Social Engineering en hoe dit werkt

Share This Post

Share on facebook
Share on linkedin
Share on email

Social Engineers weten welke knoppen ze moeten drukken om iemand iets te laten uitvoeren wat zij willen. Hun beproefde technieken werken al te vaak op niets vermoedende medewerkers. Het is dus geen wonder dat cyber criminelen deze technieken tot hun eigen namen.

Hoe werkt Social Engineering?

Mensen zijn geprogrammeerd om andere mensen te helpen. We willen beleefd en behulpzaam zijn. Als iemand ons een vraag stelt dan moeten we actief werken om hier niet op te antwoorden. Deze menselijke manier van werken wordt door social engineers uitgebuit om hun doel te bereiken. Zo proberen ze door middel van onschuldige vragen telkens meer en meer informatie te winnen.

Social Engineering werkt door mensen te manipuleren met technieken die inspelen op menselijke eigenschappen. Ervaren social engineers kunnen sympathie opwekken in hun zelfgemaakte situatie. Ze kunnen jou zo ver krijgen om de regels te buigen, enkel voor deze ene keer, omdat ze met jou sympathiseren en je willen verder helpen. Ze kunnen ervoor zorgen dat je jezelf bezorgd voelt of zelfs lichtelijk in paniek geraakt. Zo kunnen ze emotionele personen overhalen om haastelijk te reageren, vaak om een probleem te voorkomen of om gebruik te maken van een speciaal aanbod.

Aanvallen in dit gebied gebeuren in één telefoontje. Mogelijks plannen ze dit uit over een bepaalde periode om zo een vals klachten rapport op te stellen. Maar Social Engineering beperkt zich niet enkel tot het gesproken woord. De meest voorkomende aanvallen gebeuren per e-mail.

Hacken van mensen

Iedereen kent alvast de e-mails van scammers, waar ze laten weten dat je ofwel geld moet betalen omdat jouw zoon of dochter een nieuw nummer heeft en anders uit het huis gezet kan worden, of waar ze veel geld hebben geërfd maar dat ze eerst een bepaald bedrag dienen te storten vanwege verificatie.

Je zal verrast zijn om te weten dat deze praktijken dateren van de 1580s waarbij rijke individuen brieven ontvingen, dat een persoon gevangen gehouden werd in Spanje. Deze persoon was zelf rijk, bezat veel land maar kon geen gebruik maken van deze middelen om zichzelf uit de gevangenis te halen. Hun echte identiteit kon niet gegeven worden omdat ze schrik hadden om henzelf en hun mooie dochter in gevaar te brengen.

De enigste hoop die ze hadden was het omkomen van de wacht. Wanneer ze dan vrij waren, zouden ze alle personen die financieel geholpen hadden vele malen over terugbetalen.

Even hierna, werd het slachtoffer opnieuw gecontacteerd met de melding dat de gevangene en zijn dochter, geëxecuteerd zouden worden. Ze moesten snel zijn omdat ze binnen twee weken dood zouden zijn. Dit blijven ze herhalen tot het slachtoffer geen geld meer had, of totdat ze geen betalingen meer ontvingen van hun.

De meeste personen kunnen zo een bericht wel herkennen. Echter zijn de moderne manieren van social engineering veel subtieler.

Verschillende typen van aanvallen

Personen met malafide doeleinden willen dat jij iets doet, wat in hun voordeel speelt. Het uiteindelijke doel kan zijn om toegang te krijgen tot administrator accounts of zelfs tot creditcard gegevens. Ze willen dat jij, onbedoeld, software installeerd op jouw machine. Dit kan gaan van ransomware, keyloggers tot backdoor malware. In sommige gevallen willen ze zelfs fysieke toegang tot een gebouw verkrijgen.

Bijna alle social engineering aanvallen hebben gemeen dat ze een gevoel van dringendheid willen creëren bij jou. De sublieme gedachte die ze bij jou willen inprenten is dat je snel moet handelen omdat je anders in problemen kunt geraken. Mogelijks wordt ook de kaart gespeeld dat andere collega’s, familieleden of vrienden in moeilijkheden komen.

Phishing e-mails

De meest gebruikte vorm van social engineering zijn phishing e-mails. Deze lijken vanuit een betrouwbare bron of contact te komen, terwijl ze met een “masker” worden gecamoufleerd. De weergavenaam wordt aangepast en het e-mail adres lijkt enorm hard op het juiste e-mail adres, waarbij vaak iets achter aan wordt toegevoegd.

Telefoontjes

Alhoewel Phishing E-mails telkens moeilijker worden om te detecteren, en vaak massaal worden verstuurd, worden er ook nog telefoontjes gepleegd om informatie te achterhalen, of om bepaalde acties uit te voeren.

Om telefonisch een succesvolle aanval te doen, zullen de malafiede partijen eerst onderzoek doen naar de specifieke organisatie waarop ze een aanval willen doen. Meestal wordt er gekeken op de “Team” pagina van de website of via LinkedIn, Twitter en Facebook wie er werkt, wie er eventueel wat doet en waar ze verblijven, etc…

Medewerkers bellen en net doen alsof ze de technische dienst zijn is een vaakgebruikte aanvalsvector. Zeker tegenover nieuwe medewerkers omdat ze zichzelf nog willen bewijzen. Er wordt dan gezegd dat ze aan iets wouden geraken, bijvoorbeeld een beveiligde netwerkschijf, of een website, waar ze geen toegang tot hebben. Hierdoor wil de medewerker vaak alles doen om hun naam te zuiveren.

Door in gesprek te blijven, kan de aanvaller genoeg informatie winnen om ofwel hun eigen account te compromiseren, ofwel informatie te winnen om fysiek binnen te kunnen geraken.

Hoe bescherm je jezelf tegen social engineering

De eerste linie van beveiliging, is jouw medewerkers op de hoogte houden van social engineering en de mogelijkheden hierin. Zorg ervoor dat de procedures binnenin de firma gekend zijn zodat ze geen acties ondernemen waarover ze geen authoriteit hebben.

Voer regelmatige beveiligings audits uit over je netwerk, zodat elk toestel hierin gecatalogiseerd is en beveiligd.

Bezoekers mogen ook nooit alleen gelaten worden. Hun gegevens zouden ook altijd geverifiëerd moeten worden.

Schrijf je in op onze nieuwsbrief.

Ben je nieuwsgierig naar de mogelijkheden?

Laat ons een berichtje achter en houd contact.

Ben je nieuwsgierig
naar de mogelijkheden?

Laat ons een berichtje achter en houd contact.

Andere posts

Windows

Windows 11 nieuwe File Explorer

De opkomende release van Microsoft’s nieuwe Windows 11 bevat een volledige cosmetische aanpassing van File Explorer met verschillende grote aanpassingen als je deze vergelijkt met

Microsoft

Windows 11 beschikt over Android-apps

Microsoft heeft aangekondigt dat Android-apps beschikbaar zullen zijn op Windows 11. Android-apps zullen via de “Intel Bridge-Technologie” geïntegreerd kunnen worden binnenin Windows 11.  Wie Windows