Wat is social engineering?

Leer effectieve strategieën om je persoonlijke informatie te beschermen en jezelf te verdedigen tegen social engineering, een sluwe tactiek die cybercriminelen gebruiken om mensen te manipuleren.

DOWNLOAD GRATIS ANTIVIRUS EN VIRUSSCAN

In dit artikel:

  • Leer wat social engineering-aanvallen zijn en hoe cybercriminelen psychologische manipulatie gebruiken om de beveiliging te omzeilen en mensen gevoelige informatie te ontfutselen.
  • Begrijp hoe aanvallers menselijke emoties zoals angst, nieuwsgierigheid en urgentie uitbuiten via tactieken als imitatie, phishing en scareware.
  • Ontdek praktische tips om u te beschermen tegen social engineering, waaronder multi-factor authenticatie, training in beveiligingsbewustzijn en spamfilters.
  • Ontdek de meest voorkomende soorten social engineering-aanvallen, van phishing en lokkertjes tot oplichterij voor technische ondersteuning, en bekijk voorbeelden uit de praktijk, zoals sextortion-e-mails en COVID-19-fraude.

Wat zijn social engineering aanvallen?

Social engineering aanvallen in de informatietechnologie zijn verfijnde methoden die cybercriminelen gebruiken om individuen te manipuleren zodat zij hun eigen veiligheid in gevaar brengen. Deze aanvallen resulteren vaak in slachtoffers die onbewust geld versturen, gevoelige persoonlijke of organisatorische informatie vrijgeven, of beveiligingsprotocollen overtreden.

De effectiviteit van social engineering ligt in de mogelijkheid om menselijke emoties zoals angst, nieuwsgierigheid of empathie uit te buiten, waardoor individuen impulsief handelen tegen hun beter oordeel in. Door het begrijpen van en inspelen op deze emotionele triggers overtuigen aanvallers slachtoffers om beslissingen te nemen die achteraf irrationeel lijken, zoals het downloaden van schadelijke software, het bezoeken van onveilige websites, of het delen van vertrouwelijke gegevens.

Hoe werkt social engineering?

Bij social engineering worden psychologische tactieken gebruikt om mensen te manipuleren om gevoelige informatie vrij te geven, die cruciaal is voor systeemtoegang of identiteitsdiefstal. Er wordt gebruik gemaakt van menselijke fouten, vaak door middel van bedrog of imitatie, wat leidt tot beveiligingsinbreuken en gegevenscompromittering, zonder gebruik te maken van technische hackmethoden.

Social engineering aanvallen zijn typisch multi-staps processen. Aanvankelijk doet de aanvaller onderzoek naar het doelwit om genoeg informatie en essentiële achtergrondgegevens te verzamelen, kwetsbaarheden en zwakke beveiligingsmaatregelen te identificeren die cruciaal zijn voor het succes van de aanval. Vervolgens gebruikt de aanvaller tactieken zoals pretexting of het nabootsen van gezagsfiguren om het vertrouwen van het slachtoffer te winnen. Deze manipulatie is ontworpen om acties uit te lokken die de veiligheid compromitteren, zoals het onthullen van vertrouwelijke informatie of het verlenen van toegang tot vitale systemen.

Social engineering aanvallen manipuleren de menselijke psychologie om technische beveiligingsmaatregelen te omzeilen. Ze kiezen zorgvuldig hun beoogde slachtoffer op basis van verschillende factoren. Belangrijke tactieken zijn onder andere:

  1. Imitatie: Aanvallers vermommen zich vaak als gerenommeerde entiteiten, zoals grote merken, overheidsinstanties of gezagsfiguren, om vertrouwen te winnen. Ze kunnen bijvoorbeeld frauduleuze websites maken die grote merken nabootsen om gebruikers te misleiden vertrouwelijke informatie prijs te geven.
  2. Het uitbuiten van emoties: Deze aanvallen maken vaak gebruik van emoties zoals angst, urgentie of hebzucht. Oplichters kunnen alarmerende berichten sturen over een gecompromitteerde bankrekening, of slachtoffers lokken met frauduleuze beloften van financiële winst, zoals de beruchte 'Nigeriaanse Prins' email scam.
  3. Profiteren van goedheid of nieuwsgierigheid: Social engineers maken ook gebruik van iemands natuurlijke neiging om te helpen of hun nieuwsgierigheid. Ze kunnen e-mails sturen die lijken van vrienden of sociale netwerken, met het verzoek om contactgegevens, hulp of gebruikers verleiden te klikken op een schadelijke link onder het mom van een intrigerend verhaal of nuttige bron.

Het begrijpen van deze tactieken is cruciaal voor het herkennen en verijdelen van social engineering aanvallen. Zij profiteren van de menselijke natuur in plaats van technologische gebreken, waardoor bewustwording en waakzaamheid de belangrijkste verdedigingen zijn tegen dergelijke bedreigingen.

Hoe te beschermen tegen social engineering aanvallen

Social engineering aanvallen kunnen vele vormen aannemen, van phishing e-mails tot manipulatie via telefoongesprekken of sms'jes. Omdat ze voornamelijk gericht zijn op menselijke kwetsbaarheden in plaats van technologische gebreken, vereist verdediging tegen hen een combinatie van bewustwording, waakzaamheid en technologische beschermingsmaatregelen.

De volgende stappen bieden een uitgebreide benadering om je verdediging tegen deze steeds vaker voorkomende en verfijnde aanvallen te verbeteren:

  1. Gebruik Multi-Factor Authenticatie: Implementatie van twee-factor of multi-factor authenticatie is cruciaal. Het voegt een extra beveiligingslaag toe, waardoor zelfs als inloggegevens zijn gecompromitteerd, ongeautoriseerde toegang toch wordt voorkomen.
  2. Veiligheidsbewustzijnstraining: Regelmatige training voor alle medewerkers is essentieel om sociale-engineeringaanvallen te herkennen en hierop te reageren. Deze training moet de identificatie van verdachte activiteiten behandelen en het belang van het niet delen van gevoelige informatie benadrukken.
  3. Installeer een sterk cyberbeveiligingsprogramma: Gebruik uitgebreide cyberbeveiligingssoftware, zoals Malwarebytes, die bedreigingen kan herkennen en neutraliseren, waaronder schadelijke websites, malvertenties, malware, virussen en ransomware.
  4. Toegangscontrolebeleid en cyberbeveiligingstechnologieën implementeren: Dwing een strikt toegangscontrolebeleid af, inclusief adaptieve authenticatie en een zero-trust beveiligingsaanpak. Gebruik technologieën zoals spamfilters, beveiligde e-mailgateways, firewalls, antivirussoftware en zorg ervoor dat systemen worden bijgewerkt met de nieuwste patches.
  5. Zet Spamfilters Aan: Activeer spamfilters om phishing e-mails en andere vormen van spam te blokkeren. Hoewel sommige legitieme e-mails eruit gefilterd kunnen worden, kun je dit verminderen door ze als "geen spam" te markeren en legitieme afzenders aan je contactenlijst toe te voegen.
  6. Leer Phishing E-mails te Herkennen: Leer jezelf en anderen phishing pogingen te identificeren. Let op waarschuwingen zoals niet-overeenkomende afzenderadressen, generieke begroetingen, ongewone URL's, slechte grammatica, en aanbiedingen die te mooi lijken om waar te zijn.
  7. Schakel Macros in Documenten Uit: Schakel macro's uit in je software. Wees voorzichtig met emailbijlagen die je vragen macro's in te schakelen, vooral van onbekende bronnen. In geval van twijfel, verifieer de legitimiteit van de bijlage met de afzender.
  8. Reageer Niet op Vermoede Scams: Vermijd het reageren op mogelijke scams, of het nu via e-mail, sms, of telefoongesprekken is. Reageren bevestigt voor oplichters dat je contactinformatie geldig is, wat meer pogingen aanmoedigt. Stuur verdachte sms'jes door naar 7726 (SPAM) om je provider te helpen spam te filteren.

Door deze strategieën te implementeren, kun je een robuust verdedigingssysteem opzetten tegen social engineering aanvallen, en zowel je persoonlijke gegevens als de gevoelige informatie van je organisatie beschermen. Vergeet niet, geïnformeerd en voorzichtig blijven is je eerste verdedigingslinie in het steeds veranderende landschap van cybersecurity bedreigingen.

Soorten social engineering aanvallen

Social engineering-aanvallen vinden voornamelijk plaats via verschillende [vormen van phishing] (malwarebytes. Deze aanvallen maken gebruik van de menselijke psychologie en vertrouwen, in plaats van te vertrouwen op technische hackmethoden. De doeltreffendheid en prevalentie van phishing maken het een kritieke zorg voor zowel individuen als organisaties. Hier volgt een meer gedetailleerd overzicht van elk type:

  1. Email Phishing: Aanvallers doen zich voor als legitieme entiteiten via e-mails, om ontvangers te misleiden persoonlijke gegevens of inloggegevens te onthullen. Deze e-mails bevatten vaak links naar misleidende websites of schadelijke bijlagen.
  2. Bulk Phishing: Bij deze methode wordt dezelfde phishing-e-mail naar miljoenen mensen gestuurd. De e-mails lijken afkomstig te zijn van herkenbare organisaties en vragen vaak om persoonlijke informatie onder valse voorwendselen.
  3. Spear Phishing: Een meer gerichte vorm van phishing, waarbij aanvallers hun berichten aan specifieke individuen aanpassen met informatie verzameld van sociale media of professionele netwerken.
  4. Walvissen vissen: Een spear phishing-tactiek op hoog niveau gericht op senior leidinggevenden of hooggeplaatste personen. Deze aanvallen zijn zeer persoonlijk en omvatten vaak complexe misleiding.
  5. Voice Phishing (Vishing): Deze techniek maakt gebruik van telefoongesprekken om mensen te misleiden om gevoelige informatie vrij te geven. Aanvallers kunnen zich voordoen als legitieme organisaties of autoriteiten.
  6. SMS Phishing (Smishing): Een variant van phishing die via sms-berichten wordt uitgevoerd. Deze berichten lokken ontvangers om op kwaadaardige links te klikken of gevoelige informatie te onthullen.
  7. Search Engine Phishing: Bij deze aanpak maken aanvallers nepwebsites die hoog in de zoekresultaten verschijnen. Wanneer gebruikers deze sites bezoeken, lopen ze het risico dat hun informatie wordt gestolen.
  8. Angler Phishing: Deze vorm maakt gebruik van sociale mediaplatforms, waarbij aanvallers nepklantenservice-accounts creëren om interactie met slachtoffers aan te gaan, vaak leidend tot phishing sites.

Na Phishing, de andere social engineering methodes zijn:

  1. Baiting: Lokt slachtoffers met een valse belofte van goederen of diensten om informatie te stelen of malware te installeren.
  2. Tailgating/Piggybacking: Behelst ongeautoriseerde toegang tot beperkte gebieden door fysiek een gemachtigde persoon te volgen of digitaal gebruik te maken van iemand anders' actieve sessie.
  3. Pretexting: Aanvallers verzinnen scenario's om gevoelige informatie te verkrijgen of toegang te krijgen, vaak door zich voor te doen als iemand met autoriteit of een behoefte om identiteit te verifiëren.
  4. Quid Pro Quo: Biedt een dienst of voordeel aan in ruil voor gevoelige informatie, gebruikmakend van het verlangen van het slachtoffer naar een goede deal of beloning.
  5. Scareware: Gebruikt angsttactieken om slachtoffers te manipuleren zodat ze malware installeren of vertrouwelijke informatie vrijgeven.
  6. Watering Hole-aanval: Richt zich op specifieke groepen door websites te infecteren die ze vaak bezoeken, wat leidt tot diefstal van gegevens of installatie van malware.
  7. Trojan Aanvallen: Malware vermomd als legitieme software, vaak verspreid via e-mailbijlagen van schijnbaar betrouwbare bronnen.
  8. Tech Support Fraude: Bedriegt slachtoffers te geloven dat hun apparaat is gecompromitteerd en vraagt geld voor onnodige 'reparaties'.
  9. Oproepen: Hierbij worden telefoontjes (inclusief robocalls) gebruikt om slachtoffers op te lichten, vaak door zich voor te doen als legitieme organisaties of autoriteiten.

Het begrijpen van deze phishing methodes en andere social engineering tactieken is cruciaal voor het beschermen tegen deze veelvoorkomende en evolutionaire bedreigingen.

Voorbeelden van social engineering aanvallen

Hier zijn enkele voorbeelden van social engineering uit de praktijk waarover we hebben bericht bij Malwarebytes Labs. In elk voorbeeld zijn social engineering scammers op zoek naar het juiste doelwit en de juiste emotionele trigger. Soms kan de combinatie van doelwit en trigger hyperspecifiek zijn (zoals bij een spear phishing aanval). Andere keren gaan scammers achter een veel bredere groep aan.

De sextortion-zwendel: In dit eerste voorbeeld gooien de oplichters een breed net uit. Het doelwit? Iedereen die porno kijkt. Het slachtoffer wordt via e-mail op de hoogte gebracht dat hun webcam zou zijn gehackt en gebruikt om hen op te nemen terwijl ze naar pornovideo's kijken. De oplichter beweert ook dat hij de e-mailaccount van de ontvanger heeft gehackt en gebruikt een oud wachtwoord als bewijs. Als het slachtoffer niet betaalt via Bitcoin, dreigt de oplichter de video vrij te geven aan alle contacten van het slachtoffer. Over het algemeen heeft de oplichter geen video van u is uw oude wachtwoord afkomstig van een eerder openbaar gemaakt datalek.

De grootouder zwendel: Deze zwendel gaat al jaren rond en richt zich op iedereen met levende familie, meestal de ouderen. Ouders of grootouders ontvangen een telefoontje of sms van de oplichter, die zich voordoet als advocaat of wetshandhaving. De oplichter beweert dat de verwant van het slachtoffer is gearresteerd of gewond en geld nodig heeft voor borgtocht, juridische kosten of ziekenhuisrekeningen. In het geval van de SMS-versie van de zwendel kost het reageren de slachtoffers geld.

De zwendel met sofinummers: Bij deze zwendel worden de zaken kleiner, want hij is alleen van toepassing op Amerikaanse burgers. Het slachtoffer krijgt een vooraf opgenomen telefoontje dat afkomstig lijkt te zijn van de Social Security Administration. Het bericht beweert dat de SSN van het slachtoffer "opgeschort" is vanwege "verdachte sporen van informatie". Het maakt niet uit dat uw SSN niet kan worden opgeschort, als het slachtoffer in de truc trapt en terugbelt, wordt hem gevraagd een boete te betalen om alles recht te zetten.

De John Wick 3 zwendel: Hier is een goed voorbeeld van spear phishing. In dit geval zijn de oplichters uit op een zeer specifiek doelwit: een John Wick-fan die van stripboeken houdt, maar ze liever leest op Amazon Kindle. Terwijl hij naar John Wick-stripboeken zoekt, wordt het doelwit een gratis download voor de derde John Wick-film aangeboden—ten tijde van de zwendel was de film nog niet in de bioscoop uitgebracht. Het volgen van de link in de filmomschrijving leidt het slachtoffer naar een web van illegale streamingsites voor gepirateerde films.

Coronavirusoplichting: Oplichters namen nota van het gebrek aan informatie over het virus, vooral in de eerste dagen en maanden van de epidemie. Terwijl gezondheidsfunctionarissen worstelden om vat te krijgen op het virus en hoe het zich van mens tot mens verspreidde, vulden oplichters de leemtes op met nepwebsites en spam e-mails.

We hebben bericht over spam e-mails die zich voordeden als virusinformatie van de Wereldgezondheidsorganisatie. De e-mails bevatten in werkelijkheid bijlagen vol malware. In een ander voorbeeld rapporteerde Labs over een COVID-19 volgsite die infecties over de hele wereld in real-time weergaf. Achter de schermen laadde de site een Trojaanse infosteler op de computers van de slachtoffers.

Wat is phishing?

Wat is spear phishing?

Wat is een vishing aanval?

Wat is catfishing?

Wat is identiteitsdiefstal?

Veelgestelde vragen

Wat is het verschil tussen social engineering en reverse social engineering?

Bij social engineering benaderen aanvallers doelwitten om ze te manipuleren zodat ze informatie delen. Bij reverse social engineering nemen slachtoffers onbewust contact op met bedrieglijke aanvallers.