Wat is social engineering?

Leer effectieve strategieën om je persoonlijke informatie te beschermen en jezelf te verdedigen tegen social engineering, een sluwe tactiek die cybercriminelen gebruiken om mensen te manipuleren.

DOWNLOAD GRATIS ANTIVIRUS EN VIRUSSCAN

Wat zijn social engineering aanvallen?

Social engineering aanvallen in de informatietechnologie zijn verfijnde methoden die cybercriminelen gebruiken om individuen te manipuleren zodat zij hun eigen veiligheid in gevaar brengen. Deze aanvallen resulteren vaak in slachtoffers die onbewust geld versturen, gevoelige persoonlijke of organisatorische informatie vrijgeven, of beveiligingsprotocollen overtreden.

De effectiviteit van social engineering ligt in de mogelijkheid om menselijke emoties zoals angst, nieuwsgierigheid of empathie uit te buiten, waardoor individuen impulsief handelen tegen hun beter oordeel in. Door het begrijpen van en inspelen op deze emotionele triggers overtuigen aanvallers slachtoffers om beslissingen te nemen die achteraf irrationeel lijken, zoals het downloaden van schadelijke software, het bezoeken van onveilige websites, of het delen van vertrouwelijke gegevens.

Hoe werkt social engineering?

Social engineering omvat psychologische tactieken om mensen te manipuleren tot het onthullen van gevoelige informatie, cruciaal voor systeemtoegang of identiteitsdiefstal. Het maakt gebruik van menselijke fouten, vaak door misleiding of nabootsing, wat leidt tot beveiligingsovertredingen en datalekken, zonder te vertrouwen op technische hackingmethoden.

Social engineering aanvallen zijn typisch multi-staps processen. Aanvankelijk doet de aanvaller onderzoek naar het doelwit om genoeg informatie en essentiële achtergrondgegevens te verzamelen, kwetsbaarheden en zwakke beveiligingsmaatregelen te identificeren die cruciaal zijn voor het succes van de aanval. Vervolgens gebruikt de aanvaller tactieken zoals pretexting of het nabootsen van gezagsfiguren om het vertrouwen van het slachtoffer te winnen. Deze manipulatie is ontworpen om acties uit te lokken die de veiligheid compromitteren, zoals het onthullen van vertrouwelijke informatie of het verlenen van toegang tot vitale systemen.

Social engineering aanvallen manipuleren de menselijke psychologie om technische beveiligingsmaatregelen te omzeilen. Ze kiezen zorgvuldig hun beoogde slachtoffer op basis van verschillende factoren. Belangrijke tactieken zijn onder andere:

  1. Imitatie: Aanvallers vermommen zich vaak als gerenommeerde entiteiten, zoals grote merken, overheidsinstanties of gezagsfiguren, om vertrouwen te winnen. Ze kunnen bijvoorbeeld frauduleuze websites maken die grote merken nabootsen om gebruikers te misleiden vertrouwelijke informatie prijs te geven.
  2. Het uitbuiten van emoties: Deze aanvallen maken vaak gebruik van emoties zoals angst, urgentie of hebzucht. Oplichters kunnen alarmerende berichten sturen over een gecompromitteerde bankrekening, of slachtoffers lokken met frauduleuze beloften van financiële winst, zoals de beruchte 'Nigeriaanse Prins' email scam.
  3. Profiteren van goedheid of nieuwsgierigheid: Social engineers maken ook gebruik van iemands natuurlijke neiging om te helpen of hun nieuwsgierigheid. Ze kunnen e-mails sturen die lijken van vrienden of sociale netwerken, met het verzoek om contactgegevens, hulp of gebruikers verleiden te klikken op een schadelijke link onder het mom van een intrigerend verhaal of nuttige bron.

Het begrijpen van deze tactieken is cruciaal voor het herkennen en verijdelen van social engineering aanvallen. Zij profiteren van de menselijke natuur in plaats van technologische gebreken, waardoor bewustwording en waakzaamheid de belangrijkste verdedigingen zijn tegen dergelijke bedreigingen.

Hoe te beschermen tegen social engineering aanvallen

Social engineering aanvallen kunnen vele vormen aannemen, van phishing e-mails tot manipulatie via telefoongesprekken of sms'jes. Omdat ze voornamelijk gericht zijn op menselijke kwetsbaarheden in plaats van technologische gebreken, vereist verdediging tegen hen een combinatie van bewustwording, waakzaamheid en technologische beschermingsmaatregelen.

De volgende stappen bieden een uitgebreide benadering om je verdediging tegen deze steeds vaker voorkomende en verfijnde aanvallen te verbeteren:

  1. Gebruik Multi-Factor Authenticatie: Implementatie van twee-factor of multi-factor authenticatie is cruciaal. Het voegt een extra beveiligingslaag toe, waardoor zelfs als inloggegevens zijn gecompromitteerd, ongeautoriseerde toegang toch wordt voorkomen.
  2. Veiligheidsbewustzijnstraining: Regelmatige training voor alle medewerkers is essentieel om sociale-engineeringaanvallen te herkennen en hierop te reageren. Deze training moet de identificatie van verdachte activiteiten behandelen en het belang van het niet delen van gevoelige informatie benadrukken.
  3. Installeer een Sterk Cybersecurity Programma: Gebruik uitgebreide cybersecurity software, zoals Malwarebytes, die bedreigingen kan herkennen en neutraliseren, inclusief kwaadaardige websites, kwaadaardige advertenties, malware, virussen, en ransomware.
  4. Implementeer Toegangscontrolebeleid en Cybersecurity Technologieën: Handhaaf strenge toegangscontrolemaatregelen, inclusief adaptieve authenticatie en een zero-trust beveiligingsbenadering. Gebruik technologieën zoals spamfilters, beveiligde e-mailgateways, firewalls, antivirussoftware, en houd systemen up-to-date met de nieuwste patches.
  5. Zet Spamfilters Aan: Activeer spamfilters om phishing e-mails en andere vormen van spam te blokkeren. Hoewel sommige legitieme e-mails eruit gefilterd kunnen worden, kun je dit verminderen door ze als "geen spam" te markeren en legitieme afzenders aan je contactenlijst toe te voegen.
  6. Leer Phishing E-mails te Herkennen: Leer jezelf en anderen phishing pogingen te identificeren. Let op waarschuwingen zoals niet-overeenkomende afzenderadressen, generieke begroetingen, ongewone URL's, slechte grammatica, en aanbiedingen die te mooi lijken om waar te zijn.
  7. Schakel Macros in Documenten Uit: Schakel macro's uit in je software. Wees voorzichtig met emailbijlagen die je vragen macro's in te schakelen, vooral van onbekende bronnen. In geval van twijfel, verifieer de legitimiteit van de bijlage met de afzender.
  8. Reageer Niet op Vermoede Scams: Vermijd het reageren op mogelijke scams, of het nu via e-mail, sms, of telefoongesprekken is. Reageren bevestigt voor oplichters dat je contactinformatie geldig is, wat meer pogingen aanmoedigt. Stuur verdachte sms'jes door naar 7726 (SPAM) om je provider te helpen spam te filteren.

Door deze strategieën te implementeren, kun je een robuust verdedigingssysteem opzetten tegen social engineering aanvallen, en zowel je persoonlijke gegevens als de gevoelige informatie van je organisatie beschermen. Vergeet niet, geïnformeerd en voorzichtig blijven is je eerste verdedigingslinie in het steeds veranderende landschap van cybersecurity bedreigingen.

Soorten social engineering aanvallen

Social engineering-aanvallen vinden voornamelijk plaats via verschillende [vormen van phishing] (https://www.malwarebytes.com/phishing). Deze aanvallen maken gebruik van de menselijke psychologie en vertrouwen, in plaats van te vertrouwen op technische hackmethoden. De doeltreffendheid en prevalentie van phishing maken het tot een belangrijk probleem voor zowel individuen als organisaties. Hier volgt een meer gedetailleerd overzicht van elk type:

  1. Email Phishing: Aanvallers doen zich voor als legitieme entiteiten via e-mails, om ontvangers te misleiden persoonlijke gegevens of inloggegevens te onthullen. Deze e-mails bevatten vaak links naar misleidende websites of schadelijke bijlagen.
  2. Bulk Phishing: Deze methode houdt in dat hetzelfde phishing-email naar miljoenen mensen wordt gestuurd. De e-mails lijken afkomstig van herkenbare organisaties en vragen vaak om persoonlijke informatie onder valse voorwendselen.
  3. Spear Phishing: Een meer gerichte vorm van phishing, waarbij aanvallers hun berichten aan specifieke individuen aanpassen met informatie verzameld van sociale media of professionele netwerken.
  4. Whale Phishing: Een hoog niveau spear phishing tactiek gericht op senior executives of hooggeplaatste individuen. Deze aanvallen zijn sterk gepersonaliseerd en vaak betrokken bij complexe misleiding.
  5. Voice Phishing (Vishing): Deze techniek maakt gebruik van telefoongesprekken om individuen te misleiden gevoelige informatie te onthullen. Aanvallers kunnen zich voordoen als legitieme organisaties of gezagsfiguren.
  6. SMS Phishing (Smishing): Een variant van phishing die via sms-berichten wordt uitgevoerd. Deze berichten lokken ontvangers om op kwaadaardige links te klikken of gevoelige informatie te onthullen.
  7. Search Engine Phishing: Bij deze aanpak maken aanvallers nepwebsites die hoog in de zoekresultaten verschijnen. Wanneer gebruikers deze sites bezoeken, lopen ze het risico dat hun informatie wordt gestolen.
  8. Angler Phishing: Deze vorm maakt gebruik van sociale mediaplatforms, waarbij aanvallers nepklantenservice-accounts creëren om interactie met slachtoffers aan te gaan, vaak leidend tot phishing sites.

Na Phishing, de andere social engineering methodes zijn:

  1. Baiting: Lokt slachtoffers met een valse belofte van goederen of diensten om informatie te stelen of malware te installeren.
  2. Tailgating/Piggybacking: Behelst ongeautoriseerde toegang tot beperkte gebieden door fysiek een gemachtigde persoon te volgen of digitaal gebruik te maken van iemand anders' actieve sessie.
  3. Pretexting: Aanvallers verzinnen scenario's om gevoelige informatie te verkrijgen of toegang te krijgen, vaak door zich voor te doen als iemand met autoriteit of een behoefte om identiteit te verifiëren.
  4. Quid Pro Quo: Biedt een dienst of voordeel aan in ruil voor gevoelige informatie, gebruikmakend van het verlangen van het slachtoffer naar een goede deal of beloning.
  5. Scareware: Gebruikt angsttactieken om slachtoffers te manipuleren tot het installeren van malware of het onthullen van vertrouwelijke informatie.
  6. Watering Hole Aanval: Richt zich op specifieke groepen door websites te infecteren die zij vaak bezoeken, leidend tot datadiefstal of malware installatie.
  7. Trojan Aanvallen: Malware vermomd als legitieme software, vaak verspreid via e-mailbijlagen van schijnbaar betrouwbare bronnen.
  8. Tech Support Fraude: Bedriegt slachtoffers te geloven dat hun apparaat is gecompromitteerd en vraagt geld voor onnodige 'reparaties'.
  9. Oplichters Oproepen: Betreft het gebruik van telefoongesprekken (inclusief robocalls) om slachtoffers op te lichten, vaak door zich voor te doen als legitieme organisaties of autoriteiten.

Het begrijpen van deze phishing methodes en andere social engineering tactieken is cruciaal voor het beschermen tegen deze veelvoorkomende en evolutionaire bedreigingen.

Voorbeelden van social engineering aanvallen

Hier zijn enkele echte voorbeelden van sociale engineering waarover we hebben gerapporteerd bij Malwarebytes Labs. In elk voorbeeld zoeken sociale-engineeringoplichters naar het juiste doelwit en de juiste emotionele trigger. Soms kan de combinatie van doelwit en trigger zeer specifiek zijn (zoals bij een spear phishing-aanval). Andere keren kunnen oplichters zich richten op een veel bredere groep.

De sextortion zwendel: In dit eerste voorbeeld werpen oplichters hun net wijd uit. Het doelwit? Iedereen die naar porno kijkt. Het slachtoffer wordt per e-mail op de hoogte gesteld dat zijn webcam zogenaamd is gehackt en gebruikt om hem op te nemen terwijl hij naar volwassen video's kijkt. De oplichter beweert ook dat hij het e-mailaccount van de ontvanger heeft gehackt en gebruikt een oud wachtwoord als bewijs. Als het slachtoffer niet betaalt via Bitcoin, dreigt de oplichter de video naar alle contacten van het slachtoffer te sturen. Over het algemeen heeft de oplichter geen video van jou en is je oude wachtwoord afkomstig van een eerder bekendgemaakte datalek.

De grootouder zwendel: Deze zwendel gaat al jaren rond en richt zich op iedereen met levende familie, meestal de ouderen. Ouders of grootouders ontvangen een telefoontje of sms van de oplichter, die zich voordoet als advocaat of wetshandhaving. De oplichter beweert dat de verwant van het slachtoffer is gearresteerd of gewond en geld nodig heeft voor borgtocht, juridische kosten of ziekenhuisrekeningen. In het geval van de SMS-versie van de zwendel kost het reageren de slachtoffers geld.

De Social Security-nummer scam: Bij deze zwendel wordt alles beperkt tot Amerikaanse burgers. Het slachtoffer ontvangt een vooraf opgenomen robocall die zich voordoet als de Social Security Administration. Het bericht beweert dat het SSN van het slachtoffer is "geschorst" vanwege "verdachte informatietrajecten." Vergeet het feit dat je SSN niet kan worden geschorst, als het slachtoffer in de truc trapt en terugbelt, wordt gevraagd een boete te betalen om alles recht te zetten.

De John Wick 3 zwendel: Hier is een goed voorbeeld van spear phishing. In dit geval zijn de oplichters uit op een zeer specifiek doelwit: een John Wick-fan die van stripboeken houdt, maar ze liever leest op Amazon Kindle. Terwijl hij naar John Wick-stripboeken zoekt, wordt het doelwit een gratis download voor de derde John Wick-film aangeboden—ten tijde van de zwendel was de film nog niet in de bioscoop uitgebracht. Het volgen van de link in de filmomschrijving leidt het slachtoffer naar een web van illegale streamingsites voor gepirateerde films.

Coronavirusscams: Oplichters profiteerden van het gebrek aan virusinformatie, vooral in de beginperiode van de epidemie. Terwijl gezondheidsinstanties moeite hadden om het virus en de verspreiding ervan van mens tot mens te begrijpen, vulden oplichters de leemte met nepwebsites en spammails.

We hebben gerapporteerd over spammails die zich voordoen als virusinformatie van de Wereldgezondheidsorganisatie. De mails bevatten eigenlijk met malware gevulde bijlagen. In een ander voorbeeld rapporteerde Labs over een COVID-19 volgsite die realtime infecties over de hele wereld toonde. Achter de schermen laadde de site een info-stealer Trojan op de computers van de slachtoffers.

Wat is phishing?

Wat is spear phishing?

Wat is een vishing aanval?

Wat is catfishing?

Wat is identiteitsdiefstal?

Veelgestelde vragen

Wat is het verschil tussen social engineering en reverse social engineering?

Bij social engineering benaderen aanvallers doelwitten om ze te manipuleren zodat ze informatie delen. Bij reverse social engineering nemen slachtoffers onbewust contact op met bedrieglijke aanvallers.