Bij cybercriminaliteit wordt in het beginstadium vaak gebruik gemaakt van social engineering. Wat houdt dat in en hoe kun je je bedrijf en je medewerkers hiertegen wapenen? Het draait om het herkennen van de technieken.
Stel: je bent even naar de supermarkt geweest om brood te halen. Je komt weer thuis en er is ingebroken. Dat is enorm schrikken en zorgt vaak nog maanden voor een onzeker gevoel. In de digitale wereld gebruiken cybercriminelen tegenwoordig technieken om toegang te krijgen, die ervoor zorgen dat de scheidslijn tussen digitaal en fysiek steeds kleiner wordt. Een van de principes die daarbij wordt toegepast is social engineering. Bij Tesorion krijgen we regelmatig te maken met klanten die getroffen worden door een cyberincident. Regelmatig wordt daarbij in het beginstadium gebruik gemaakt van social engineering. Wat dat inhoudt en hoe jij je hiertegen kan wapenen leggen we in dit artikel uit.
Phishing, whatsappfraude en spoofing
Social engineers maken gebruik van een aantal principes om achter je persoonlijke gegevens te komen. Door mensen te manipuleren wordt geprobeerd om vertrouwelijke informatie te ontfutselen. Die informatie wordt gebruik om zo bijvoorbeeld toegang te krijgen tot systemen of data, met alle gevolgen van dien. Phishing is daarbij nog steeds de meest gebruikte techniek, maar whatsapp fraude en spoofing zijn sterk in opkomst. We schetsen hieronder kort een spoofing voorbeeld dat zich recentelijk in de praktijk heeft voorgedaan.
Voorbeeld van spoofing
Het is vrijdagmiddag en de telefoon gaat. Er wordt gebeld door het nummer van de fraudedesk van een grote Nederlandse bank. De bankmedewerker geeft telefonisch aan, in algemeen beschaafd Nederlands, dat hackers vanuit Ghana hebben geprobeerd om geld over te maken van jouw rekening naar een andere rekening. Door middel van een aantal controlevragen wil de medewerker telefonisch verifiëren of je het slachtoffer van de hack was. De controlevragen gaan over hoeveel geld er op de rekening staat, je postcode en adres. Daarnaast wil de medewerker weten of de laatste cijfers die bij hun in het systeem staan ook daadwerkelijk de laatste drie cijfers van je rekeningnummer zijn. De medewerker noemt ze op en de nummers kloppen. Vervolgens komen er vragen over de beveiliging van je PC en je wifi-netwerk om te controleren of er wel een goede beveiliging is. Uiteraard is het ook mogelijk dat een monteur wordt langs gestuurd om de beveiliging te verbeteren. Tot slot wordt er aangegeven dat, vanwege drukte, het kan gebeuren dat een rekening wat langer geblokkeerd blijft staan. Om te voorkomen dat je niet over je geld kan beschikken wordt er een beveiligd depot voorgesteld.
De persoon uit dit voorbeeld realiseerde zich op tijd wat er aan de hand was en heeft het gesprek beëindigd. In dit geval maakt de gesprekspartner annex ‘bankmedewerker’ gebruik van “spoofing”. Dit is een techniek waarbij het eigen telefoonnummer wordt vervangen door een ander telefoonnummer, in dit geval het telefoonnummer van een grote Nederlandse bank. Dit zorgt ervoor, samen met een gesprekspartner die autoriteit en betrouwbaarheid uitstraalt en het beroep wat gedaan wordt op het snel handelen, dat mensen worden verleid om toch geld over te maken.
Het beste wapen is gezond verstand en alertheid
Kenmerken social engineering?
In dit voorbeeld komen een aantal zaken naar voren die kenmerkend zijn voor social engineering: autoriteit, schaarste (in dit geval van tijd om te handelen), sympathie, wederkerigheid, commitment en consistentie. Een vriendelijke medewerker, een monteur langs willen sturen en door een geraffineerde opbouw van het verhaal en het stellen van de juiste vragen, weten ze de aandacht van mogelijke slachtoffers voor lange tijd vast te houden.
Als mens gaan we graag uit van het goede van de mensen om ons heen. Daarentegen worden de trucs die social engineers vandaag de dag gebruiken steeds meer geslepen. Er wordt bewust en gericht ingespeeld psychologische principes. Het is niet ‘fout’ of ‘jouw schuld’ dat je er intrapt. Het is veel geraffineerder dan je denkt. Het beste wapen is gezond verstand en alertheid, gevoed door het besef dat er bewust misbruik gemaakt kan worden van jouw vertrouwen.
Bewustwording zou niet moeten gaan om het ‘verbeteren van fout gedrag’, maar om het ‘herkennen van de technieken’. Geen schuld, maar een handreiking. Tijdens het webinar op 10 december neemt een expert je mee in deze kunst van het verleiden en wat je hier aan kan doen.
Dit artikel is gesponsord door Tesorion.