingsbedrag is meestal maximaal $ 100,000. Ook is social engineering-dekking, ook wel "frauduleuze instructiedekking" genoemd, alleen beschikbaar als extra dekking boven de limieten van een toepasselijke zakelijke misdaadverzekering.
Wat is de sociale engineering
Social engineering is een manier om privé-informatie, toegang of goederen te krijgen door misbruik te maken van de fouten van mensen. Bij cybercriminaliteit worden deze zogenaamde 'human hacking'-zwendel vaak gebruikt om gebruikers die niet weten wat er gebeurt, te misleiden om gegevens vrij te geven, malware-aanvallen te verspreiden of toegang te geven tot systemen die privé moeten blijven. Aanvallen kunnen persoonlijk, online of op andere manieren plaatsvinden.
Social engineering is een vorm van fraude die is gebaseerd op hoe mensen denken en handelen. Daarom zijn social engineering-aanvallen een geweldige manier om de manier waarop een persoon handelt te veranderen. Als een aanvaller eenmaal weet waardoor een gebruiker doet wat hij doet, kan hij de gebruiker goed misleiden en controleren.
Bovendien proberen hackers misbruik te maken van het gebrek aan expertise van een gebruiker. Omdat de technologie zo snel evolueert, zijn veel klanten en werknemers zich niet bewust van risico's zoals drive-by downloads. Mensen realiseren zich misschien ook niet hoe belangrijk persoonlijke informatie zoals hun telefoonnummer is. Hierdoor weten veel gebruikers niet hoe ze zichzelf en hun informatie veilig moeten houden.
Lees ook: ONLINE HACKERS: 10 soorten hackers en de gevaren en hoe ze u kwaad kunnen doen
Social Engineering-aanval
Aanvallen met social engineering kunnen veel verschillende vormen aannemen en kunnen overal plaatsvinden waar mensen met elkaar praten. Hier zijn de vijf meest voorkomende manieren waarop social engineering-aanvallen kunnen worden ervaren.
#1. Aas
Lokaanvallen gebruiken, zoals de naam al doet vermoeden, een vals aanbod om iemand hebzuchtig of nieuwsgierig te maken. Mensen trappen in trucs om in een val te trappen die hun privégegevens steelt of malware op hun computers zet.
Malware wordt verspreid via echte media, de meest gehate vorm van uitlokking. Aanvallers laten bijvoorbeeld het aas, meestal een flashdrive met malware erop, achter op plaatsen waar potentiële slachtoffers het zeker zullen zien, zoals badkamers, liften en de parkeerplaats van een bedrijf dat het doelwit is. Het aas ziet er echt uit, met dingen als een label waarop staat dat het de salarislijst van het bedrijf is.
Mensen grijpen naar het lokaas omdat ze nieuwsgierig zijn en stoppen het vervolgens in een computer op het werk of thuis, die automatisch malware op het systeem installeert.
Oplichting waarbij aas wordt gebruikt, hoeft niet in de echte wereld plaats te vinden. Online lokaas neemt de vorm aan van advertenties die er goed uitzien, maar die doorverwijzen naar schadelijke sites of proberen mensen software te laten downloaden die is geïnfecteerd met malware.
#2. Scareware
Scareware is een type social engineering-aanval. Het gaat om het sturen van veel valse waarschuwingen en valse bedreigingen naar mensen. Gebruikers worden misleid door te denken dat hun computer is geïnfecteerd met malware, waardoor ze software gebruiken die niets nuttigs doet (behalve de persoon die het heeft gedaan) of die zelf malware is. Scareware wordt ook wel fraudeware, illegale scannersoftware en misleidingssoftware genoemd.
Scareware komt vaak in de vorm van pop-upbanners die er echt uitzien en dingen zeggen als: "Uw computer is mogelijk geïnfecteerd met schadelijke spywareprogramma's." Het zal ofwel aanbieden om de tool voor je te installeren (die vaak besmet is met malware) of je naar een kwaadaardige site sturen die je computer zal infecteren.
Scareware wordt ook verspreid via spam-e-mails die valse waarschuwingen geven of proberen mensen ertoe te brengen nutteloze of schadelijke diensten te kopen.
#3. Voorwenden
Pretexting is een andere vorm van social engineering-aanval die plaatsvindt wanneer een aanvaller informatie verkrijgt door een opeenvolging van zorgvuldig ontworpen leugens. Iemand die beweert de gevoelige informatie van het slachtoffer nodig te hebben om een belangrijke taak uit te voeren, begint meestal met de zwendel.
De aanvaller begint vaak door zich voor te doen als een collega, een wetshandhavingsfunctionaris, een bankier of belastingambtenaar of iemand met het recht om dit te weten. De bedrieger stelt vragen die nodig lijken om de identiteit van het slachtoffer te verifiëren, maar ze worden in werkelijkheid gebruikt om belangrijke persoonlijke informatie te achterhalen.
Deze zwendel verzamelt allerlei belangrijke informatie en gegevens, zoals burgerservicenummers, persoonlijke adressen en telefoonnummers, telefoongegevens, vakantiedata van het personeel, bankgegevens en zelfs informatie over de beveiliging van een echte fabriek.
#4. Phishing
Phishing-scams zijn e-mail- en sms-campagnes die proberen mensen het gevoel te geven dat ze snel moeten handelen, nieuwsgierig zijn of bang zijn. Dit is een veel voorkomend type social engineering-aanval. Vervolgens verleidt het ze om privégegevens vrij te geven, op links naar kwaadaardige websites te klikken of bijlagen te openen die malware bevatten.
Een voorbeeld is een e-mail die gebruikers van een online dienst krijgen als ze een regel overtreden die hen verplicht om direct iets te doen, zoals het wijzigen van hun wachtwoord. Het bevat een link naar een nepwebsite die er bijna precies zo uitziet als de echte. Deze nepwebsite vraagt de gebruiker om zijn huidige inloggegevens en een nieuw wachtwoord in te voeren. De informatie wordt naar de aanvaller verzonden wanneer het formulier wordt verzonden.
Aangezien phishingschema's hetzelfde of bijna hetzelfde bericht naar alle gebruikers sturen, is het veel gemakkelijker voor mailservers die toegang hebben tot platforms voor het delen van bedreigingen om ze te vinden en te stoppen.
Lees ook: Cybersecurity-consultants: overzicht en beste providers in 2023
Bescherm uzelf tegen social engineering
Bij social engineering-aanvallen probeert de aanvaller toegang te krijgen tot gegevens of diensten door relaties op te bouwen met mensen wiens vertrouwen ze kunnen gebruiken. Op de hoogte blijven is de eerste verdedigingslinie. De aanvaller kan proberen met je te praten op een manier die in vragen verandert. Maar de beste manier om uzelf tegen social engineering te beschermen, is te weten wie u kunt vertrouwen en zelf betrouwbaar te zijn. U moet uitzoeken wie uw account kan openen of wijzigen en ervoor zorgen dat ze daar een goede reden voor hebben. Hier zijn manieren om jezelf te beschermen tegen social engineering.
#1. Onbekende afzenders (e-mails versus tekstberichten)
Kijk goed naar het e-mailadres van de afzender en het bericht zelf. Het is belangrijk om te weten dat u niet op links naar verdachte documenten hoeft te klikken.
#2. Stop met het delen van persoonlijke informatie
Voordat u persoonlijke informatie zoals wachtwoorden en creditcardnummers verstrekt, moet u erover nadenken. Geen enkel echt bedrijf of persoon zou ooit om dit soort privé-informatie moeten vragen. Gebruik wachtwoorden die moeilijk te raden zijn en verander ze vaak. Als u hetzelfde wachtwoord voor meer dan één account gebruikt, kunt u het doelwit zijn van een social engineering-aanval.
#3. Lagen van beveiliging
Gebruik waar mogelijk verificatie met twee factoren. Het kan een extra beveiligingslaag toevoegen door gebruikers te vragen hun gebruikersnaam, wachtwoord en een code in te voeren die naar hun mobiele telefoon is verzonden. Stel beveiligingscodes in voor uw e-mailadres en telefoonnummer, zodat iemand die toegang tot een van beide systemen heeft gekregen, uw account niet rechtstreeks kan gebruiken.
#4. Antivirus software
Zet antivirus- en antimalwaresoftware op elk gadget dat u bezit. Houd deze programma's up-to-date zodat ze u kunnen beschermen tegen de nieuwste bedreigingen. Maar als u antivirussoftware op uw apparaten hebt geladen, kan dit een geweldige verdediging zijn tegen social engineering.
#5. Houd altijd rekening met eventuele risico's
Je moet altijd nadenken over de risico's. Zorg ervoor dat elke oproep om informatie correct is door deze twee of zelfs drie keer te controleren. Houd nieuws over cyberbeveiliging in de gaten als een recente inbreuk u schade heeft berokkend.
Voorbeeld van sociale techniek
Er zijn veel voorbeelden van social engineering in het nieuws, maar hier zijn er vijf om u een idee te geven van hoe het werkt:
#1. Marriott-hotel
Met behulp van social engineering-methoden heeft een hackgroep 20 GB aan persoonlijke en financiële gegevens gestolen van een Marriott-hotel. De hackers lieten een medewerker van het Marriott Hotel hen toegang geven tot de computer van de medewerker.
#2. Amerikaanse ministerie van Arbeid (DoL)
Dit was een voorbeeld van een social engineering-aanval waarbij inloggegevens voor Office 365 werden gestolen. De aanval werd gedaan met slimme phishing, waarbij nepdomeinen werden gebruikt die er precies zo uitzagen als het echte DoL-domein. De e-mails zagen eruit alsof ze afkomstig waren van een senior DoL-medewerker die hen vroeg om te bieden op een baan bij de overheid. Toen de werknemer op de knop "Bieden" klikte, werden ze naar een "phishing"-site geleid, die wordt gebruikt om wachtwoorden te stelen.
#3. Zoom-gebruikers
Een phishing-operatie gericht op werknemers trof minstens 50,000 mensen. De sociale ingenieurs gebruikten de angst om ontslagen te worden om werknemers op een link te laten klikken om een Zoom-vergadering met HR op te zetten. Toen de medewerker op de link klikte, ging hij naar een nep-Zoom-inlogpagina die was opgezet om wachtwoorden te stelen.
#4. FACC (Oostenrijkse vliegtuigbouwer)
FACC leed een verlies van ongeveer 42 miljoen euro als gevolg van een BEC-zwendel (Complex Business Email Compromise). Het e-mailaccount van de CEO van het bedrijf werd gehackt en gebruikt om een "dringend" verzoek om geld over te maken te versturen. Deze e-mail misleidde een persoon die op de crediteurenadministratie werkte, die instemde met het verzoek en het geld naar de dief stuurde.
#5. Crowdstrike terugbellen
Social engineering is zo krachtig dat zelfs beveiligingsbedrijven het voelen. Crowdstrike wordt nu gebruikt als een onderdeel van en een voorbeeld in het spel van social engineering. Oplichters sturen phishing-e-mails naar werknemers onder de vertrouwde naam Crowdstrike en andere beveiligingsbedrijven. De e-mail bevat informatie over een mogelijke malware-aanval en een telefoonnummer dat u kunt bellen om geïnstalleerde malware te verwijderen. De medewerker wordt misleid om de aanvaller toegang tot zijn computer te geven als hij het nummer bereikt.
Lees ook: WAT IS CYBERVEILIGHEID? Voorbeelden, bedreiging en belang
Conclusie
Om uzelf te beschermen tegen bedreigingen door social engineering, moet u leren hoe u uzelf kunt beschermen. Aangezien we u al hebben verteld over enkele beproefde methoden en voorbeelden van social engineering-aanvallen die al geruime tijd over de hele wereld worden gebruikt, moet u ervoor zorgen dat u meteen stappen onderneemt. Social engineering-aanvallen kunnen iemands carrière binnen enkele seconden schade toebrengen. Gebruik altijd twee ingestelde login-verificatiecodes om uw apparaten, wachtwoorden en andere logins te beschermen. Dit is een andere veiligheidsmaatregel.
Wat is social engineering in cyber?
Dit is een term voor alle methoden die worden gebruikt om iemand ertoe te verleiden informatie op te geven of iets te doen wat niet mag.
Wat is de meest voorkomende social engineering?
De meest voorkomende aanvallen zijn:
- Aanvallen door phishing.
- Gericht hacken.
- Walvisvangst.
- Zowel smishing als vishing.
- Aas.
- Meeliften / Tailgating.
- Smoes.
- (BEC) Compromis voor zakelijke e-mail
Is social engineering de grootste bedreiging?
Social engineering is een type aanval dat sterk afhankelijk is van menselijk contact en waarbij mensen meestal worden misleid om de normale beveiligingsprocedures en best practices te overtreden om illegale toegang te krijgen tot systemen, netwerken, fysieke plaatsen of om geld te verdienen.
Wie is het meest waarschijnlijke doelwit van social engineering?
Mensen die rijk, bekend of op hoog niveau zijn, zijn meestal het doelwit van social engineering-aanvallen. Criminelen gaan achter mensen aan die veel macht en toegang hebben.
Wat is de beste verdediging tegen social engineering?
Mensen denken dat de beste manier om social engineering-aanvallen te stoppen, is door de mensen die voor een bedrijf werken te trainen en op te leiden.
Hoe wordt social engineering ook wel genoemd?
Omdat het zich richt op menselijke kwetsbaarheden in plaats van op die van technologische of digitale systemen, wordt social engineering ook wel 'human hacking' genoemd. Dit komt door het feit dat het primaire doelwit kwetsbare individuen zijn.
Referenties
Gerelateerde artikelen
- ENGINEERING MANAGER: Definitie, Taken, Salaris, Software & Sollicitatievragen
- Ethisch hacken: wat is het en hoe werkt het?
- Verloren Ethereum-portemonnees en privésleutels voorkomen en herstellen
- E-MAIL SPOOFING: hoe u dit kunt voorkomen en stoppen
- POSITIEF WERK: Betekenis, citaten, bevestiging en omgeving
