Social Engineering, wat is het?

Social engineering is een groot begrip, maar omvat bijna alle technieken die cybercriminelen inzetten om aan de hand van psychologische manipulatie onder andere ondernemers te verleiden persoonlijke of bedrijfsgevoelige data of gegevens weg te geven.

Wat is Social engineering?

Bij social engineering, net zoals bij vrijwel alle vormen van cyberaanvallen, wordt er een stukje psychologische manipulatie gebruikt. De cybercrimineel, beïnvloedt aan de hand van psychologische manipulatie, slachtoffers om handelingen te doen die ze normaal niet zouden doen. Hierbij gaat het niet om technische zwakke plekken in de systemen van een bedrijf, maar om de menselijke factor. Het vertrouwen, de urgentie en sociale druk spelen hierbij de grootste rol.

Hoe werkt het?

Bij een social engineering-aanval probeert een cybercrimineel het vertrouwen van jou, je collega’s of medewerkers binnen een bedrijf te winnen. Dit doen ze door zich voor te doen als een bekende zoals: een collega, leverancier, IT-support of leidinggevende. De cybercrimineel gebruikt hiervoor vaak informatie die hij of zij heeft verzameld uit openbare bronnen, oftewel OSINT.

Stappen die vaak ondernomen worden:

1. Het verzamelen van informatie via OSINT.
2. Contact maken met het doelwit (via e-mails, telefoongesprekken of zelfs face-to-face).
3. Het manipuleren van het vertrouwen door middel van urgentie, autoriteit of empathie toe te passen.
4. Het uitlokken van acties zoals het delen van inloggegevens, toegang tot systemen, betalingen, etc.

Voorbeelden van Social engineering

Phishing

Phishing is een van de meest voorkomende vormen van social engineering. Bij Phishing probeert een aanvaller iemand te verleiden om belangrijke informatie door te geven. Om slachtoffers te laten geloven dat ze te maken hebben met een echt bedrijf, worden er vaak websites en e-mails van bekende bedrijven nagemaakt. Een phishingaanval wordt vaak uitgevoerd per e-mail, waarbij het slachtoffer naar een nepwebsite wordt geleid.

Phishing heeft ook andere vormen. Een phishingaanval wordt namelijk niet alleen uitgevoerd via e-mail, maar ook via sms, WhatsApp-berichten, telefoontjes of websites. Voorbeelden hiervan kunnen zijn:

1. Spear phishing: een hele gerichte vorm van phishing waarbij cyberaanvallers een diepgaander onderzoek gedaan hebben naar personen of organisaties.
2. SMS phishing: phishing via sms waarmee een cybercrimineel je persoonlijke informatie probeert te stelen door middel van een misleidende sms.
3. Pop-up phishing: een vorm van phishing waarmee de cybercrimineel op websites advertenties of pop-ups gebruikt om jou naar misleidende websites toe te leiden. Hier wordt bijvoorbeeld een kruisje gebruikt dat niet werkt, maar je juist doorstuurt naar een valse website.

CEO-fraude / whaling

Bij CEO-fraude en whaling wordt er gebruikgemaakt van manipulatie, doordat de cybercrimineel zich voordoet als de directeur of CEO. Hierbij vraagt hij of zij een urgente opdracht uit te voeren of bijvoorbeeld gegevens te delen. Ze spelen hierbij volledig in op het sociale aspect van social engineering. Doordat de medewerker denkt dat er veel urgentie achter zit, zal deze sneller stress krijgen of minder nadenken over de acties die ze uitvoeren. Hierdoor kan uiteindelijk de cybercrimineel voor elkaar krijgen wat hij graag wil.

Deepfakes

Conclusie

Social engineering laat zien dat cyberaanvallen zich vaak niet richten op technologie, maar op mensen. Door medewerkers bewust te maken van manipulatie-technieken en hen te trainen in het herkennen van verdachte situaties, kunnen organisaties hun grootste kwetsbaarheid omzetten in een sterke eerste verdedigingslinie tegen cybercriminaliteit.