Naast technische inbreuken vormt social engineering een veelgebruikt middel dat hackers gebruiken om toegang te krijgen tot waardevolle informatie. Social engineering draait om het misleiden en manipuleren van mensen om vertrouwelijke gegevens te onthullen of ongeautoriseerde acties uit te voeren. Dit artikel behandelt de achtergrond van social engineering, de risico’s die het met zich meebrengt, en geeft praktische best practices om dit risico te verlagen.
Social engineering is gebaseerd op psychologische manipulatie en misleiding. Hackers maken gebruik van menselijke zwakheden, nieuwsgierigheid of goedgelovigheid om hun slachtoffers te misleiden. Dit kunnen e-mails zijn die er legitiem uitzien, maar kwaadaardige links bevatten, telefoontjes van zogenaamde “IT-medewerkers” die om inloggegevens vragen, waarbij de kwaadwillende als doel heeft om toegang te krijgen tot een applicatie of netwerk. Social engineering is volgens meerdere onderzoeken één van de grootste cybersecurity dreigingen, dus het is belangrijk dat organisaties treffende maatregelen nemen om zich te beschermen tegen dit soort aanvallen.
Een voorbeeld uit de praktijk. In juli 2020 werd Twitter geconfronteerd met een grootschalige cyberaanval met gebruik van social engineering. De aanvallers hadden hierdoor toegang gekregen tot de accounts van prominente figuren en bedrijven, zoals Elon Musk, Barack Obama, Apple, en vele anderen. De hackers gebruikten hun toegang tot deze geverifieerde accounts om een Bitcoin-zwendel uit te voeren. Het scenario begon met de aanvallers die interne medewerkers van Twitter benaderden via telefoon en e-mail, waarbij ze zich voordeden als collega’s van het ondersteuningsteam of van het IT-personeel. Door geloofwaardig over te komen en met overtuigende verhalen, wisten zij de medewerkers te misleiden en gevoelige informatie te bemachtigen, zoals inloggegevens van interne tools en systemen. Met deze verkregen toegangsgegevens konden de aanvallers vervolgens toegang krijgen tot het interne beheersysteem van Twitter, waardoor ze volledige controle kregen over accounts van prominente gebruikers. Ze konden de wachtwoorden van deze accounts resetten en zich volledig voordoen als de legitieme eigenaren. Alhoewel Twitter tot één van de grootste bedrijven in de wereld behoort, zijn ook kleinere en lokale organisaties steeds vaker doelwit.
Risico’s van social engineering
Hieronder zijn de twee grootste risico’s te vinden die social engineering met zich meebrengt:
- Gegevensdiefstal: Eén van de meest verwoestende gevolgen van social engineering is gegevensdiefstal. Aanvallers kunnen slachtoffers misleiden om gevoelige informatie vrij te geven, zoals inloggegevens, wachtwoorden, creditcardnummers en persoonlijk identificeerbare informatie (PII). Deze gestolen gegevens kunnen worden gebruikt om toegang te krijgen tot beveiligde systemen, e-mailaccounts of online platforms, waardoor aanvallers meer mogelijkheden krijgen om verdere kwaadaardige activiteiten uit te voeren. Gegevensdiefstal kan niet alleen leiden tot financieel verlies en organisaties, maar kan ook leiden tot het verliezen van klanten omdat zij geen vertrouwen hebben in de beveiliging van een organisatie;
- Financieel verlies: Social engineering kan aanzienlijk financieel verlies veroorzaken voor individuen en bedrijven. Met behulp van misleidende communicatie kunnen aanvallers slachtoffers overtuigen om geld over te maken naar frauduleuze bankrekeningen of valse facturen te betalen. Organisaties kunnen ook worden getroffen door financiële fraudes, waarbij werknemers worden verleid om bedrijfsfondsen over te maken naar de rekeningen van oplichters. Deze manipulatieve praktijken kunnen leiden tot aanzienlijke economische schade en financiële ontwrichting.
Een trend van de afgelopen jaren is CEO-fraude. Hierbij krijgt iemand, meestal van de financiële afdeling, een mail waarbij het lijkt alsof deze door de CEO is verstuurd. In de mail staat dat een bepaalde factuur snel betaald moet worden om boetes te voorkomen. Omdat de mail van de CEO afkomstig lijkt, wordt dit vaak geloofd waardoor grote bedragen overgemaakt worden aan kwaadwillenden.
Tips om het risico te verlagen
Gelukkig zijn er veel zaken en activiteiten die organisaties kunnen ondernemen om te zorgen dat zij niet het slachtoffer worden van social engineering. Hieronder zijn enkele maatregelen te vinden die niet veel tijd en budget kosten om te implementeren.
- Bewustwording en training: Educatie is een essentieel onderdeel van het versterken van de weerbaarheid tegen social engineering. Organisaties moeten regelmatige cybersecurity-trainingen en bewustmakingsprogramma’s opzetten om medewerkers te informeren over de verschillende vormen van social engineering. Werknemers moeten worden geleerd hoe ze verdachte e-mails, telefoontjes of bezoekers kunnen herkennen, en wat ze moeten doen als ze met dergelijke situaties worden geconfronteerd. Door medewerkers bewust te maken van de risico’s en hen te leren omgaan met deze dreiging, worden ze de eerste verdedigingslinie tegen social engineering-aanvallen.
- Beleidsmaatregelen: Het implementeren van duidelijke beleidsregels met betrekking tot het delen van vertrouwelijke informatie is van cruciaal belang. Medewerkers moeten worden geïnstrueerd om nooit vertrouwelijke gegevens, zoals inloggegevens of bedrijfsinformatie, via ongevraagde e-mails of telefoontjes te verstrekken. Het opstellen van strikte procedures voor gevoelige transacties, zoals het uitvoeren van financiële transacties of het vrijgeven van bedrijfsinformatie, kan ervoor zorgen dat medewerkers altijd de identiteit van de verzoeker verifiëren voordat ze gevoelige informatie verstrekken.
- Multifactor-authenticatie (MFA): Het implementeren van MFA is een krachtige maatregel om het risico van social engineering te verminderen. MFA vereist dat gebruikers meerdere verificatiestappen doorlopen voordat ze toegang krijgen tot een account of systeem. Dit kan bijvoorbeeld een combinatie zijn van een wachtwoord, een sms-code of een biometrische verificatie. Hierdoor wordt het voor aanvallers moeilijker om met alleen gestolen inloggegevens toegang te krijgen, aangezien ze ook de extra verificatiemethode moeten overwinnen. In dit artikel van CW Greenport is meer te vinden over de voordelen van MFA.
- Verificatie bij onverwachte verzoeken: Medewerkers moeten worden aangemoedigd om altijd verzoeken om vertrouwelijke informatie te verifiëren wanneer ze onverwacht lijken te zijn of ongewoon gedrag vertonen. Bij twijfel moeten ze het verzoek negeren en contact opnemen met de vermeende afzender via een apart communicatiekanaal, zoals een telefoontje naar een bekend nummer of een e-mail naar een bekend adres, om de authenticiteit van het verzoek te controleren.