Pas op voor social engineering

Social engineering-aanvallen winnen aan populariteit. Ergens niets nieuws, want dergelijke scams komen al jarenlang voor. Toch tuinen we er nog elke dag in, ook op de werkvloer.

Met social engineering-technieken proberen cybercriminelen werknemers te misleiden om zo toegang te krijgen tot bedrijfsinformatie. Dat we hierin blijven trappen, is te wijten aan het gebrek aan cybersecurity-trainingen voor werknemers. Opvallend is dat vooral mkb-ondernemers slachtoffer zijn en dus is het voor hen essentieel het eigen personeel te informeren en instrueren over deze vormen van cybercriminaliteit. Want hoe herken je een scam? Dit zijn de vijf meest voorkomende varianten.

Phishing

"De eindgebruiker is de ‘winnaar' van een loterij "

'Uw pincode is verlopen, klik op deze link en vraag snel een nieuwe bankpas aan. Met vriendelijke groet, uw bank.' We kennen deze berichtjes allemaal wel. Phishing is een veelvoorkomende social engineering scam in de vorm van een e-mail, chat, web-advertentie of website, die is ontworpen om zich voor te doen als een echt systeem, persoon of organisatie. Phishing-berichten zijn gemaakt om een gevoel van urgentie of angst te creëren met als einddoel de gevoelige gegevens van een eindgebruiker vast te leggen. Sommigen vragen de eindgebruiker om de inloggegevens van een account te ‘verifiëren’, anderen beweren dat de eindgebruiker de ‘winnaar’ is van een loterij en vragen om toegang tot een bankrekening waarop de winst kan worden gestort.

Baiting

Bij Baiting, vergelijkbaar met phishing, gaat het om het aanbieden van iets verleidelijks aan een eindgebruiker in ruil voor inloggegevens. Het lokaas komt in vele vormen, zowel digitaal, zoals een muziek- of filmdownload op een peer-to-peer site, als fysiek. Denk bij dit laatste aan een usb-stick met het label 'salaris directie 2020' die op een bureau wordt gelegd zodat een eindgebruiker deze vindt. Zodra het aas is gedownload of gebruikt, wordt kwaadaardige software direct in het systeem van de eindgebruiker geplaatst en kan de hacker aan de slag.

Quid pro quo

"Als een aanbod te mooi klinkt om waar te zijn..."

Net als bij baiting gaat het bij quid pro quo om een hacker die in ruil voor een dienst om de uitwisseling van kritische data of inloggegevens vraagt. Een eindgebruiker kan bijvoorbeeld een telefoontje krijgen van de hacker die zich voordoet als een it-expert en gratis it-ondersteuning aanbiedt in ruil voor inloggegevens.

Een ander veelvoorkomend voorbeeld is dat een hacker, die zich voordoet als onderzoeker, vraagt om toegang tot het netwerk van het bedrijf als onderdeel van een experiment in ruil voor een mooi bedrag. Als een aanbod te mooi klinkt om waar te zijn, is het zeer waarschijnlijk quid pro quo.Piggybacking

Piggybacking, ook wel bumperkleven genoemd, is wanneer een onbevoegd persoon een geautoriseerd persoon fysiek volgt in een beperkt bedrijfsgebied of systeem. Een beproefde methode van piggybacking is wanneer een hacker naar een werknemer roept om de deur even voor hem open te houden omdat hij zijn identiteitskaart, sleutel of toegangstag is vergeten.

Een andere methode is dat iemand een medewerker vraagt om zijn of haar laptop een paar minuten te 'lenen', waarbij de crimineel in staat is snel kwaadaardige software te installeren. Aangezien de meeste werknemers nu thuis doorbrengen, is de kans klein dat een hacker fysiek kan piggybacken.

Pretexting

"Pretexting-e-mails zijn bijzonder succesvol"

Pretexting, het menselijke equivalent van phishing, is wanneer een hacker een gevoel van vertrouwen creëert tussen zichzelf en de eindgebruiker door zich voor te doen als een collega of een autoriteit die bekend is bij een eindgebruiker, om zo toegang te krijgen tot inloggegevens.

Een voorbeeld van dit soort oplichterij is een e-mail aan een werknemer van wat het hoofd van de it-afdeling lijkt te zijn of een chatbericht van een onderzoeker die beweert een bedrijfsaudit uit te voeren. Pretexting is zeer effectief omdat het de verwachting wekt dat de afzender een bekende is en het legitiem en veilig is om mee te werken. Pretexting-e-mails zijn bijzonder succesvol in het verkrijgen van toegang tot wachtwoorden en bedrijfsgegevens.

Om de cybersecurity van bedrijven te garanderen, is het essentieel dat alle werknemers op de hoogte zijn van de verschillende vormen social engineering scams. Als gebruikers de belangrijkste kenmerken van deze aanvallen kennen, is het waarschijnlijker dat ze er niet intrappen.

Naast educatie en bewustwording zijn er ook andere manieren om het risico op hacken te verminderen. Werknemers moeten worden geïnstrueerd om geen e-mails te openen of op links van onbekende bronnen te klikken, computers mogen nooit met iemand worden gedeeld en alle bedrijfsdesktops, laptops en mobiele apparaten moeten worden vergrendeld als ze langer dan vijf minuten inactief zijn. Ten slotte moeten organisaties ervoor zorgen dat het bedrijf snel kan herstellen als een werknemer toch per ongeluk het slachtoffer wordt van een van deze scams. Mensen zijn immers net mensen. Organisaties van elke omvang zouden moeten overwegen om bedrijfskritische gegevens te backuppen met een oplossing voor bedrijfscontinuïteit en disaster recovery om te herstellen van dergelijke situaties. Zo kan iedereen met een gerust hart aan het werk, thuis of op de werkvloer.

Auteur: Matthé Smit, director of product management bij Datto