Bewustzijn is de enige manier om ons te wapenen

Jij bent de zwakste schakel én de oplossing in cybersecurity

Geplaatst op 09-10-2020 in Kennisbank

Mensen denken bij cyberveiligheid al snel aan technologie en het uitbuiten van kwetsbaarheden hierin. Het klinkt allemaal ook wel futuristisch: hackers, code, datalekken… Maar wist je dat de mens eigenlijk de zwakste schakel is in informatiebeveiliging? De meest voorkomende tactiek voor cyberaanvallen is het zogenaamde ‘social engineering’.

Wat is social engineering?

Social engineering wordt ook wel social manipulation genoemd. Het is een techniek waarbij cybercriminelen misbruik maken van menselijke eigenschappen als nieuwsgierigheid, vertrouwen, angst en onwetendheid. Door in te spelen op onze menselijkheid en ons gedrag, overtuigen cybercriminelen je relatief makkelijk om vertrouwelijke informatie te delen, toegang te geven tot systemen, schadelijke bestanden te downloaden en veel meer.

Soms is dit makkelijk te doorzien. Je denkt misschien ‘Ik trap niet zomaar in zo’n aanval’, maar een goede hacker is slim en doortastend en kan iedereen voor de gek houden.

Wat voor social engineering methodes zijn er?

Er zijn veel verschillende vormen van social engineering en deze gaan van e-mail- of sms-oplichting tot persoonlijk contact en zelfs fysiek ‘inbreken’ in een organisatie. We lichten een paar voorbeelden uit.

Phishing en smishing
Je ontvangt mail, een URL of (in het geval van smishing) een SMS waarin wordt gevraagd naar vertrouwelijke gegevens. Ook kan er een frauduleuze link in staan die kwaadaardige code bevat of automatisch gegevens verzamelt. Je kent vast wel het voorbeeld van ‘het mailtje van de bank’, dat je vraagt om gegevens door te geven of op een link te klikken.

Phishing is meestal geen gerichte aanval, er wordt een grote groep mensen getarget, hoewel er wel vormen bestaan waarbij een specifieke doelgroep of zelfs persoon wordt aangevallen. Vaak de CEO van een organisatie. Dit heet ‘spear phishing’.

Vishing
Bij vishing, in essentie phishing via de telefoon, wordt meestal ingespeeld op de menselijke behoefte om te willen helpen. Hackers bellen op en doen zich voor als een ander om gegevens te verkrijgen. Geavanceerde cybercriminelen gebruiken zelfs stemvervormers.

Een hacker kan bijvoorbeeld een organisatie bellen om gegevens op te vragen, waarmee ze vervolgens allerlei schade kunnen aanrichten. Dit doen ze met gegevens die met weinig moeite zijn te vinden, vaak via social media. In deze video zie je hoe schokkend makkelijk dit kan gaan.

Tailgating
Soms proberen cybercriminelen zelfs fysiek toegang te krijgen tot een kantoor, waar een schat van informatie ligt. Dit doen ze door simpelweg achter werknemers aan te lopen, vandaar de term tailgating. Eenmaal binnen worden ze gezien als vertrouwd persoon en kunnen ze op zoek gaan naar informatie.

Pretexting
Bij pretexting neemt een cybercrimineel een valse identiteit aan en verzint hij een omstandigheid om het slachtoffer informatie af te troggelen. Hij kan zich bijvoorbeeld voordoen als een werknemer van de IT-afdeling die iets van jou nodig heeft.

Hoe wapen ik me tegen social engineering?

Zoals je ziet, zijn er veel social engineering-methodes en dit zijn alleen nog maar de echt bekende. Cybercriminelen leren wat wel en niet werkt en hebben net als wij toegang tot voortschrijdende technologie. Daarom zijn technieken inmiddels veel gecompliceerder dan de spam-mails van 10 jaar geleden, die vol stonden met spelfouten en duidelijk nep waren.

Het is moeilijk om social engineering te voorkomen. De enige constante factor is de mens en zijn ‘zwaktes’. Daarom zul je overal lezen en horen dat de belangrijkste maatregel het creëren van bewustzijn is. Je ultieme wapen is weten hoe makkelijk het is om te worden opgelicht door een cybercrimineel.

Wil je als organisatie dat je werknemers alert zijn? Investeer in trainingen, campagnes en andere manieren om kennis te vergroten. Wil je jezelf beschermen? Lees je in, weet waar de gevaren zitten en zorg dat je adequaat kunt handelen. Dit kan een double check van emails zijn, het verifiëren van de identiteit van afzenders, opletten op vreemdelingen in je kantoor en kritisch zijn waar je gegevens achterlaat of informatie vrijgeeft.

En wat als je nou onverhoopt wel het slachtoffer wordt van een social engineering aanval? Schaam je dan vooral niet! Het kan iedereen overkomen. Als het bedrijfsmatig gebeurt, zoek dan direct contact met je security team en wees transparant. Hoe meer er bekend wordt over deze vorm van cybercriminaliteit, des te beter we onszelf kunnen beschermen.