Sinds het begin van het internettijdperk hebben criminelen gezocht naar manieren om te profiteren van nietsvermoedende mensen terwijl ze op internet surfen.
Virussen, malware en andere schema's zijn uitgevonden om systemen te infecteren en te infiltreren, zowel op bedrijfsniveau als op consumentenniveau.
Mensen denken bij cyberveiligheid al snel aan technologie en het uitbuiten van kwetsbaarheden hierin. Het klinkt allemaal ook wel futuristisch: hackers, code, datalekken… Maar wist je dat de mens eigenlijk de zwakste schakel is in informatiebeveiliging? De meest voorkomende tactiek voor cyberaanvallen is het zogenaamde ‘social engineering’.
Social engineering wordt ook wel social manipulation genoemd. Social engineering omvat technieken die cybercriminelen inzetten om gebruikers te verleiden tot het prijsgeven van hun vertrouwelijke gegevens, de installatie van malware op hun computers en het openen van links naar geïnfecteerde sites.
Daarnaast kunnen hackers misbruik proberen te maken van de gebrekkige kennis van gebruikers. Vanwege de snelheid van technologische ontwikkelingen hebben veel consumenten en werknemers niet door wat de volledige waarde van hun persoonlijke gegevens is en weten ze niet precies hoe ze deze informatie het best kunnen beschermen. Social engineering dekt eigenlijk een breed scala aan beveiligingsbedreigingen, niet alleen die in een digitale context, maar het wordt meestal geassocieerd met aanvallen zoals phishing, waarbij de crimineel informatie van een gebruiker probeert te stelen.
Weten hoe jij je tegen dergelijke bedreigingen kunt beschermen, is van cruciaal belang om jouw online gegevens veilig te houden. Hier is een blik op hoe social engineering-technieken in de loop van de tijd zijn geëvolueerd en wat mensen en bedrijven in de toekomst moeten doen om zichzelf te beschermen.
Elementen van een aanval
De basis van elke social engineering-aanval is vertrouwen. De crimineel probeert via vertrouwelijke methoden uw vertrouwen te winnen om iets te ontvangen, waaronder toegangsmachtigingen, wachtwoorden of fysieke toegang tot een gebouw of een stuk hardware. In de meeste gevallen worden social engineering-aanvallen uitgevoerd via de telefoon of online, zodat criminelen hun ware identiteit kunnen verbergen.
Een voorbeeld is de Microsoft- of Tech Scam, waarbij mensen thuis meerdere telefoontjes ontvangen over een beveiligingsprobleem met het Windows-besturingssysteem. De aanvaller probeert voldoende vertrouwen te winnen om het doelwit ervan te overtuigen via de telefoon een creditcardnummer te verstrekken.
Online social engineering komt vaker voor vanwege het gemak om dit op grote schaal uit te voeren . Het beste voorbeeld is een wijdverspreide phishing-zwendel. Een hacker verzendt een reeks berichten die proberen het uiterlijk van een bank of ander bedrijf na te bootsen. Het doel is om internetgebruikers op frauduleuze links te laten klikken en wachtwoorden of andere gevoelige informatie op een vervalste webpagina in te voeren.
Vormen van sociale engineering
Cybercriminelen weten dat zelfs de beste oplichting uiteindelijk zonder stoom komt te zitten, en dat is precies de reden waarom ze voortdurend experimenteren met nieuwe vormen van social engineering.
Phishing en smishing
Je ontvangt mail, een URL of (in het geval van smishing) een SMS waarin wordt gevraagd naar vertrouwelijke gegevens. Ook kan er een frauduleuze link in staan die kwaadaardige code bevat of automatisch gegevens verzamelt. Je kent vast wel het voorbeeld van ‘het mailtje van de bank’, dat je vraagt om gegevens door te geven of op een link te klikken.
Phishing is meestal geen gerichte aanval, er wordt een grote groep mensen getarget, hoewel er wel vormen bestaan waarbij een specifieke doelgroep of zelfs persoon wordt aangevallen. Vaak de CEO van een organisatie. Dit heet ‘spear phishing’.
Vishing
Bij vishing, in essentie phishing via de telefoon, wordt meestal ingespeeld op de menselijke behoefte om te willen helpen. Hackers bellen op en doen zich voor als een ander om gegevens te verkrijgen. Geavanceerde cybercriminelen gebruiken zelfs stemvervormers.
Een hacker kan bijvoorbeeld een organisatie bellen om gegevens op te vragen, waarmee ze vervolgens allerlei schade kunnen aanrichten. Dit doen ze met gegevens die met weinig moeite zijn te vinden, vaak via social media. In deze video zie je hoe schokkend makkelijk dit kan gaan.
Zakelijke e-mail
Een groeiende trend is het gebruiken van zakelijke e-mail. Aanvallers gebruiken telefoon- en e-mailberichten om zich voor te doen als een bedrijfsleider en frauduleuze geld overboekingen te initiëren.
Afpersingszwendel
Individuen moeten ook oppassen voor afpersingszwendel. Als je het slachtoffer bent van dit soort aanvallen, ontvang je een bericht waarin wordt beweerd dat de afzender belastend bewijsmateriaal heeft over iets dat je in het verleden hebt gedaan. Deze aanvallen zijn vaak gericht en zullen echte namen en werk historie gebruiken.
Catphishing
Ten slotte is er catphishing, een combinatie van een e-mail phishing-zwendel en een identiteietsfraudeur. De aanvaller beweert meestal een familielid of geliefde van een persoon binnen een organisatie te zijn en werknemers te overtuigen gevoelige informatie te verstrekken.
Tailgating
Soms proberen cybercriminelen zelfs fysiek toegang te krijgen tot een kantoor, waar een schat van informatie ligt. Dit doen ze door simpelweg achter werknemers aan te lopen, vandaar de term tailgating. Eenmaal binnen worden ze gezien als vertrouwd persoon en kunnen ze op zoek gaan naar informatie.
Pretexting
Bij pretexting neemt een cybercrimineel een valse identiteit aan en verzint hij een omstandigheid om het slachtoffer informatie af te troggelen. Hij kan zich bijvoorbeeld voordoen als een werknemer van de IT-afdeling die iets van jou nodig heeft.
Een modern personeelsbestand opleiden
Social engineering-aanvallen zijn vooral gevaarlijk omdat er maar één zwakke schakel in een organisatie nodig is om een schadelijk evenement te initiëren.
Als een serverbeheerder bijvoorbeeld het slachtoffer wordt van een phishing-zwendel, kan dat een krachtig wachtwoord achterlaten in de handen van een hacker, die vervolgens een reeks aanvallen op het netwerk kan uitvoeren. Een fout die veel bedrijven maken, is te veronderstellen dat ze hun cybersecurity inspanningen en budget moeten richten op producten zoals firewalls en inbraakdetectiesystemen. Hoewel deze inderdaad waardevol zijn, kun je niet vergeten dat de meest kwetsbare activa in jouw organisatie de mensen zijn die erin werken.
Bewustzijnstraining over cybersecurity moet een fundamenteel onderdeel zijn van het instapproces van jouw bedrijf. Bovendien moeten er elk kwartaal periodieke verplichte sessies worden gehouden met de nadruk op sociale engineering om ervoor te zorgen dat jouw werknemers weten waar ze op moeten letten en hoe ze zichzelf kunnen beschermen.
Een deel van de organisatie dat mensen vaak vergeten, is het externe personeelsbestand. Er is een perceptie dat als ze zich buiten het netwerk bevinden, hun kans op schade minimaal is. Het tegenovergestelde is eigenlijk waar. Hoewel de beste virtuele privé-netwerken (VPN's) je kunnen beschermen tegen hackers terwijl je op afstand werkt, zullen ze social engineering-aanvallen niet blokkeren. Om die reden moeten externe en reizende werknemers extra voorzichtig zijn bij het omgaan met mensen via e-mail of per telefoon.
Wanneer malwareontwikkelaars social-engineeringtechnieken gebruiken, kunnen ze een onoplettende gebruiker ertoe verleiden een geïnfecteerd bestand te openen of op een koppeling te klikken die naar een geïnfecteerde website leidt. Veel e-mailwormen en andere typen malware maken gebruik van deze methoden.
Wormaanvallen
De cybercrimineel probeert de aandacht van de gebruiker te vestigen op de koppeling of het geïnfecteerde bestand en de gebruiker ertoe te verleiden hierop te klikken.
Voorbeelden van dit type aanval:
De worm LoveLetter, die er in het jaar 2000 voor zorgde dat veel mailservers van bedrijven overbelast raakten. Slachtoffers ontvingen een e-mail waarin ze werd gevraagd de bijgevoegde liefdesbrief te openen. Als ze het bijgevoegde bestand openden, kopieerde de worm zichzelf naar alle contactpersonen in het adresboek van het slachtoffer. Deze worm wordt nog altijd beschouwd als een van de meest vernietigende aller tijden vanwege de enorme financiële schade die de worm aanrichtte.
De worm Swen bestond uit een bericht dat afkomstig leek te zijn van Microsoft. In dit bericht stond dat de bijlage een patch was waarmee beveiligingslekken in Windows konden worden opgelost. Het was dan ook niet vreemd dat veel mensen deze boodschap serieus namen en de nep-patch installeerden, die in werkelijkheid een worm was.
Verspreidingskanalen voor koppelingen naar malware
Koppelingen naar geïnfecteerde sites kunnen worden verzonden via e-mail, en andere chatsystemen. Mobiele virussen worden vaak verspreid via sms-berichten.
Welke verspreidingsmethode er ook wordt gebruikt, meestal bevat het bericht in het oog springende of intrigerende woorden waarmee de nietsvermoedende gebruiker wordt verleid op de koppeling te klikken. Met deze methode voor het binnendringen van een systeem kan de malware de anti-virusfilters van de mailserver omzeilen.
P2P-netwerkaanvallen (Peer-to-Peer)
P2P-netwerken worden ook gebruikt om malware te verspreiden. Een worm of trojan verschijnt in het P2P-netwerk en krijgt een naam die de aandacht trekt, zodat gebruikers worden verleid om het bestand te downloaden en te openen. Voorbeelden:
- AIM & AOL Password Hacker.exe
- Microsoft CD Key Generator.exe
- PornStar3D.exe
- Play Station emulator crack.exe
Voorkomen dat slachtoffers melding maken van de malware-infectie
In sommige gevallen nemen de ontwikkelaars en distributeurs van malware stappen die de kans verkleinen dat slachtoffers een infectie melden. Dit is bijvoorbeeld het geval wanneer slachtoffers reageren op een nep aanbieding voor een gratis hulpprogramma of een handleiding waarbij het volgende wordt beloofd:
- Gratis toegang tot internet of mobiele communicatie
- De kans om een programma voor het genereren van creditcardnummers te downloaden
- Een methode om het rekeningsaldo van het slachtoffer te verhogen, of andere illegale voordelen
In dergelijke gevallen zal het slachtoffer niet snel geneigd zijn om zijn of haar eigen illegale bedoelingen te onthullen wanneer de download een trojan blijkt te zijn. Daarom is de kans klein dat het slachtoffer de infectie meldt bij een wethandhavingsdienst.
Een ander voorbeeld van deze techniek is de trojan die werd verzonden naar e-mailadressen die waren gestolen van een wervingswebsite. Mensen die zich op de site hadden geregistreerd, ontvingen nepwerkaanbiedingen die een trojan bevatten. De aanval was hoofdzakelijk gericht op zakelijke e-mailadressen, omdat de cybercriminelen wisten dat het personeel dat de trojan ontving de werkgever niet zou willen vertellen dat hun computer geïnfecteerd was geraakt terwijl ze op zoek waren naar een andere baan.
Ongebruikelijke social-engineeringmethoden
In sommige gevallen gebruiken cybercriminelen complexe methoden om een cyberaanval uit te voeren.
Bijvoorbeeld:
- De klanten van een bank ontvingen een nepmail die van de bank afkomstig leek te zijn en waarin hun werd gevraagd hun toegangscodes te bevestigen. Dit gebeurde echter niet via de gebruikelijke e-mail- of internetroutes. In plaats hiervan werd de klant gevraagd het formulier in de e-mail af te drukken, zijn of haar gegevens in te vullen en het formulier te faxen naar het telefoonnummer van de cybercrimineel.
- In Japan gebruikten cybercriminelen een thuisbezorgingsservice om cd's te verspreiden die waren geïnfecteerd met trojanspyware. De schijven werden afgeleverd bij de cliënten van een Japanse bank. De adressen van de cliënten waren eerder al gestolen uit de database van de bank.
Vooruit kijken
Bedrijven en hun personeel moeten waakzaam blijven als het gaat om cybersecurity, omdat social engineering in de toekomst alleen maar geavanceerder zal worden. Het is slechts een kwestie van tijd voordat criminelen kunstmatige intelligentie en machine learning-algoritmen in hun voordeel gaan gebruiken.
Hoe wapen ik me tegen social engineering?
Zoals je ziet, zijn er veel social engineering-methodes en dit zijn alleen nog maar de echt bekende. Cybercriminelen leren wat wel en niet werkt en hebben net als wij toegang tot voortschrijdende technologie. Daarom zijn technieken inmiddels veel gecompliceerder dan de spam-mails van 10 jaar geleden, die vol stonden met spelfouten en duidelijk nep waren.
Het is moeilijk om social engineering te voorkomen. De enige constante factor is de mens en zijn ‘zwaktes’. Daarom zul je overal lezen en horen dat de belangrijkste maatregel het creëren van bewustzijn is. Je ultieme wapen is weten hoe makkelijk het is om te worden opgelicht door een cybercrimineel.