Wat Is Social Engineering En Wat Kan Je Eraan Doen?
Social engineering
Bij deze vorm gaat het om technieken die ingezet worden om door middel van psychologische manipulatie medewerkers te verleiden om persoonlijke en/ of bedrijfsgevoelige gegevens te delen. Doordat de aanvaller iemand beïnvloedt is het vaak succesvol, omdat er gericht wordt op de menselijke reacties. Dat is ook een reden waarom het lastig is om je daartegen te weren. Een belangrijke stap is om de vormen en technieken te kunnen herkennen. Social engineering is een ruim begrip, maar is onder te verdelen in fysieke en digitale aanvallen.
Fysieke social engineering
Dit zijn aanvallen die op locatie plaatsvinden en kunnen op meerdere manieren voorkomen. Enkele van deze manieren zijn:
- Shoulder surfing (meekijken): Dit is wanneer iemand meekijkt terwijl je een wachtwoord intypt of wanneer je met gevoelige informatie aan het werk bent. Met de flexibiliteit van werken die we vandaag de dag hebben kan dit gebeuren als je in een verzamelpand werkt of een kantoor deelt, in de trein nog even verder wilt werken of op andere openbare locaties.
- Dumpster diving (afval doorzoeken): Een simpele methode is om door het afval van bedrijven te zoeken naar relevante informatie. Dit lijkt wellicht onschuldig, maar als er informatie achterhaald kan worden zoals een bellijst of organogram, dan kan dat gebruikt worden voor een gerichte aanval.
- Besmette USB’s: Als een poging gedaan wordt tot een gerichte aanval, dan kan de aanvaller “per ongeluk” een USB ergens achterlaten. Zodra een medewerker het aansluit op het bedrijfsnetwerk dan heeft de aanvaller binnen de korte tijd toegang tot de interne systemen.
- Ongeautoriseerde toegang: Dit is wanneer iemand zich voordoet als iemand anders. Ook hier zijn er meerdere manieren om mensen om de tuin te leiden, maar dat kan bijvoorbeeld zijn dat iemand zich voordoet als een monteur die toegang moet hebben tot bepaalde ruimtes.
- Afleiding: Door mensen af te leiden kunnen aanvallers ook toegang krijgen tot systemen of ruimtes binnen een pand.
Digitale social engineering
Bij deze vorm wordt er gebruikt gemaakt van digitale middelen zoals mail (internet) en telefonie. Een aantal van deze manieren zijn:
- Phising: Hier gebruiken aanvallers e-mailberichten om zo persoonlijke en/ of bedrijfsgevoelige gegevens te stelen.
- Telefoonfraude: Hier gebruiken aanvallers telefoonscripts en helpdeskfraude om op deze manier informatie te krijgen of toegang te krijgen.
- SMS phising: Door sms berichten te versturen met links naar internetpagina’s kunnen aanvallers informatie achterhalen. De internetpagina’s zijn voorzien van keyloggers die de ingevoerde gebruikersnamen, rekeningnummers, wachtwoorden en pincodes kunnen registreren.
- Social media: Hier is het van belang dat zo veel mogelijk persoonlijke/ bedrijfsgegevens (bv emailadres, adresgegevens etc) zijn afgeschermd.
Wat kan je doen tegen social engineering?
Alhoewel het lastig is om je te beschermen tegen deze vormen van aanvallen is het wel belangrijk om er bekend mee te zijn en bewustwording te creëren bij een ieder.
- Vergrendel je computer als je niet achter je laptop zit.
- Privacy screenprotectors voor laptop en/ of telefoon. Dit is handig als je veelal onderweg aan het werk bent.
- Wees bewust van welke informatie wordt weggegooid en hoe dat wordt gedaan. Dit zou eventueel kunnen met een papierversnipperaar of een container met een slot.
- Geven van trainingen en workshops om bewustwording te creëren en ontwikkelen. Zie ook het artikel Security Awareness
- Zorg voor een positieve security cultuur waarbij potentiële aanvallen snel worden gemeld en de nodige acties genomen kunnen worden. Ook hier gaat het om de bewustwording die moet leven en gestimuleerd moet worden.
Voor meer informatie en hoe wij je hierbij kunnen helpen, neem dan vrijblijvend contact met ons op.