Misbruik maken van goed vertrouwen van mensen
Social Engineering is een vorm van cybercriminaliteit waarmee een criminele hacker of hackersgroep een aanval voorbereidt door eigenschappen van mensen te misbruiken (zoals nieuwsgierigheid, vertrouwen, hebzucht enzovoorts). Vaak combineren cybercriminelen deze tactiek met andere aanvalsvormen, zoals bijvoorbeeld een spear phishing mail of fysiek binnensluipen.
Het doel van een Social Engineering aanval
Bij de brede vorm van phising hebben cybercriminelen vaak als doel om persoonsgegevens te achterhalen om zo identiteitsfraude te kunnen plegen of een grote database van persoonsgegevens te kunnen verkopen op het Dark Web. Hoewel phishing ook zeker een vorm is van Social Engineering, zien we dat het doel van Social Engineering meer gericht is op het voorbereiden van een gerichte hack aanval, dan het verkopen van data op de zwarte markt.
Wanneer een criminele hacker bij een bedrijf (digitaal) wil inbreken, probeert hij/zij zoveel mogelijk inloggegevens met hogere bevoegdheden te achterhalen. Denk aan een medewerker met beheerrechten op een systeem, een manager of een IT beheerder. Wanneer een criminele hacker deze gegevens in handen heeft, kan hij zich gemakkelijker toegang verschaffen tot de diepere systeemkernen.
De criminele hacker kan dan vervolgens op zoek gaan naar veel meer persoonsgegevens, of juist een gerichte aanval voorbereiden, voor bijvoorbeeld het platleggen (gijzelen) van een belangrijk computersysteem. Denk hierbij niet uitsluitend aan een server met data, maar ook een controlesysteem voor een productieproces zoals een machine, lopende band of robot in de operatieruimte van een ziekenhuis.
Vormen van Social Engineering
Er zijn veel vormen van Social Engineering. Dit heeft met name te maken met het feit dat mensen vaak graag goed van vertrouwen willen zijn. Bovendien zijn we als mensen nieuwsgierig van aard en zijn we soms bang om te doen of na te laten. Al deze normale menselijke eigenschappen zorgen er voor dat criminelen legio aanvalsmethoden hebben. De meest gebruikte vormen van Social Engineering zetten we voor u op een rijtje:
Phishingmail
U ontvangt een mailtje van een u bekende organisatie of persoon. De mail lijkt afkomstig te zijn van deze legitieme verzender, maar als u goed kijkt en onderzoekt ontdekt u kleine oneffenheden. Bijvoorbeeld in het afzender adres of in de link waarvan u wordt gevraagd om deze aan te klikken. Doel van de mail is het ontfutselen van persoonlijke informatie en/of inloggegevens.
Vishing via de telefoon
Wat via de mail kan, doen cybercriminelen ook via de telefoon. Ze doen zich bijvoorbeeld voor als helpdesk medewerker en vragen u om een wachtwoorden te veranderen. Of ze melden dat een account is gehackt en verzoeken u naar een speciale internetpagina te gaan om uw wachtwoord te resetten. Ze hebben dan wel uw gebruikersnaam en wat persoonsgegevens nodig. Wanneer u nietsvermoedend de gegevens intikt, hebben de cybercriminelen uw gebruikersnaam, wachtwoord en vaak nog extra persoonsgegevens. Hierbij kunnen ze bij uw organisatie inloggen of extra bevoegdheden verkrijgen wanneer ze al heimelijk in de computersystemen zijn binnengedrongen en afwachtend zijn op meer systeemrechten.
Social Media Engineering
Veel mensen beseffen zich niet altijd wat er online over hen is te vinden. Dat zijn gegevens (vaak ook foto's en video's) die ze niet altijd zelf op internet hebben geplaatst, maar die ook openbaar online komen door het gebruiken van metadata en tags.
Bedenk goed wat u deelt op (openbare) Social Media. Er zijn veel voorbeelden van mensen die op Social Media een live verslag van een vakantie bijhouden. Prachtige kiekjes, maar handig voor inbrekers om te weten dat je niet thuis bent. Bedenk goed wat je online zet en met wie je wat deelt. Een onschuldige foto op de werkvloer van jou en je collega's die je deelt op Social Media kan niet alleen een overtreding van de AVG zijn, maar ook nuttige informatie aan criminelen prijsgeven.
Ook kunnen criminelen de informatie over hobby's die je zelf openbaar deelt gebruiken om een gerichte phishing aanval voor te bereiden. Ze sturen bijvoorbeeld aan de IT manager een mail van een nieuw vakblad over de beste WiFi accesspoints, omdat hij op LinkedIN heeft aangegeven daar interesse in te hebben. Of een mailtje met een motoraanbieding naar de Directeur, omdat hij op Facebook heeft gedeeld dat hij net zijn motor naar de werkplaats heeft gebracht voor onderhoud.
Dumpster diving (afval doorzoeken)
In afval is vaak veel data te halen. Denkt u eens aan de oud papierbak. We zien in onze cyber risico analyses regelmatig dat de papierbak voor afvoer van vertrouwelijke gegevens niet goed afgesloten is, of vertrouwelijke stukken bij het standaard oud papier belanden. Dat is een goudmijntje voor een criminele hacker die een aanval wil voorbereiden. Soms niet alléén voor inloggegevens, maar ook persoonsgegevens of klantgegevens. Hiermee kan de cybercrimineel dan weer mensen afpersen om deze gegevens openbaar te maken.
Fysieke toegang (tailgating / piggybacking)
Het mee naar binnen sluipen in een gebouw met een medewerker wordt ook wel tailgaten genoemd. Het is de letterlijke vertaling van bumperkleven. Denk aan de plek waar rokers zich bevinden. Een hacker kan daartussen gaan staan en meelopen naar binnen. Als medewerkers zich niet bewust zijn van insluipers kan de indringer vrij eenvoudig fysiek tot in de kern van de organisatie doordringen. Dit hangt ook af van de fysieke afscherming in het pand van bijvoorbeeld werkplekken, serverruimtes, meterkasten, archieven etc.
Piggybacking is een bewuste actie en een meer agressievere vorm van tailgating. Tailgating is een minder bewuste vorm. De medewerker is zich niet bewust van het feit dat er een onbevoegde persoon meesluipt. Bij piggybacking is de medewerker zelf ook schuldig aan het feit, hij laat de onbevoegde persoon bewust door. Dit hoeft niet persoonlijk te zijn, dit kan ook door bijvoorbeeld een auto door te laten bij het hek, terwijl deze niet bevoegd is.
Bij piggybacking worden er afspraken gemaakt over de insluiping, bij tailgating niet. Bij piggybacking is er bijna altijd sprake van hulp van binnenuit, door bijvoorbeeld een ontevreden rancuneuze werknemer.