Terug naar Cybersecurity
De mens is de zwakste schakel

Social Engineering

Bij social engineering gaan hackers niet op zoek naar technische kwetsbaarheden maar naar ‘kwetsbaarheden’ in mensen. Deze proberen ze te misbruiken om bedrijfs- systemen aan te vallen. Een ‘kwetsbaarheid’ in mensen is bijvoorbeeld het feit dat we van nature behulpzaam zijn. Daar kun je als aanvaller makkelijk misbruik van maken.

Social engineering voorbeelden:

  • Telefoontje van de IT-beheerder – Een hacker belt met een medewerker en doet zich voor als IT-beheerder. Hij geeft aan dat er een update van het systeem komt omdat het traag is. Hij vraagt de medewerker zijn logingegevens even door te geven zodat hij na de update kan inloggen als dat bij de medewerker niet lukt.
  • Winactie – Een hacker stuurt een mailtje dat lijkt te komen van een mailaccount van de organisatie met een oproep voor een winactie. Om deel te nemen moeten medewerkers wel even inloggen met hun zakelijke mailadres en hun wachtwoord.
  • USB-stick – Medewerkers vinden losse USB-sticks bij de receptie of op de parkeerplaats van het bedrijf. Zodra zij de gevonden USB-stick koppelen aan hun laptop, wordt er malware geïnstalleerd.
  • Fysiek binnenkomen – Een hacker probeert het kantoorpand binnen te komen door zich te verkleden als pakketbezorger of gewoon met een aantal rokende ‘collega’s’ mee naar binnen te lopen om daarna op zoek te gaan naar de serverruimte.

Wat is het doel van social engineering voor hackers?

  • Geld – Een mooi voorbeeld hiervan is de CEO fraude bij Pathe waarbij hackers door interne mails van de CEO na te maken 19 miljoen euro wisten los te krijgen van het bedrijf.
  • Toegang tot het interne netwerk (en geld) – Hackers proberen met social engineering soms toegang te krijgen tot het interne netwerk. In veel gevallen is dan het doel wachtwoorden te achterhalen om ransomware te kunnen installeren. Daarmee proberen ze vervolgens grote geldbedragen binnen te halen.
  • Data – Hackers gaan via social engineering soms ook op zoek naar specifieke data binnen het bedrijf, bijvoorbeeld geheime gegevens voor het ontwikkelen van een product of technologie.

Social engineering voorkomen

Zo kun je social engineering zo veel mogelijk voorkomen:

  • Bewustzijn creëren bij medewerkers – Zorg dat je medewerkers zich ervan bewust zijn dat hackers soms social engineering gebruiken om bedrijfssystemen binnen te komen. Informeer ze over de meest voorkomende manieren om dat te doen. Medewerkers kunnen ook een security awareness training volgen om zich nog meer bewust te worden van technieken voor social engineering.
  • Technische maatregelen – Technische maatregelen moeten zoveel mogelijk voorkomen dat hackers via social engineering kans van slagen hebben om een bedrijfssysteem binnen te komen. Denk bijvoorbeeld aan identificatie via vingerafdrukken of het automatisch scannen van documenten voor ze bij medewerkers in hun mailbox terecht komen.

Is phishing een vorm van social engineering?

Ja phishing en spear phising zijn een vormen van social engineering. Voorbeelden:

  • Enkele dagen na het per ongeluk invullen van een phishingmail belt jouw bank jou met het verhaal dat er iets mis is met jouw account. Als je de aanwijzingen opvolgt om het ‘probleem te verhelpen’, wordt er geld van jouw rekening afgeschreven.
  • Je krijgt een e-mail die van jouw bank afkomstig lijkt met het verzoek een bijgevoegde update te installeren om een lek in de beveiliging van internetbankieren te dichten. Dit bestand bevat malware.

Security Awareness Training

#veiligheid #continuïteit #waarborgen #zorgeloos werken

 

Voor meer informatie over de #awareness trainingen kun je contact opnemen met één van onze cyberexperts.

Ze zijn te bereiken op 074-2553131 of stuur een mail naar info@hcs.nl

Kwetsbaarheidsscan

We brengen kwetsbaarheden in kaart

Jouw online kwetsbaarheid is onze passie

Persoonlijke aandacht en een professionele aanpak

Continuïteit en zorgeloos werken

Vraag een gesprek aan met één van onze specialisten