Pas op voor social engineering

Bij social engineering gaan hackers niet op zoek naar technische kwetsbaarheden maar naar ‘kwetsbaarheden’ in mensen. Deze proberen ze te misbruiken om bedrijfssystemen aan te vallen. Een ‘kwetsbaarheid’ in mensen is bijvoorbeeld het feit dat we van nature behulpzaam zijn. Daar kun je als aanvaller heel makkelijk misbruik van maken. Social engineering is daarom vaak net zo effectief of nog effectiever voor het aanvallen van bedrijfssystemen.

Dit zijn een paar veelgebruikte voorbeelden van social engineering:
-Telefoontje van de IT-beheerder - Een hacker belt met een medewerker en doet zich voor als IT-beheerder. Hij geeft aan dat er een update van het systeem komt omdat het traag is. Hij vraagt de medewerker zijn logingegevens even door te geven zodat hij na de update kan inloggen als dat bij de medewerker niet lukt.
-Winactie - Een hacker stuurt een mailtje dat lijkt te komen van een mailaccount van de organisatie met een oproep voor een winactie. Om deel te nemen moeten medewerkers wel even inloggen met hun zakelijke mailadres en hun wachtwoord.
-USB-stick - Medewerkers vinden losse USB-sticks bij de receptie of op de parkeerplaats van het bedrijf. Zodra zij de gevonden USB-stick koppelen aan hun laptop, wordt er malware geïnstalleerd.
-Fysiek binnenkomen - Een hacker probeert het kantoorpand binnen te komen door zich te verkleden als pakketbezorger of gewoon met een aantal rokende ‘collega’s’ mee naar binnen te lopen om daarna op zoek te gaan naar de serverruimte.

Wat willen hackers stelen met social engineering?
-Geld - Een mooi voorbeeld hiervan is de CEO fraude bij Pathe waarbij hackers door interne mails van de CEO na te maken 19 miljoen euro wisten los te krijgen van het bedrijf.

-Toegang tot het interne netwerk (en geld) - Hackers proberen met social engineering soms toegang te krijgen tot het interne netwerk. In veel gevallen is dan het doel wachtwoorden te achterhalen om ransomware te kunnen installeren. Daarmee proberen ze vervolgens grote geldbedragen binnen te halen.
-Data - Hackers gaan via social engineering soms ook op zoek naar specifieke data binnen het bedrijf, bijvoorbeeld geheime gegevens voor het ontwikkelen van een product of technologie.

Social engineering voorkomen
Zo kun je social engineering zo veel mogelijk voorkomen:

Bewustzijn creëren bij medewerkers - Zorg dat je medewerkers zich ervan bewust zijn dat hackers soms social engineering gebruiken om bedrijfssystemen binnen te komen. Informeer ze over de meest voorkomende manieren om dat te doen. Medewerkers kunnen ook een security awareness training volgen om zich nog meer bewust te worden van technieken voor social engineering.
Technische maatregelen - Technische maatregelen moeten zoveel mogelijk voorkomen dat hackers via social engineering kans van slagen hebben om een bedrijfssysteem binnen te komen. Denk bijvoorbeeld aan identificatie via vingerafdrukken of het automatisch scannen van documenten voor ze bij medewerkers in hun mailbox terecht komen.

Meer weten over social engineering?
Wil jij meer weten over hoe je medewerkers zich bewust kunnen worden van social engineering? Neem dan contact op met de experts van Computest via info@computest.nl of telefonisch via 088-7331337.

Bron: VNO-NCW / MKB-NL