Wat is social engineering?

Leer effectieve strategieën om uw persoonlijke informatie te beschermen en je te verdedigen tegen social engineering, een sluwe tactiek die cybercriminelen gebruiken om mensen te manipuleren.

GRATIS ANTIVIRUS EN VIRUSSCAN DOWNLOADEN

Wat zijn social engineering-aanvallen?

Social engineering-aanvallen in de computerwereld zijn geraffineerde methoden die cybercriminelen gebruiken om mensen zo te manipuleren dat ze hun eigen veiligheid in gevaar brengen. Deze aanvallen leiden er vaak toe dat slachtoffers onbewust geld sturen, gevoelige persoonlijke of organisatorische informatie vrijgeven of beveiligingsprotocollen overtreden.

De effectiviteit van social engineering ligt in het vermogen om menselijke emoties zoals angst, nieuwsgierigheid of empathie uit te buiten, waardoor mensen impulsief handelen tegen beter weten in. Door deze emotionele triggers te begrijpen en erop in te spelen, kunnen aanvallers slachtoffers overhalen om beslissingen te nemen die achteraf gezien irrationeel lijken, zoals het downloaden van schadelijke software, het bezoeken van onveilige websites of het delen van vertrouwelijke gegevens.

Hoe werkt social engineering?

Bij social engineering worden psychologische tactieken gebruikt om mensen te manipuleren om gevoelige informatie vrij te geven, die cruciaal is voor systeemtoegang of identiteitsdiefstal. Er wordt gebruik gemaakt van menselijke fouten, vaak door middel van bedrog of imitatie, wat leidt tot beveiligingsinbreuken en gegevenscompromittering, zonder gebruik te maken van technische hackmethoden.

Social engineering-aanvallen bestaan meestal uit meerdere stappen. In eerste instantie onderzoekt de aanvaller het doelwit om voldoende informatie en essentiële achtergronddetails te verzamelen, kwetsbaarheden en zwakke beveiligingsmaatregelen te identificeren die cruciaal zijn voor het succes van de aanval. Vervolgens gebruikt de aanvaller tactieken zoals voorwenden of zich voordoen als autoriteitsfiguren om het vertrouwen van het slachtoffer te winnen. Deze manipulatie is bedoeld om acties uit te lokken die de beveiliging in gevaar brengen, zoals het onthullen van vertrouwelijke informatie of het verlenen van toegang tot vitale systemen.

Social engineering-aanvallen manipuleren de menselijke psychologie om technische beveiligingsmaatregelen te omzeilen. Ze selecteren zorgvuldig hun beoogde slachtoffer op basis van verschillende factoren. De belangrijkste tactieken zijn:

  1. Imitatie: Aanvallers doen zich vaak voor als gerenommeerde entiteiten - grote merken, overheidsinstanties of gezagsdragers - om vertrouwen te winnen. Ze kunnen bijvoorbeeld frauduleuze websites maken die grote merken imiteren om gebruikers te misleiden en gevoelige informatie te onthullen.
  2. Emoties uitbuiten: Deze aanvallen maken vaak gebruik van emoties zoals angst, urgentie of hebzucht. Oplichters kunnen alarmerende berichten sturen over een gecompromitteerde bankrekening of slachtoffers verleiden met frauduleuze beloften van financieel gewin, zoals de beruchte 'Nigeriaanse prins'-emailzwendel.
  3. Profiteren van goodwill of nieuwsgierigheid: Social engineers maken ook misbruik van iemands natuurlijke neiging om te helpen of van hun nieuwsgierigheid. Ze kunnen e-mails sturen die van vrienden of sociale netwerken afkomstig lijken te zijn, waarin ze om contactinformatie of hulp vragen of gebruikers verleiden om op een kwaadaardige link te klikken onder het mom van een intrigerend verhaal of een nuttige bron.

Inzicht in deze tactieken is cruciaal voor het herkennen en verijdelen van social engineering-aanvallen. Ze azen eerder op de menselijke natuur dan op technologische gebreken, waardoor bewustzijn en waakzaamheid de belangrijkste verdedigingen tegen dergelijke bedreigingen zijn.

Hoe beschermen tegen social engineering-aanvallen

Social engineering-aanvallen kunnen vele vormen aannemen, van phishing-e-mails tot manipulatie via telefoongesprekken of sms-berichten. Omdat ze voornamelijk gericht zijn op menselijke kwetsbaarheden in plaats van technologische gebreken, vereist verdediging hiertegen een combinatie van bewustzijn, waakzaamheid en technologische beveiligingen.

De volgende stappen bieden een uitgebreide aanpak om uw verdediging tegen deze steeds vaker voorkomende en geavanceerdere aanvallen te verbeteren:

  1. Multi-Factor Authenticatie gebruiken: Het implementeren van twee-factor of multi-factor authenticatie is cruciaal. Het voegt een extra beveiligingslaag toe en zorgt ervoor dat zelfs als inloggegevens gecompromitteerd zijn, ongeautoriseerde toegang nog steeds wordt voorkomen.
  2. Security Bewustzijnstraining: Regelmatige training voor alle werknemers is van vitaal belang om social engineering-aanvallen te herkennen en erop te reageren. Deze training moet block het herkennen van verdachte activiteiten en het belang van het niet delen van gevoelige informatie.
  3. Installeer een sterk cyberbeveiligingsprogramma: Gebruik uitgebreide cyberbeveiligingssoftware, zoals Malwarebytes, die bedreigingen kan herkennen en neutraliseren, waaronder schadelijke websites, malvertenties, malware, virussen en ransomware.
  4. Toegangscontrolebeleid en cyberbeveiligingstechnologieën implementeren: Dwing een strikt toegangscontrolebeleid af, inclusief adaptieve authenticatie en een zero-trust beveiligingsaanpak. Gebruik technologieën zoals spamfilters, beveiligde e-mailgateways, firewalls, antivirussoftware en houd systemen bijgewerkt met de nieuwste patches.
  5. Zet spamfilters aan: Activeer spamfilters om phishing-e-mails en andere vormen van spam te blokkeren. Hoewel sommige legitieme e-mails kunnen worden uitgefilterd, kan u dit beperken door ze te markeren als "geen spam" en legitieme afzenders toe te voegen aan de lijst met contactpersonen op uw .
  6. Leer hoe je phishing-e-mails herkent: Leer uzelf en anderen om phishing-pogingen te herkennen. Let op rode vlaggen zoals verkeerde afzenderadressen, algemene aanhef, ongebruikelijke URL's, slechte grammatica en aanbiedingen die te mooi lijken om waar te zijn.
  7. Macro's in documenten uitschakelen: Schakel macro's uit in uw software. Wees voorzichtig met e-mailbijlagen die u vragen om macro's in te schakelen, vooral van onbekende bronnen. Controleer bij twijfel de legitimiteit van de bijlage bij de afzender.
  8. Reageer niet op vermoedelijke oplichting: Vermijd het om te reageren op mogelijke oplichting, via e-mail, sms of telefoontjes. Door te reageren bevestigen oplichters dat uw contactinformatie geldig is, waardoor meer pogingen worden aangemoedigd. Stuur verdachte sms'jes door naar 7726 (SPAM) om de provider uw te helpen spam te filteren.

Door deze strategieën te implementeren, u kan een robuust verdedigingssysteem tegen social engineering-aanvallen worden gecreëerd, waarbij zowel uw persoonlijke gegevens als uw gevoelige informatie van de organisatie wordt beschermd. Onthoud: geïnformeerd en voorzichtig blijven is uw de eerste verdedigingslinie in het steeds veranderende landschap van cyberbeveiligingsbedreigingen.

Soorten social engineering-aanvallen

Social engineering-aanvallen vinden voornamelijk plaats via verschillende [vormen van phishing] (https://www.malwarebytes.com/phishing). Deze aanvallen maken gebruik van de menselijke psychologie en vertrouwen, in plaats van te vertrouwen op technische hackmethoden. De doeltreffendheid en prevalentie van phishing maken het tot een belangrijk probleem voor zowel individuen als organisaties. Hier volgt een meer gedetailleerd overzicht van elk type:

  1. E-mail Phishing: Aanvallers doen zich via e-mails voor als legitieme entiteiten en verleiden ontvangers tot het verstrekken van persoonlijke gegevens of referenties. Deze e-mails bevatten vaak koppelingen naar bedrieglijke websites of schadelijke bijlagen.
  2. Bulk Phishing: Bij deze methode wordt dezelfde phishing-e-mail naar miljoenen mensen gestuurd. De e-mails lijken afkomstig te zijn van herkenbare organisaties en vragen vaak om persoonlijke informatie onder valse voorwendselen.
  3. Spear Phishing: Een meer gerichte vorm van phishing, waarbij aanvallers hun berichten aanpassen aan specifieke personen met behulp van informatie afkomstig van sociale media of professionele netwerken.
  4. Walvissen vissen: Een spear phishing-tactiek op hoog niveau gericht op senior leidinggevenden of hooggeplaatste personen. Deze aanvallen zijn zeer persoonlijk en omvatten vaak complexe misleiding.
  5. Voice Phishing (Vishing): Deze techniek maakt gebruik van telefoongesprekken om mensen te misleiden om gevoelige informatie vrij te geven. Aanvallers kunnen zich voordoen als legitieme organisaties of autoriteiten.
  6. SMS Phishing (Smishing): Een variant van phishing die wordt uitgevoerd via sms-berichten. Deze berichten verleiden ontvangers om op schadelijke koppelingen te klikken of gevoelige informatie vrij te geven.
  7. Search Engine Phishing: Bij deze aanpak maken aanvallers valse websites die hoog in de resultaten van zoekmachines verschijnen. Als gebruikers deze sites bezoeken, lopen ze het risico dat hun gegevens worden gestolen.
  8. Angler Phishing: Deze vorm maakt gebruik van sociale mediaplatforms, waar aanvallers valse accounts voor de klantenservice aanmaken om te communiceren met slachtoffers, waardoor ze vaak naar phishingsites worden geleid.

Na Phishing zijn de andere methoden van social engineering:

  1. Lokken: Slachtoffers verleiden met een valse belofte van goederen of diensten om informatie te stelen of malware te installeren.
  2. Tailgating/Piggybacking: Onbevoegde toegang tot vertrouwelijke gebieden door een bevoegd persoon fysiek te volgen of door digitaal gebruik te maken van de actieve sessie van iemand anders.
  3. Pretexting: Aanvallers verzinnen scenario's om gevoelige informatie te ontfutselen of toegang te krijgen, vaak door zich voor te doen als iemand met autoriteit of iemand die zijn identiteit moet verifiëren.
  4. Quid Pro Quo: Biedt een dienst of voordeel aan in ruil voor gevoelige informatie, waarbij misbruik wordt gemaakt van het verlangen van het slachtoffer naar een goede deal of beloning.
  5. Scareware: Gebruikt angsttactieken om slachtoffers te manipuleren zodat ze malware installeren of vertrouwelijke informatie vrijgeven.
  6. Watering Hole-aanval: Richt zich op specifieke groepen door websites te infecteren die ze vaak bezoeken, wat leidt tot diefstal van gegevens of installatie van malware.
  7. Trojaanse aanvallen: Malware vermomd als legitieme software, vaak verspreid via e-mailbijlagen van schijnbaar betrouwbare bronnen.
  8. Zwendel met technische ondersteuning: Slachtoffers laten geloven dat hun apparaat is aangetast en geld vragen voor onnodige "reparaties".
  9. Zwendelgesprekken: Hierbij worden telefoontjes (inclusief robocalls) gebruikt om slachtoffers op te lichten, vaak door zich voor te doen als legitieme organisaties of autoriteiten.

Inzicht in deze phishing-methoden en andere social engineering-tactieken is cruciaal om je te beschermen tegen deze veelvoorkomende en zich ontwikkelende bedreigingen.

Voorbeelden van social engineering-aanvallen

Hier zijn enkele voorbeelden van social engineering uit de praktijk waarover we hebben bericht op Malwarebytes Labs . In elk voorbeeld zijn social engineering scammers op zoek naar het juiste doelwit en de juiste emotionele trigger. Soms kan de combinatie van doelwit en trigger hyperspecifiek zijn (zoals bij een spear phishing-aanval). Andere keren gaan scammers achter een veel bredere groep aan.

De sextortion-zwendel: In dit eerste voorbeeld gooien de oplichters een breed net uit. Het doelwit? Iedereen die porno kijkt. Het slachtoffer wordt via e-mail op de hoogte gebracht dat hun webcam zou zijn gehackt en gebruikt om hen op te nemen terwijl ze naar pornovideo's kijken. De oplichter beweert ook dat hij de e-mailaccount van de ontvanger heeft gehackt en gebruikt een oud wachtwoord als bewijs. Als het slachtoffer niet betaalt via Bitcoin, dreigt de oplichter de video vrij te geven aan alle contacten van het slachtoffer. Over het algemeen heeft de oplichter geen video van u en uw is het oude wachtwoord afkomstig van een eerder openbaar gemaakt datalek.

De grootouderzwendel: Deze zwendel gaat al jaren rond en is gericht op iedereen met levende familie, meestal ouderen. Ouders of grootouders krijgen een telefoontje of sms van de oplichter, die zich voordoet als een advocaat of wetshandhaver. De oplichter beweert dat het familielid van het slachtoffer gearresteerd of gewond is en geld nodig heeft voor block borg, juridische kosten of ziekenhuisrekeningen. In het geval van de sms-versie van de oplichting kost het beantwoorden van het bericht het slachtoffer al geld.

De zwendel met het Social Security Number: Bij deze zwendel worden de zaken kleiner, omdat hij alleen van toepassing is op Amerikaanse burgers. Het slachtoffer krijgt een vooraf opgenomen telefoontje dat afkomstig lijkt te zijn van de Social Security Administration. Het bericht beweert dat de SSN van het slachtoffer "opgeschort" is vanwege "verdachte sporen van informatie". Het maakt niet uit dat uw SSN niet kan worden opgeschort, maar als het slachtoffer in de truc trapt en terugbelt, wordt hem gevraagd een boete te betalen om alles recht te zetten.

De John Wick 3-fraude: Dit is een goed voorbeeld van spear phishing. In dit geval zitten de scammers achter een heel specifiek doelwit aan: een John Wick-fan die graag stripboeken leest, maar ze liever op Amazon Kindle leest. Tijdens het zoeken naar John Wick stripboeken krijgt het doelwit een gratis download aangeboden voor de derde John Wick film - op het moment van de scam was de film nog niet uitgebracht in de bioscoop. Door de link in de filmbeschrijving te volgen, komt het slachtoffer in een konijnenhol van illegale streamingsites voor illegale films terecht.

Coronavirusoplichting: Oplichters namen nota van het gebrek aan informatie over het virus, vooral in de eerste dagen en maanden van de epidemie. Terwijl gezondheidsfunctionarissen worstelden om vat te krijgen op het virus en hoe het zich van mens tot mens verspreidde, vulden oplichters de leemtes op met nepwebsites en spam e-mails.

We hebben bericht over spam e-mails die zich voordeden als virusinformatie van de Wereldgezondheidsorganisatie. De e-mails bevatten in werkelijkheid bijlagen vol malware. In een ander voorbeeld deed Labs verslag van een COVID-19 volgsite die infecties over de hele wereld in real-time weergaf. Achter de schermen laadde de site een Trojaanse info-steler op de computers van de slachtoffers.

Wat is phishing?

Wat is spear phishing?

Wat is een vishing-aanval?

Wat is catfishing?

Wat is identiteitsdiefstal?

Veelgestelde vragen

Wat is het verschil tussen social engineering en reverse social engineering?

Bij social engineering benaderen aanvallers doelwitten om ze te manipuleren zodat ze informatie delen. Bij reverse social engineering nemen slachtoffers onbewust contact op met bedrieglijke aanvallers.