Social engineering is een tactiek die door cybercriminelen wordt gebruikt om mensen te manipuleren gevoelige informatie te onthullen, ze toegang te geven tot (IT-)systemen, of andere acties uit te laten voeren die schadelijk zijn voor de persoon in kwestie of de organisatie waarvoor deze werkzaam is. Social engineering komt in vele vormen voor waarbij de social engineer gebruik maakt van diverse manipulatietechnieken: 

1. Impersonatie: een aanvaller kan zich bijvoorbeeld voordoen als een bankvertegenwoordiger en een slachtoffer bellen om je rekeningnummer en wachtwoord te achterhalen. 

2. Phishing: het verzenden van frauduleuze e-mails of sms-berichten die afkomstig lijken te zijn van een vertrouwde bron, zoals een bank of een werkgever, om gevoelige informatie of toegang tot systemen van je te verkrijgen. 

3. Baiting: iets van waarde aanbieden, zoals een cadeaubon, om je te verleiden actie te ondernemen, zoals het aansluiten van de USB-stick op je computer. Hierdoor kan de aanvaller toegang krijgen tot het systeem. 

4. Scareware: het creëren van een gevoel van urgentie of angst om je te misleiden actie te ondernemen, zoals het downloaden van schadelijke software of het verstrekken van gevoelige informatie aan de aanvaller. 

5. Tailgating: een social engineer volgt je in een beveiligd gebied, zoals een gebouw of serverruimte, door te doen alsof hij geautoriseerd is of gewoon door achter je aan naar binnen te glippen. 

Trends

Een duidelijke trend in phishingmails is het gebruik van gepersonaliseerde berichten. Cybercriminelen kunnen informatie die is verkregen van je sociale media of andere online bronnen gebruiken om de e-mail legitiemer te laten lijken. De e-mail kan bijvoorbeeld de naam van een bekende van je gebruiken of verwijzen naar je recente online activiteiten om het bericht overtuigender te laten lijken. Daarnaast richten phishing-e-mails zich steeds vaker op mobiele apparaten. Naarmate meer mensen smartphones en tablets gebruiken om toegang te krijgen tot hun e-mail, passen cybercriminelen hun technieken aan om kwetsbaarheden in deze apparaten te misbruiken. Een phishing-e-mail kan bijvoorbeeld een link bevatten die legitiem lijkt, maar je daadwerkelijk naar een schadelijke website leiden die je apparaat met malware kan infecteren. 

Tips

Kortom, social engineering-aanvallen worden steeds geavanceerder en het is belangrijker dan ooit om waakzaam te blijven. Door deze tien tips te volgen, kun je het risico om het slachtoffer te worden van deze oplichting verminderen en gevoelige informatie veilig houden. 

1. Controleer de identiteit van een beller of afzender van een e-mail of SMS: wees voorzichtig met ongevraagde e-mails, SMS’jes of telefoontjes van onbekende personen of bedrijven. Controleer de identiteit van de afzender voordat je gevoelige informatie verstrekt. Bij een beller kan dit door te vragen naar het algemene bedrijfsnummer, hier naar terug te bellen en je te laten doorverbinden. Bij e-mails is het controleren van het afzendadres via de headers van het bericht belangrijk. 

2. Wees op je hoede voor urgentie: social engineers creëren vaak een gevoel van urgentie om mensen te manipuleren om overhaaste beslissingen te nemen. Pas op voor e-mails of telefoontjes die onmiddelijke actie vereisen. 

3. Gebruik multi-factor authenticatie: gebruik waar mogelijk multi-factor authenticatie op accounts, waarvoor een wachtwoord en een andere vorm van verificatie vereist zijn, zoals een (software of hardware) token of SMS. 

4. Houd je software up-to-date: zorg ervoor dat applicaties, inclusief besturingssysteem, antivirussoftware en webbrowsers van de laatste versie zijn. Cybercriminelen maken misbruik van kwetsbaarheden in verouderde software om toegang te krijgen tot systemen. 

5. Vermijd openbare wifi: vermijd het gebruik van openbare wifi-netwerken om toegang te krijgen tot gevoelige informatie, zoals online bankieren. Cybercriminelen kunnen informatie onderscheppen die via openbare wifi-netwerken wordt verzonden. Zet in plaats daarvan een hotspot op met je smartphone en verbind daarmee. 

6. Wees voorzichtig met bijlagen: open niet zomaar bijlage, vooral niet afkomstig van onbekende afzenders. Kwaadaardige bijlagen kunnen malware op je systeem installeren. 

7. Deel niet te veel op sociale media: houd rekening met de informatie die je deelt op internet. Cybercriminelen kunnen deze informatie gebruiken om gerichte phishing-aanvallen uit te voeren via OSINT (open-source intelligence, oftewel informatie uit publiek beschikbare bronnen).  

8. Gebruik sterke wachtwoorden: gebruik sterke, unieke wachtwoorden voor elk online account (minimaal 14 karakters). Vermijd het gebruik van gemakkelijk te raden wachtwoorden zoals ‘1234’ of ‘wachtwoord’.  

9. Val niet voor oplichting uit naam van zogenaamde support afdelingen: pas op voor ongevraagde telefoontjes of pop-ups die beweren afkomstig te zijn van technische ondersteuning van bijvoorbeeld Microsoft. Dit zijn vaak oplichtingspraktijken die zijn ontworpen om toegang te krijgen tot je systeem of je geld naar de oplichters over te laten maken. 

10. Informeer jezelf: blijf op de hoogte van de nieuwste social engineering tactieken en trends, bijvoorbeeld door regelmatig onze blog in de gaten te houden. Dit helpt om social engineering pogingen te kunnen herkennen en vermijden.