Loading

SOCIAL ENGINEERING EEN VEILIG DIGITAAL SPECIAL

Sinds het begin van het internettijdperk hebben criminelen gezocht naar manieren om te profiteren van nietsvermoedende mensen terwijl ze op internet surfen. Virussen, malware en andere schema's zijn uitgevonden om systemen te infecteren en te infiltreren, zowel op bedrijfsniveau als op consumentenniveau. Een van de meest succesvolle vormen van cybercriminaliteit is social engineering.

Social engineering omvat technieken die cybercriminelen inzetten om gebruikers te verleiden tot het prijsgeven van hun vertrouwelijke gegevens, de installatie van malware op hun computers en het openen van links naar geïnfecteerde sites.

Daarnaast kunnen hackers misbruik proberen te maken van de gebrekkige kennis van gebruikers. Vanwege de snelheid van technologische ontwikkelingen hebben veel consumenten en werknemers niet door wat de volledige waarde van hun persoonlijke gegevens is en weten ze niet precies hoe ze deze informatie het best kunnen beschermen.

Social engineering dekt eigenlijk een breed scala aan beveiligingsbedreigingen, niet alleen die in een digitale context, maar het wordt meestal geassocieerd met aanvallen zoals phishing, waarbij de crimineel informatie van een gebruiker probeert te stelen.

Weten hoe u zich tegen dergelijke bedreigingen kunt beschermen, is van cruciaal belang om uw online gegevens veilig te houden.Hier is een blik op hoe social engineering-technieken in de loop van de tijd zijn geëvolueerd en wat mensen en bedrijven in de toekomst moeten doen om zichzelf te beschermen.

Elementen van een aanval

De basis van elke social engineering-aanval is vertrouwen. De crimineel probeert via vertrouwelijke methoden uw vertrouwen te winnen om iets te ontvangen, waaronder toegangsmachtigingen, wachtwoorden of fysieke toegang tot een gebouw of een stuk hardware. In de meeste gevallen worden social engineering-aanvallen uitgevoerd via de telefoon of online, zodat criminelen hun ware identiteit kunnen verbergen.

Een voorbeeld is de Microsoft- of Tech Scam, waarbij mensen thuis meerdere telefoontjes ontvangen over een beveiligingsprobleem met het Windows-besturingssysteem. De aanvaller probeert voldoende vertrouwen te winnen om het doelwit ervan te overtuigen via de telefoon een creditcardnummer te verstrekken.

Online social engineering komt vaker voor vanwege het gemak om dit op grote schaal uit te voeren . Het beste voorbeeld is een wijdverspreide phishing-zwendel. Een hacker verzendt een reeks berichten die proberen het uiterlijk van een bank of ander bedrijf na te bootsen. Het doel is om internetgebruikers op frauduleuze links te laten klikken en wachtwoorden of andere gevoelige informatie op een vervalste webpagina in te voeren.

Nieuwe vormen van sociale engineering

Cybercriminelen weten dat zelfs de beste oplichting uiteindelijk zonder stoom komt te zitten, en dat is precies de reden waarom ze voortdurend experimenteren met nieuwe vormen van social engineering. Een groeiende trend is het gebruiken van zakelijke e-mail. Aanvallers gebruiken telefoon- en e-mailberichten om zich voor te doen als een bedrijfsleider en frauduleuze geld overboekingen te initiëren.

Individuen moeten ook oppassen voor afpersingszwendel. Als je het slachtoffer bent van dit soort aanvallen, ontvang je een bericht waarin wordt beweerd dat de afzender belastend bewijsmateriaal heeft over iets dat je in het verleden hebt gedaan. Deze aanvallen zijn vaak gericht en zullen echte namen en werk historie gebruiken.

Ten slotte is er catphishing, een combinatie van een e-mail phishing-zwendel en een identiteietsfraudeur. De aanvaller beweert meestal een familielid of geliefde van een persoon binnen een organisatie te zijn en werknemers te overtuigen gevoelige informatie te verstrekken.

Een modern personeelsbestand opleiden

Social engineering-aanvallen zijn vooral gevaarlijk omdat er maar één zwakke schakel in een organisatie nodig is om een schadelijk evenement te initiëren. Als een serverbeheerder bijvoorbeeld het slachtoffer wordt van een phishing-zwendel, kan dat een krachtig wachtwoord achterlaten in de handen van een hacker, die vervolgens een reeks aanvallen op het netwerk kan uitvoeren. Een fout die veel bedrijven maken, is te veronderstellen dat ze hun cybersecurity inspanningen en budget moeten richten op producten zoals firewalls en inbraakdetectiesystemen. Hoewel deze inderdaad waardevol zijn, kunt u niet vergeten dat de meest kwetsbare activa in uw organisatie de mensen zijn die erin werken.

Bewustzijnstraining over cybersecurity moet een fundamenteel onderdeel zijn van het instapproces van uw bedrijf. Bovendien moeten er elk kwartaal periodieke verplichte sessies worden gehouden met de nadruk op sociale engineering om ervoor te zorgen dat uw werknemers weten waar ze op moeten letten en hoe ze zichzelf kunnen beschermen.

Een deel van de organisatie dat mensen vaak vergeten, is het externe personeelsbestand. Er is een perceptie dat als ze zich buiten het netwerk bevinden, hun kans op schade minimaal is. Het tegenovergestelde is eigenlijk waar. Hoewel de beste virtuele privé-netwerken (VPN's) je kunnen beschermen tegen hackers terwijl je op afstand werkt, zullen ze social engineering-aanvallen niet blokkeren. Om die reden moeten externe en reizende werknemers extra voorzichtig zijn bij het omgaan met mensen via e-mail of per telefoon.

Wanneer malwareontwikkelaars social-engineeringtechnieken gebruiken, kunnen ze een onoplettende gebruiker ertoe verleiden een geïnfecteerd bestand te openen of op een koppeling te klikken die naar een geïnfecteerde website leidt. Veel e-mailwormen en andere typen malware maken gebruik van deze methoden.

Wormaanvallen

De cybercrimineel probeert de aandacht van de gebruiker te vestigen op de koppeling of het geïnfecteerde bestand en de gebruiker ertoe te verleiden hierop te klikken.

Voorbeelden van dit type aanval:

De worm LoveLetter, die er in het jaar 2000 voor zorgde dat veel mailservers van bedrijven overbelast raakten. Slachtoffers ontvingen een e-mail waarin ze werd gevraagd de bijgevoegde liefdesbrief te openen. Als ze het bijgevoegde bestand openden, kopieerde de worm zichzelf naar alle contactpersonen in het adresboek van het slachtoffer. Deze worm wordt nog altijd beschouwd als een van de meest vernietigende aller tijden vanwege de enorme financiële schade die de worm aanrichtte.

De e-mailworm Mydoom die in januari 2004 opdook, maakte gebruik van technische berichten die afkomstig leken te zijn van de mailserver.

De worm Swen bestond uit een bericht dat afkomstig leek te zijn van Microsoft. In dit bericht stond dat de bijlage een patch was waarmee beveiligingslekken in Windows konden worden opgelost. Het was dan ook niet vreemd dat veel mensen deze boodschap serieus namen en de nep-patch installeerden, die in werkelijkheid een worm was.

Verspreidingskanalen voor koppelingen naar malware

Koppelingen naar geïnfecteerde sites kunnen worden verzonden via e-mail, ICQ en andere chatsystemen, of zelfs via IRC-internetchatrooms. Mobiele virussen worden vaak verspreid via sms-berichten.

Welke verspreidingsmethode er ook wordt gebruikt, meestal bevat het bericht in het oog springende of intrigerende woorden waarmee de nietsvermoedende gebruiker wordt verleid op de koppeling te klikken. Met deze methode voor het binnendringen van een systeem kan de malware de anti-virusfilters van de mailserver omzeilen.

P2P-netwerkaanvallen (Peer-to-Peer)

P2P-netwerken worden ook gebruikt om malware te verspreiden. Een worm of trojan verschijnt in het P2P-netwerk en krijgt een naam die de aandacht trekt, zodat gebruikers worden verleid om het bestand te downloaden en te openen. Voorbeelden:

  • AIM & AOL Password Hacker.exe
  • Microsoft CD Key Generator.exe
  • PornStar3D.exe
  • Play Station emulator crack.exe

Voorkomen dat slachtoffers melding maken van de malware-infectie

In sommige gevallen nemen de ontwikkelaars en distributeurs van malware stappen die de kans verkleinen dat slachtoffers een infectie melden. Dit is bijvoorbeeld het geval wanneer slachtoffers reageren op een nep aanbieding voor een gratis hulpprogramma of een handleiding waarbij het volgende wordt beloofd:

  • Gratis toegang tot internet of mobiele communicatie
  • De kans om een programma voor het genereren van creditcardnummers te downloaden
  • Een methode om het rekeningsaldo van het slachtoffer te verhogen, of andere illegale voordelen

In dergelijke gevallen zal het slachtoffer niet snel geneigd zijn om zijn of haar eigen illegale bedoelingen te onthullen wanneer de download een trojan blijkt te zijn. Daarom is de kans klein dat het slachtoffer de infectie meldt bij een wethandhavingsdienst.

Een ander voorbeeld van deze techniek is de trojan die werd verzonden naar e-mailadressen die waren gestolen van een wervingswebsite. Mensen die zich op de site hadden geregistreerd, ontvingen nepwerkaanbiedingen die een trojan bevatten. De aanval was hoofdzakelijk gericht op zakelijke e-mailadressen, omdat de cybercriminelen wisten dat het personeel dat de trojan ontving de werkgever niet zou willen vertellen dat hun computer geïnfecteerd was geraakt terwijl ze op zoek waren naar een andere baan.

Ongebruikelijke social-engineeringmethoden

In sommige gevallen gebruiken cybercriminelen complexe methoden om een cyberaanval uit te voeren. Bijvoorbeeld:

  • De klanten van een bank ontvingen een nepmail die van de bank afkomstig leek te zijn en waarin hun werd gevraagd hun toegangscodes te bevestigen. Dit gebeurde echter niet via de gebruikelijke e-mail- of internetroutes. In plaats hiervan werd de klant gevraagd het formulier in de e-mail af te drukken, zijn of haar gegevens in te vullen en het formulier te faxen naar het telefoonnummer van de cybercrimineel.
  • In Japan gebruikten cybercriminelen een thuisbezorgingsservice om cd's te verspreiden die waren geïnfecteerd met trojanspyware. De schijven werden afgeleverd bij de cliënten van een Japanse bank. De adressen van de cliënten waren eerder al gestolen uit de database van de bank.

Vooruit kijken

Bedrijven moeten waakzaam blijven als het gaat om cybersecurity, omdat social engineering in de toekomst alleen maar geavanceerder zal worden. Het is slechts een kwestie van tijd voordat criminelen kunstmatige intelligentie en machine learning-algoritmen in hun voordeel gaan gebruiken.

www.facebook.com/veiligdigitaal

© 2019 VEILIG DIGITAAL

Created By
Veilig Digitaal
Appreciate