Je kent ze wel, die mailtjes waarbij jouw directeur je vraagt om geld over te maken. Wanneer je bij de administratie werkt, moet je sowieso bij dit soort aanvragen extra alert zijn. Maar ik werk in de marketing en krijg deze verzoeken ook zo nu en dan, voor mij gemakkelijk herkenbaar en daarom verwijder ik ze snel uit mijn mailbox. Niet iedereen herkent deze mails zo eenvoudig.
Deze manier om aan informatie te komen kun je scharen onder social engineering. Het is een vorm van manipulatie waarbij mensen worden misleid om vertrouwelijke informatie vrij te geven, zoals wachtwoorden, persoonlijke gegevens of bedrijfsinformatie. Het draait allemaal om het exploiteren van menselijke zwakheden, zoals nieuwsgierigheid, vriendelijkheid of gebrek aan bewustzijn, in plaats van het misbruiken van technische zwakheden in computersystemen.
Social Engineering, een voorbeeld
Een voorbeeld van social engineering kan zijn wanneer een aanvaller zich voordoet als een medewerker van een bedrijf of een bekende entiteit, zoals bijvoorbeeld een bank en vervolgens via telefoon, e-mail of zelfs persoonlijk contact probeert om gevoelige informatie te verkrijgen. Dit kan gebeuren door het creëren van een gevoel van urgentie, het gebruik van geloofwaardige valse informatie of zelfs het nabootsen van een bekende collega of leidinggevende.
De vormen van Social Engineering
Er zijn verschillende vormen van social engineering aanvallen, elk met hun eigen benadering en doel. Hier zijn enkele van de meest voorkomende:
- Phishing: Dit is één van de bekendste vormen van social engineering. Bij phishing ontvangt een slachtoffer een e-mail, tekstbericht of een bericht op sociale media dat afkomstig lijkt te zijn van een legitieme bron, zoals een bank, een bedrijf of een vriend, maar in werkelijkheid is het een poging om vertrouwelijke informatie te stelen, zoals inloggegevens of creditcardgegevens.
- Spear Phishing: Deze vorm van phishing is gericht op specifieke individuen of organisaties. De aanvaller verzamelt vaak gedetailleerde informatie over het doelwit om een geloofwaardiger bericht te creëren dat gericht is op hun interesses, functie of persoonlijke informatie.
- Pretexting: Bij pretexting doet de aanvaller zich voor als iemand anders om informatie te verkrijgen. Dit kan inhouden dat de aanvaller zich voordoet als een medewerker van een bedrijf, een IT-ondersteuningsmedewerker, of zelfs een politieagent om het slachtoffer te misleiden om vertrouwelijke informatie te verstrekken.
- Baiting: Baiting houdt in dat de aanvaller lokmiddelen gebruikt, zoals een USB-stick met een aantrekkelijke naam, een gratis download of een neppe advertentie. Hiermee verleiden ze het slachtoffer tot het openen van geïnfecteerde bestanden of het klikken op kwaadaardige links.
- Tailgating/Shoulder Surfing: Deze fysieke vormen van social engineering omvatten respectievelijk het volgen van een geautoriseerd persoon door een beveiligde ingang of het kijken over iemands schouder om vertrouwelijke informatie te achterhalen, zoals pincodes of wachtwoorden.
- Quid Pro Quo: Bij deze aanvalsvorm biedt de aanvaller iets aan in ruil voor informatie. Dit kan bijvoorbeeld zijn dat de aanvaller zich voordoet als een IT-ondersteuningsmedewerker die hulp biedt in ruil voor inloggegevens.
Deze vormen van social engineering aanvallen kunnen op verschillende manieren worden uitgevoerd, maar ze hebben allemaal hetzelfde doel: menselijke zwakheden exploiteren en vertrouwelijke informatie verkrijgen. Wees van deze tactieken op de hoogte en neem voorzorgsmaatregelen waarmee jezelf en je organisatie beschermt. Daarbij krijgt AI ook steeds meer invloed op social engineering.
AI en Social Engineering
Over het algemeen vergroot Artificial Intelligence de mogelijkheden van aanvallers om social engineering-aanvallen uit te voeren door het proces te automatiseren, te personaliseren en te verfijnen. Daarom is bewustwording, educatie en het implementeren van beveiligingsmaatregelen om deze risico’s te verminderen zo belangrijk.
Tot slot
Wees altijd alert, verifieer de entiteit en wees (daar heb je hem weer) voorzichtig met klikken. Maar beveilig ook je accounts, blijf up-to date en train jezelf en je medewerkers. Want als je verdachte berichten herkent ben je al een stap verder en voorkom je dat je slachtoffer wordt van deze slimme trucs.