Cybercrime en Cyber Security Nederland
PRISCILLA F. HARMANUS OVER ONDERZOEK INFORMATIE VEILIGHEID EN VITALE INFRASTRUCTUUR IN DE DIGITALE OVERHEID

Home » Actueel » Onderwerpen » Spear phishing » Social engineering is een nieuwe webpagina

Donderdag 15 oktober 2020

Social engineering

Social engineering | Digital Trust Center: Social engineering is een breed begrip, maar omvat grofweg de technieken die (cyber) criminelen inzetten om door middel van psychologische manipulatie onder andere ondernemers te verleiden persoonlijke of bedrijfsgevoelige gegevens prijs te geven.


Wat is social engineering?

Social engineering bevat (net als bij vrijwel alle vormen van cyberaanvallen) een mate van psychologische manipulatie. De aanvaller beïnvloedt de ander om vervolgens het gewenste resultaat of voordeel te behalen. Social engineering is vaak succesvol omdat het zich richt op basale menselijke reacties.

Door het toepassen van psychologische manipulatie is social engineering erg lastig tegen te gaan. Om je als ondernemer toch beter te kunnen weren tegen dergelijke aanvallen is het allereerst belangrijk de meest voorkomende vormen en technieken te herkennen. Over het geheel genomen zijn social engineering aanvallen onder te verdelen in fysieke en digitale aanvallen:

Fysieke social engineering

We spreken van fysieke social engineering als aanvallen plaatsvinden op locatie en er niet per se technische (IT) vaardigheden voor vereist zijn. Hoewel er nog veel andere varianten bestaan, worden hieronder enkele veel toegepaste social engineering technieken uitgelegd:


Meekijken (shoulder surfing)
Veel ondernemers werken nog even door in de trein, in een gedeeld kantoor of bedrijfsverzamelpand. Erg praktisch, maar hou er rekening mee dat er gemakkelijk over je schouder meegekeken kan worden terwijl jij of je medewerkers wachtwoorden intypen en/of werken aan/met gevoelige informatie.

Afval doorzoeken (dumpster diving)
Een bekende methode om simpel veel relevante en soms zelfs gevoelige gegevens te bemachtigen is het snuffelen in het afval van een bedrijf. Vergis je niet, zelfs schijnbaar onschuldige informatie als een bellijst, organogram of functieomschrijving kan nuttig zijn in een gerichte aanval. Zie ook: Dumpster diving

Verspreiding van besmette USB-sticks
Hoe groot of klein je onderneming ook is, de kans is groot dat medewerkers iets kwijtraken of vinden. Dit kan een shawl, handschoen maar ook een USB-stick zijn. In een gerichte social engineering poging kan een aanvaller moedwillig een besmette USB-stick 'kwijtraken' die bij de receptie wordt afgeleverd. Op het moment dat de receptioniste de stick in de computer steekt heeft de aanvaller zijn doel bereikt en bijvoorbeeld toegang tot de (interne) systemen.

Impersonatie
Wanneer impersonatie wordt toegepast zal een aanvaller zich voordoen als iemand die je mogelijk vertrouwt om zo jou of je medewerkers om de tuin te leiden. Weet jij waarom de internetmonteur toegang nodig had tot de serverruimte van het bedrijf en hoe kun je er zeker van zijn dat hij zegt wie hij is?

Afleiding
Het afleiden van bijvoorbeeld baliemedewerkers met een goede smoes, verwarrend telefoongesprek of pakketbezorging kan voor een aanvaller een goed middel zijn om zijn/haar doel te bereiken.


Digitale social engineering

Bij digitale social engineering spreken we van aanvallen die plaatsvinden via digitale communicatiemiddelen zoals het internet en telefonie. Ook hier geldt dat er nog vele andere vormen bestaan. Hieronder een aantal veel voorkomende technieken:

Phishing
Phishing is een vorm van internetfraude waarbij criminelen proberen persoonlijke of bedrijfsmatige gegevens te stelen via e-mailberichten. Een veel ingezette en doeltreffende methode. Zie ook: Spear phishing

Telefoonfraude (vishing)
Telefoonfraude komt in vele varianten zoals telefonische oplichting, malafide telefoonscripts en helpdeskfraude.

Sms-phishing (smishing)
Het gebruik van sms-berichten om persoonlijke of bedrijfsgevoelige gegevens te bemachtigen. Deze berichten bevatten veelal links naar internetpagina's of er wordt gevraagd bepaalde software te installeren.

Social media
Social media zijn een zeer geschikt middel om snel en op gemakkelijke wijze zo veel mogelijk (persoonlijke) gegevens van een slachtoffer te achterhalen. Zijn jouw e-mailadres, adresgegevens en connecties wel goed afgeschermd of zijn deze in te zien door iedereen op het internet. Zie ook: OSINT

Adviezen

  1. Bouw aan een positieve security cultuur
    Niet iedereen binnen je onderneming is zich mogelijk even bewust van de risico's en maatregelen op securitygebied. Bouw daarom aan een positieve cultuur waarbij het maken van fouten niet wordt afgerekend en potentiële aanvallen snel gemeld worden bij de juiste personen.
  2. Trainingen, workshops en hertests
    Belangrijk is dat medewerkers binnen je onderneming zich bewust zijn van de risico's en maatregelen op security gebied. Daarom is het aan te raden iedereen binnen de organisatie (niet alleen het management) regelmatig te trainen en de opgedane kennis zowel theoretisch als praktisch te toetsen.
  3. Wees kritisch op hoe en op welke wijze informatie wordt weggegooid
    Zoals eerder vermeld kan zelfs een klein stukje ogenschijnlijk onbelangrijke informatie voor een aanvaller nuttig zijn. Door vrij simpele maatregelen in te voeren kun je al een groot verschil maken. Overweeg bijvoorbeeld om een papierversnipperaar te gebruiken voor de vernietiging van documenten. Ook kan je faciliteren dat er een centrale plek is voor het weggooien van gevoelige gegevens. Een eenvoudige maatregel is ook het afsluiten van de vuilcontainer door middel van een slot.
  4. Computer vergrendelen
    Wanneer je wegloopt van je computer (ook al is het maar voor even) is het aan te raden je computer te vergrendelen. Mocht er zich een ongewenst persoon binnen jouw bedrijf begeven heeft hij/zij in ieder geval geen toegang tot de bedrijfscomputers en (mogelijk) gevoelige gegevens.
  5. Overweeg de aanschaf van privacy screenprotectors voor laptop/telefoon
    In het geval dat je organisatie veel gevoelige gegevens behandelt en jij of je medewerkers veel onderweg zijn, is het aan te raden gebruik te maken van privacy screen-protectors op laptop en telefoon. Een screenprotector verkleint de kijkhoeken waardoor medewerkers minder vatbaar zijn voor meekijkers in bijvoorbeeld openbare ruimtes.

Bron:
Social engineering | Digital Trust Center

Gerelateerd:

Social engineering, social wat? - Werken bij de Belastingdienst

Social engineering: de Dikke van Dale noemt het een eufemisme en Wikipedia houdt het op computerkrakers die computersystemen aanvallen via de zwakste schakel in de computerbeveiliging, namelijk de mens. Ik huldig de omschrijving dat de social engineer een ander iets wil laten zeggen of doen, zonder dat diegene in de gaten heeft dat hij dat niet mag zeggen of doen. Zo wil de social engineer informatie vergaren om daar munt uit te slaan.

Een voorbeeld? De social engineer komt met een grote doos aanlopen en een ander houdt de deur open. Hoppa, binnen. De eerste hobbel is genomen. Eenmaal binnen gaat die op zoek naar een niet-vergrendelde werkplek of naar een netwerkaansluiting om de eigen laptop op aan te sluiten. Maar vaak hoeft de social engineer niet eens fysiek aanwezig te zijn en kan hij zich bedienen van technische foefjes, zoals phishing.

Lees meer over "Social engineering, social wat?" - Patrick, adviseur informatiebeveiliging bij de Belastingdienst.


Links

Public Money, Public Code!

SCADA

IT/OT


Home » Actueel » Onderwerpen » Spear phishing » Social engineering is een nieuwe webpagina





 
Map
Info